OSCAR 开源产业大会|中国信通院可信开源评估最新结果正式发布
2022 年 9 月 16 日,由中国信息通信研究院(以下简称“中国信通院”)、中国通信标准化协会主办,云计算标准和开源推进委员会承办,云计算开源产业联盟、金融行业开源技术应用社区、汽车行业开源社区、可信开源社区共同体、可信开源合规计划支持的 2022 年 OSCAR 开源产业大会在北京顺利举办,会上公布了中国信通院 2022 年最新可信开源评估结果!
可信开源评估结果
可信开源治理成熟度评估(企业级)
中国联合网络通信有限公司软件研究院【增强级】
招商银行股份有限公司【增强级】
西安银行股份有限公司【增强级】
宁波银行股份有限公司【增强级】
【首批】可信开源项目治理能力评估
中国工商银行股份有限公司分布式事务框架
可信开源项目评估
GreatSQL(v8.0.25-16)
PolarDB-X(v5.4.13)
ApacheShardingSphere(v5.1.2)
可信开源社区分级评估
【首批】开源社区 &OpenChain 双评估
openEuler
【首批】可信开源服务商评估
勤达睿(中国)信息科技有限公司
弘协网络科技(北京)有限责任公司
可信开源供应链评估
企业级:弘协网络科技(北京)有限责任公司
产品级:NGINX Plus Release 27(R27)
中国信通院累计完成 86 项可信开源评估
可信开源评估结果
可信开源治理
开源使用
中国工商银行股份有限公司
中国农业银行股份有限公司
上海浦东发展银行股份有限公司
中国太平洋保险(集团)股份有限公司
中信银行股份有限公司
招商银行股份有限公司
中移信息技术有限公司
中国联合网络通信有限公司软件研究院
西安银行股份有限公司
宁波银行股份有限公司
自发开源
腾讯科技(深圳)有限公司
项目治理
中国工商银行股份有限公司分布式事务框架
可信开源供应链
可信开源供应链-OpenChain 双评估
中兴通讯股份有限公司
弘协网络科技(北京)有限责任公司
企业能力
中兴通讯股份有限公司
北京小米移动软件有限公司
网易数帆
大连易衡科技有限公司
产品能力
中兴 T8000(版本:V4.00.10)
小米手机 11 MIUI 12.5(版本:V12.5.6.0.RKBCNXM)
北京优特捷信息技术有限公司-日志易 V2.0
杭州网易数帆科技有限公司-轻舟微服务 21.0.1 GA
ZXVMAX-O V8
Flomesh 服务网格软件 V1.0.1
NGINX Plus Release 27(R27)
可信开源社区
openEuler
openGauss
MindSpore
openLooKeng
TARS
腾讯蓝盾平台 BK-CI
Apache ShardingSphere
RANCHER
TiDB
MOSN
NGINX
JingOS
DoKit
OceanBase
Apache RocketMQ
CloudWeGo
openKylin
可信开源项目
腾讯蓝盾平台 BK-CI(版本:V1.3.0-rc.10)
TARS(版本:TarsJava v1.7.2)
Apache APISIX (版本:1.4)
Apache Pulsar(版本:2.6.0)
Apache Kylin(版本:3.1.0)
腾讯蓝盾平台 BK-CI(版本:1.0.0-beta.15)
TARS(版本:2.1.0)
Apache ShardingSphere(版本:4.0.1)
Apache ShardingSphere(版本号:5.0.0-beta)
Apache APISIX(版本号:2.8)
Apache Doris(版本号:0.14)
EMQ X(版本号:4.3.6)
OpenMLDB(版本号:0.2.2)
Rancher(版本号:2.5.9)
优麒麟(版本号:20.04 LTS Pro)
Flomesh Pipy(版本号:0.8.0-31)
Alluxio(版本号:2.6.1)
CyberDog(版本号:1.0.0.66)
Curve(版本号:1.2.1-rc0)
Know Streaming(版本号:2.4.2)
LogicFlow(版本号:0.7.14)
NGINX(版本号:1.21.4)
DELTA(版本号:0.3.3)
Harrier(版本号:2.3)
OceanBase(版本号:3.1.3_CE)
PolarDB-PG(版本号:1.1.20)
腾讯蓝鲸 CI (版本号:1.7.36)
GreatSQL(v8.0.25-16)
PolarDB-X(v5.4.13)
ApacheShardingSphere(v5.1.2)
可信开源社区 &OpenChain 双评估
openEuler
可信开源服务商评估
勤达睿(中国)信息科技有限公司
弘协网络科技(北京)有限责任公司
