隨著數(shù)字經(jīng)濟(jì)的高速發(fā)展，開源軟件供應(yīng)鏈安全將會(huì)成為影響全球信創(chuàng)產(chǎn)業(yè)發(fā)展的重要因素，亦成為了我國(guó)科技領(lǐng)域的重要探索方向。在7月18日召開的2022中國(guó)網(wǎng)絡(luò)空間新型技術(shù)安全創(chuàng)新論壇-云安全分論壇會(huì)上，《軟件供應(yīng)鏈安全技術(shù)白皮書》(簡(jiǎn)稱《白皮書》)出爐，旨在進(jìn)一步推動(dòng)國(guó)內(nèi)軟件供應(yīng)鏈生態(tài)建設(shè)。但是何為自主可控，每個(gè)人都有不同的理解。是只有完全自主開發(fā)，才算是自主可控?還是說通過引進(jìn)一些技術(shù)，掌握源代碼，就不存在安全后門就能算自主可控呢?為此，極狐公司積極踐行自主可控3.0，給了一種全新的解決方案，保障軟件供應(yīng)鏈安全的同時(shí)，還能與全球創(chuàng)新時(shí)刻保持同步。

　　?

　　如何保障軟件供應(yīng)鏈安全，先了解開源領(lǐng)域自主可控的三階段

　　眾所周知，開放源代碼的核心就是“開放”，是接納、包容和發(fā)展，求同存異，互利共贏，這才是開源的本質(zhì)。因此，在開源領(lǐng)域?qū)崿F(xiàn)自主可控，有其天然的優(yōu)勢(shì)，這也使得我國(guó)非常重視開源領(lǐng)域的發(fā)展，甚至將其視為軟件產(chǎn)業(yè)，甚至科技產(chǎn)業(yè)實(shí)現(xiàn)彎道超車和跨越式發(fā)展的重要支撐之一。

　　從這個(gè)意義上說，中國(guó)開源領(lǐng)域的自主可控絕不是閉門造車，不只是自己埋頭寫代碼，而是需要真正參與到開放核心源代碼的社區(qū)中來，人人參與，人人貢獻(xiàn)，與不斷演進(jìn)的開源社區(qū)一道發(fā)展壯大，從而向外輸出，構(gòu)建中國(guó)技術(shù)國(guó)際影響力。

　　但從發(fā)展趨勢(shì)來看，開源領(lǐng)域的自主可控也走過了幾個(gè)階段。在10多年前，開源的理念慢慢傳入中國(guó)，很多外資企業(yè)和開源基金會(huì)紛紛來到中國(guó)布道，傳遞開源的技術(shù)，初步構(gòu)建開源社區(qū)，也逐漸聚集了一些群體，形成了我國(guó)開源社區(qū)的雛形，有些企業(yè)也因此獲益。但這一階段，就像很多年前我國(guó)以市場(chǎng)換技術(shù)一樣，主導(dǎo)者依然是國(guó)外的企業(yè)或組織，且規(guī)模比較小，遠(yuǎn)未成為中國(guó)的開源事業(yè)。

　　到第二個(gè)階段，有些企業(yè)引入了一些開源技術(shù)，然后自己在國(guó)內(nèi)構(gòu)建開源社區(qū)。但很多時(shí)候，引入的并不一定是跟隨全球社區(qū)發(fā)展不斷迭代的最新技術(shù)，而是從開源社區(qū)內(nèi)的某個(gè)技術(shù)分叉過來。在一定程度上，會(huì)導(dǎo)致局限國(guó)內(nèi)開源的發(fā)展，如果偏離全球公認(rèn)的主線，則很難在全球范圍內(nèi)實(shí)現(xiàn)真正的開源應(yīng)用和規(guī)?；?。

　　時(shí)至今日，在數(shù)字經(jīng)濟(jì)時(shí)代下，中國(guó)技術(shù)發(fā)展正在走入第三個(gè)階段，暫且稱為“自主可控3.0”——將全球領(lǐng)先的開源技術(shù)以合法合規(guī)的方式落地中國(guó)，國(guó)內(nèi)自主研發(fā)，并通過貢獻(xiàn)反哺社區(qū)，與全球創(chuàng)新時(shí)刻保持同步，影響并引領(lǐng)全球創(chuàng)新的步伐，實(shí)現(xiàn)“開放核心”的開源模式。對(duì)于企業(yè)來說，落實(shí)“開放核心”的開源模式有5步走，即“參與社區(qū)”、“融入社區(qū)”、“貢獻(xiàn)社區(qū)”、“治理社區(qū)”、“主導(dǎo)社區(qū)”，這樣才能真正實(shí)現(xiàn)自主創(chuàng)新和自主可控的開源應(yīng)用，開源開放，自勵(lì)自強(qiáng)。

　　極狐踐行自主可控3.0，切實(shí)保障軟件供應(yīng)鏈安全

　　今天，越來越多企業(yè)已經(jīng)認(rèn)識(shí)到了，在開源領(lǐng)域需要踐行自主可控3.0，積極擁抱全球領(lǐng)先的開源技術(shù)，并在開源社區(qū)中積極貢獻(xiàn)，并取得了很好的效果。

　　作為積極踐行自主可控3.0的代表企業(yè)，極狐公司從應(yīng)用全球領(lǐng)先的技術(shù)，到打造自主知識(shí)產(chǎn)權(quán)的產(chǎn)品，再到構(gòu)建本地開源生態(tài)體系，在支持和推動(dòng)信創(chuàng)產(chǎn)業(yè)的道路上不斷前行：基于“中外合資3.0”的獨(dú)特商業(yè)模式，極狐公司于2021年正式成立，成為一家擁有全球領(lǐng)先技術(shù)、由中國(guó)資本推動(dòng)、中國(guó)本地團(tuán)隊(duì)管理運(yùn)營(yíng)、全面對(duì)接中國(guó)軟件服務(wù)生態(tài)、服務(wù)于中國(guó)用戶的新型中外合資企業(yè);在成立短短一年之后，極狐公司完成了A輪融資，GitLab的股權(quán)降到了46.8099%，這也使得極狐公司在產(chǎn)研、決策和融資方面實(shí)現(xiàn)了本土團(tuán)隊(duì)主導(dǎo)的自主運(yùn)營(yíng)管理，同時(shí)公司還針對(duì)中國(guó)市場(chǎng)的需求，打造了極狐GitLab SaaS等一系列產(chǎn)品，為國(guó)內(nèi)用戶提供全球領(lǐng)先的本土化源代碼托管平臺(tái)和一體化DevOps能力，助力中國(guó)開源生態(tài)蓬勃發(fā)展;此外，極狐公司還致力于構(gòu)建完善的開源生態(tài)，2021年攜手云原生計(jì)算基金會(huì) (CNCF) 聯(lián)合發(fā)起并成立 “開源GitOps產(chǎn)業(yè)聯(lián)盟”，目前已有200多家合作伙伴的參與。

　　總而言之，軟件供應(yīng)鏈安全將直接影響關(guān)鍵基礎(chǔ)設(shè)施和數(shù)字經(jīng)濟(jì)安全，提升開源技術(shù)也不會(huì)一蹴而就，這是一個(gè)系統(tǒng)化工程，需要整體策略，在多個(gè)方面循序漸進(jìn)。而極狐作為中國(guó)推進(jìn)自主可控3.0的積極參與者之一，將始終聚焦前沿安全技術(shù)的研究，致力于保障軟件供應(yīng)鏈安全，解決目前面對(duì)的困境，真正開創(chuàng)中國(guó)人自己的開源事業(yè)!