首批可信开源项目评估结果正式发布!

Posted 2021-04-30 LUPA开源社区

近几年开源技术快速发展，在众多新兴技术领域逐渐形成主流。我国企业在参与国际开源项目，跟随主流开源技术的同时，更多的开始发起原创开源项目，逐步探索引领开源的可能。与此同时，开源项目及社区应遵循哪些规范成为用户和项目发起方共同关注的焦点。

为规范开源项目健康发展，同时为用户企业选择开源软件提供有力参考，2019年中国信通院联合开源治理领域诸位专家共同研究探讨，编写完成了面向社区版开源项目的相关标准规范。

2020年上半年中国信通院已完成首批可信开源项目评估工作，经过报名、项目自评、技术测试、远程审查等一系列流程，我们在2020年6月5日举办“OSCAR，开源先锋日—云原生专场”直播中，公布了通过首批可信开源项目评估的四款开源项目！他们分别是：

DevOps研发平台腾讯蓝鲸CI（BKCI）、高性能RPC开发框架TARS、分布式数据库中间件ShardingSphere和消息中间件RocketMQ。

6大项18小项指标，全方位评估开源项目

2019年下半年，中国信通院从用户企业的实际需求出发，牵头起草了针对社区版开源项目的《开源项目选型参考框架》标准，并联合国内30余家银行和科技企业，经过4次激烈研讨，共同完成了标准的编制工作。目前，该标准已在中国通信标准化协会（CCSA）成功立项，并进入送审稿阶段。

该标准针对开源发起方对开源项目的审核和支持不完善等问题，深入调研用户企业开源软件选型的实际需求，重点关注开源项目在许可证合规性、软件安全性、软件活跃度、技术成熟度、服务支持力和软件兼容性六个方面应遵循的规范，涉及18项具体指标，为企业用户选择开源软件提供辅助参考。

六大维度评估开源项目健康程度

解决四大核心痛点，助力项目可信发展

开源许可证

通过代码扫描识别关联组件所使用的开源许可证，对使用GPL、LGPL等风险性较高许可证的组件进行筛选，确认关联组件与本项目的关系及许可证是否存在合规风险

安全漏洞

通过代码扫描识别关联组件，对涉及中危及以上安全漏洞的组件进行筛选，确认关联组件漏洞情况及与本项目的关系，根据安全威胁等级及影响范围，有序规划关联组件升级等操作

项目持续

从持续更新、版本稳定、贡献者多元化、基金会孵化、多平台托管等维度，考察开源项目发展的稳定性和持续性。

社区支持

从文档完备和规范、问题解答效率、社区运营维护、公共沟通渠道等维度，考察开源项目社区是否具备持续运营健康发展的基础条件，能够为项目使用者和参与者提供有力支持。