可信开源治理工具
网神信息技术(北京)股份有限公司—奇安信开源卫士(SaaS 版+本地部署版)
新思科技-BlackDuck(SaaS 版)
苏州棱镜七彩信息科技有限公司—FossEye(SaaS 版)+开源治理平台(本地部署饭)
深圳开源互联网安全技术有限公司—开源组件安全及合规管理平台(SaaS 版+本地部署版本)
北京安普诺信息技术有限公司—悬镜源鉴开源威胁管控平台(SaaS 版+本地部署版本)
国家超级计算无锡中心—重睛鸟代码审查系统 SaaS 版
西安奇科厚德信息科技有限公司—Checode 开源助手检测系统(本地部署版)
安势信息—清源 CleanSource(SaaS 版本)
中电拟—电科•安测•探巡-代码成分分析平台(本地部署版本)
华为云计算技术有限公司—研发安全服务(成分分析)(SaaS 版)
北京宇信科技集团股份有限公司—YUCC OSG 开源软件治理平台(本地部署版)
可信开源评估整体介绍
可信开源治理类评估
**企业开源治理能力成熟度评估(面向用户企业):**评估对象为使用开源软件的企业用户。开源软件的广泛使用也从安全和合规角度对企业的开源治理能力提出了更高的要求。针对企业用户在使用开源软件时面临的风险,重点考察企业在组织机制、管理制度、风险管理、软件测评选型、技术使用管理、技术运维管理、定期健康评估和软件退出管理等方面的能力。根据企业开源治理水平实际所处的不同阶段,将划分为基础级、增强级和先进级。
**企业对外开源治理能力评估(面向自发开源企业):**评估对象为发起开源项目的企业,旨在帮助开源企业规范对外开源流程,提升企业的开源治理能力。主要规范企业在发布、主导开源项目过程中,在开源治理组织架构、开源项目管理制度、开源工具平台建设、开源项目申请、开源项目审批、开源项目发布、开源项目运行维护、开源社区管理、开源项目关闭九个方面需遵循的规范和应具备的能力。
**开源治理平台能力评估:**评估对象为开源软件自动化工具和平台,评估从通用能力要求与研发集成能力两大方面规范开源软件治理自动化平台需要具备的能力,企业可参照本模型的要求建立、保持和改进开源软件治理工具和平台能力。
企业项目治理能力评估【2022 年 9 月为首批评估结果发布】:评估对象为企业内部某一系统项目,旨在规范企业内部系统项目的治理能力,规定了具体项目应关注的内容及指标,具体包括感知能力、预防能力与修复能力三大部分,适用于企业对内部系统项目的开源规范性、合规性和安全性等方面进行评估,为企业考察具体系统项目的开源治理落地情况提供依据。
可信供应链-OpenChain 双评估
评估对象为基于开源软件提供商业解决方案的软件提供商或者提供云服务的云服务商,帮助软件提供商和云服务商规范开源软件引入、开发和交付流程和制度,帮助企业降低开源供应链风险。
评估类型分为企业开源供应链风险管理能力评估和产品开源供应链风险管理能力评估。
可信开源服务商评估(首批)
评估对象为基于开源软件提供运维、巡检、定制服务的开源服务商,评估内容包括人员资质认定考试和开源服务商企业能力评估,通过考试的人员可获得可信开源服务人员证书,同时通过开源服务商企业能力评估的企业 可获得金/银/铜可信开源服务商证书。
可信开源社区评估
评估对象为开源社区,开源社区=人+项目+基础设施平台,一个好的开源社区有助于开源项目营造良好的开源生态并扩大影响力。可信开源社区评估从基础设施、社区治理、社区运营与社区开发等角度,梳理开源社区应关注的内容及指标,聚焦于如何构建活跃的开发者生态与可信的开源社区。
可信开源项目评估
评估对象为社区版的开源项目。重点考察开源项目在许可证合规性、软件安全性、软件活跃度、技术成熟度、服务支持力和软件兼容性六个方面的能力,全面衡量社区版开源项目的健康程度,为开源项目使用方提供选型的参考依据。
可信开源治理工具评估(SCA)
评估对象为具有开源组成和安全性分析功能的开源组件扫描工具对其基本能力,技术支持能力,易用性,部署能力,安全性,兼容性进行评估,帮助规范和提升开源治理工具质量,同时适用于采购此类工具的开源用户,帮助用户企业采购此类工具作为选型参考。
评估评估类型为 SaaS 版评估、本地部署版评估、SaaS 版+本地部署版评估。
评估联系人:
可信开源治理类评估(企业开源治理能力成熟度评估、企业对外开源治理能力评估、开源治理平台能力评估、企业项目治理能力评估)
俊哲 18900125677(微信同号)
junzhe@caict.ac.cn
可信开源供应链、可信开源服务商、可信开源治理工具评估
李晓明 18813105685(微信同号)
lixiaoming1@caict.ac.cn
可信开源社区、可信开源项目
张一阳 15666476630(微信同号)
zhangyiyang@caict.ac.cn
评论