在今天举办的“2021 OSCAR 开源产业大会”上,中国信息通信研究院(以下简称中国信通院)公布了国内开源领域的一系列评估结果,网易数帆凭借 Curve 开源存储项目和社区的优异表现,以及轻舟微服务产品基于开源的商业化实践,获得了可信开源项目、可信开源供应链(首批)、OSCAR 开源社区/项目等三项荣誉。
此外,Curve 社区作为创始成员的可信开源社区共同体(TWOS)也在会上宣布成立,网易数帆技术专家裴斐还在会上分享了网易数帆开源供应链治理实践心得,以推动国内开源实践效率与开源发展质量。
首个微服务/网格可信开源供应链产品诞生
作为一个 Agent + Sidecar 双引擎多模式服务治理平台,网易数帆轻舟微服务是首个通过可信开源供应链风险管理能力评估的微服务/服务网格类产品。该项评估旨在规避技术服务商供应“混源”产品过程中可能存在的开源合规和安全风险,包括传染型许可证、许可证违约以及安全漏洞等风险。依据《开源供应链风险管理框架 第1部分:面向软件提供商和云服务商》标准,评估专家们不仅检验相关的制度文档、工具、平台等基础设施及执行情况,还借助工具对源代码特征进行严格的分析校验。
为保证客户平滑过渡微服务/服务网格架构的兼容性,和提供每个引擎的整体能力,轻舟微服务在开发过程中引入了 Istio、Envoy、Spring Cloud、Dubbo、gRPC、Prometheus 等诸多云原生开源组件。这些开源组件来自多个社区,基于不同的编程语言开发,采用不同的开源许可证授权,形成了一个较为复杂的开源治理复杂环境。
中国信通院的评估结果证明,基于开发、法务和项目管理等多个团队的协作,网易数帆有针对性地为这些开源组件制定了一套可改进的策略,并采用了一系列的工具支撑,从而在轻舟微服务的开源许可证合规、知识产权和安全漏洞修复等方面做了完善的规范和处理,有效地避免这些风险流入到下游。
布道开源供应链治理,助推国内开源商用
在本次大会的“开源治理”论坛上,网易技术专家、资深架构师裴斐分享了网易的开源供应链治理策略与实践。本次分享围绕开源许可证和漏洞管理展开,裴斐表示,开源供应链治理是一个系统的工程,网易数帆的总体策略包括管理机构、管理制度、过程卡点和结果导向四个层面,基于治理目标形成结果导向的治理闭环。在管理机构上,网易数帆以项目管理和架构师团队为双核心管理机构,前者负责制定制定宣贯、过程与结果管理,后者侧重治理技术拉通和风险应对策略。管理制度涵盖开源引入的前置把控与软件输出的交付物整理与检查两个方面。
裴斐强调:软件治理不能临时抱佛脚,过程管控十分关键。网易数帆的过程卡点包括选型评审、源码扫描和制品检查等环节,把许可证、漏洞、软件包/镜像的规范性、版权声明等扫描集成到CI/CD流水线系统,并提供输出报告的功能。版本输出阶段,则要注意法务、版本经理和交付的评审都不能缺位。
轻舟微服务的相关评估结果,验证了这一体系的实用性。这些经验的分享,将有助于开源技术在国内商用的提速。
通过可信开源项目测评,Curve 项目日益成熟
中国信通院的可信开源项目评估旨在测试社区版开源项目的非功能性情况,重点关注项目的合规性和成熟度。在本次评测中,评审专家们按照《开源项目选型参考框架》标准,从许可证合规性、软件安全性、软件活跃度、技术成熟度、服务支持力和软件兼容等方面对 Curve 项目进行了全面的评估。
与轻舟微服务不同,Curve 是一个网易数帆为填补高性能分布式开源存储空白而自主设计研发并开源的系统,但凭借相似的开源治理体系,以及对网易研发流程管理的借鉴,Curve 在合规性和安全性方面同样表现优异。Curve 社区遵循代码编写、数据格式、测试覆盖度等方面的业内标准和规范,制定了透明的项目决策和开发流程,以及严密的软件质量检查机制,确保合规、高质量的软件版本发布。同时,社区提供完备的文档和用户交流平台,确保项目能够用起来。这些措施和执行结果获得了评审专家们的一致认可。
联合创始可信开源社区共同体,促进本土社区健康发展
Curve 社区也作为创始成员,连同国内的 openEuler、TiDB 等44个开源社区促成并见证了可信开源社区共同体的诞生。可信开源社区共同体以提高项目社区质量、建立商业模式、调动开发者、推动用户应用为使命,希望建立健康可信且可持续发展的开源社区,提供全套的开源风险监测与生态监测服务。
当前,开源不仅应用到了我国87%的企业,也首次被明确列入国民经济和社会发展五年规划纲要,在国家战略层面得到支持。所以,开源在安全性、社区治理、技术运维、法律合规等方方面面的挑战,需要企业、社区、开源基金会、开发者共同努力去克服。Curve 社区将和各个社区持续协作,通过可信开源社区共同体,不断探索我国开源生态发展模式的创新,推动开源技术在中国落地。
入选 OSCAR 开源尖峰案例,Curve 成国内开源典范
在 OSCAR 开源产业大会特设的“OSCAR尖峰开源案例”评选活动中,Curve 在众多申报项目中脱颖而出,荣获“OSCAR 尖峰开源项目及开源社区”奖项。作为一个于2020年7月开源的分布式存储项目,Curve 在社区和项目两方面都取得了很大的进展。近半年来,Curve 社区完成了1000多次commit,发布了2个大版本,实现功能完善和性能优化。
定位于高性能,Curve 社区为此做了多项技术创新迭代,如基于无锁队列设计提升并发度,支持零拷贝设计来进一步提升 I/O 吞吐,使得吞吐量和开源之初相比提升近1倍,时延降低近50%。此外,Curve 社区还着手为项目增加了云原生支持,以及分布式文件系统的实现,以满足数字化转型下的基础架构演进需求。