回顾2021开源大事件,震惊业界的Log4j2漏洞必定上榜。随着开源软件成为数字化时代的基础设施,服务商开源供应链治理能力对于企业的安全、合规愈发重要。对此,坚持开源开放的网易数帆又喜迎新进展。
2022年1月5日,中国信息通信研究院(以下简称“中国信通院”)在其主办的2021 OSCAR开源先锋日上公布了最新的可信开源评估结果,网易数帆凭借其打造轻舟云原生软件生产力平台所沉淀的治理能力,通过了可信开源供应链风险管理企业能力评估,成为第一批通过该项评测的企业软件服务商。
这是中国信通院对网易数帆完整开源供应链治理能力进一步的认可。在前期评估结果中,整合了Istio、Envoy和Spring Cloud的网易数帆轻舟微服务平台已经通过了可信开源供应链风险管理产品能力评估(点击了解)。
本次企业能力评估依据中国信通院牵头制定的行业标准《开源供应链风险管理框架》,考察软件提供商供应过程对产品代码来源风险管控能力,测试项目包括了管理机构、管理制度、开源软件直接引入管理、开源软件外包引入管理、开源软件商业解决方案引入管理、交付物风险管理等方面。网易数帆相关的组织设计、流程规范及执行结果,满足了当前开源供应链风险管理的要求,并通过了交付物的验证,获得了评审专家的一致认可。
网易数帆依托网易公司在产品研发、项目管理、安全管控、法务等方面的积累,形成了一套开源供应链风险管理机制,一方面基于软件开发理念中的软件管理体系,结合开源供应链全流程管理中的风险应对管理要求,优化产品创新的决策模式,建立项目经理+产品经理机制,实施双模产品研发模式,明确产品创新主体的职责定位;另一方面在一体化管理体系下,按照统一的评估方法,评估模型和平台工具,以件研发的全生命周期为主线,实施项目管理、应用开发、系统支持、安全管理和法务五位一体的规范化管理。
得益于公司对于研发精品的追求,和对于“架构开放,内核开源”的坚持,网易数帆在业务需求理解、开源项目引入、开源社区贡献、自研项目开源等环节中积累了大量的洞察与经验,为开源供应链治理的推进减少了阻力。在企业级数字化基础软件领域,网易数帆已经采用Kubernetes、Spring Cloud、Istio、Envoy等开源技术建立了云原生技术底座,也采用Hadoop、HBase、Impala、Kudu、Spark、Flink、Iceberg等技术建立了开放式大数据架构,服务了百余家各行业头部客户。
在中国开源贡献者数量已经跃居全球第二的今天,开源技术路线的趋势已经不可阻挡。然而有数据显示,国内500强企业有超过96%不了解开源,仅2%参与开源贡献——相比之下,全球50强企业中约80%了解开源,22%参与开源贡献。这组数据表明了开源供应链治理对于当前企业数字化转型的重要性。在此背景下,中国信通院关于行业标准的建立,以及网易数帆这样的企业在标准实施层面的进展,为开源软件商业化的繁荣发展和数字化转型的稳步推进带来了新的推动力。