浅谈开源软件在信创中的使用(附清单)

信创新态势 2024-09-18

2022

当前信创产业正在各行业如火如荼进行，业内存在一个对信创产业的质疑，在参与项目与大家交流过程中，也是大家比较关心的问题，即信创产品有些基于国外开源软件开发，同样存在安全隐患，信创本身是个“伪命题”等等的顾虑。

小编认为该观点对信创产业的发展，特别是大家对于信创产业的支持产生了明显的阻碍，有必要详细解释。

我们在谈论自主可控的时候，对象应该是通常情况下无法掌控的对象，特别是我们很容易被所谓"卡脖子"的对象。

这里不应该是指的国外开源软件，更加准确的，应该是不开放源码和技术的黑盒厂商，毕竟众多的开源项目的源码是开放的，我们完全有能力通过各种方式获得代码，自己编译代码软件，获得最新的开源软件和功能，在此前提下，也完全不存在进出口管理限制的问题，可以做到自主可控。

而黑盒厂商的技术或软件，因为没有源码，也没有开源协议，完全依赖商业授权，倘若暴露在断供的风险之下，则抵抗风险的能力是非常之弱的，

我们要做到完全的自主可控。就需要全面了解厂商的技术、架构、设计、方向、愿景，这个不能够脱离商业产品的特性，自己去想象，必须融合整个开源技术的思想。了解多方面的信息，不能够闭门造车，故步自封，需要师夷之长技。

但使用开源软件≠不安全，厂商对开源软件的使用情况可以分为三个阶段：封装换皮阶段、融会贯通阶段、创新迭代阶段，很多人的认知停留在第一阶段，造成了对开源软件的安全担忧。

笔者认为在开源软件的使用方面，需进一步降低开源软件带来的安全隐患：

做好软件供应链安全评测：如软件成分分析、代码自研比例检测等，提升软件产品自主比例，同时做好供应链安全因开源引入的潜在风险评估，做好风险应对措施。
减少对国外开源社区的依赖，控制影响边界，做好隔离预案；

总结：

商业上的成功，是软件持续发展的动力毕竟所有技术的发展其背后主要的推动力是商业上的成功，是持续的盈利能力。信创与开源软件不矛盾，不是和开源的对立，核心是自主可控以及走出自己的路。

附件：信创项目开源软件部分参考清单（2023）

产品类型	产品名称	官方地址
虚拟化	KVM	http://www.linux-kvm.org/page/Main_Page
XEN	https://www.xenproject.org
ZeroVM	http://www.zerovm.org
OpenVirteX	http://ovx.onlab.us
HyperVM	https://en.wikipedia.org/wiki/HyperVM
OpenVZ	https://openvz.org/Main_Page
云服务	Openstack	https://www.openstack.org
CloudStack	http://cloudstack.apache.org
Eucalyptus	https://docs.eucalyptus.com
容器	docker	https://www.docker.com
Rocket	https://github.com/coreos/rocket
Kubernetes	https://kubernetes.io
docs	https://github.com/dcos
marathon	http://mesosphere.github.io/marathon/
bamboo	https://www.atlassian.com/software/bamboo
harbor	http://vmware.github.io/harbor/
Rancher	https://www.rancher.cn
istio	https://istio.io/
podman	https://podman.io/
KubeSphere	https://kubesphere.com.cn
存储	hdfs	http://hadoop.apache.org
fastfs	https://sourceforge.net/projects/fastdfs/
Ceph	http://ceph.com
GlusterFS	https://www.gluster.org
MinIO	https://min.io/
非关系型数据库	Redis	https://redis.io/
Mongodb	https://www.mongodb.com/
Memcached	http://memcached.org/
Memcachedb	http://memcachedb.org/
Cassandra	https://cassandra.apache.org/
SSDB	http://ssdb.io/zh_cn/
hypertable	http://www.hypertable.org/
HBase	http://hbase.apache.org/
BerkeleyDB	http://www.oracle.com/technetwork/database/database-technologies/berkeleydb/downloads/index.html
RocksDB	http://www.rocksdb.org/
CouchDB	http://couchdb.apache.org/
数据库中间件	Mycat	http://www.mycat.io/
Maxscale	https://mariadb.com/products/technology/maxscale
Mysql-proxy	https://downloads.mysql.com/archives/proxy/
ProxySQL	https://www.proxysql.com/ https://github.com/sysown/proxysql
Mysql router	https://www.mysql.com/cn/products/enterprise/router.html
ShardingSphere	https://github.com/apache/shardingsphere
Oceanus	https://github.com/58code/Oceanus
SOHO-Mysql	/
PGPool	http://www.pgpool.net/
MySql MHA	https://github.com/yoshinorim
Galera Cluster for MySQL	https://galeracluster.com/
Canal	https://github.com/alibaba/canal/
消息中间件	ActiveMQ	http://activemq.apache.org/
RabbitMQ	http://www.rabbitmq.com/
RocketMQ	http://rocketmq.incubator.apache.org/dowloading/releases/
kafka	http://kafka.apache.org/
NotNetMQ	https://www.codeproject.com/Articles/193611/DotNetMQ-A-Complete-Message-Queue-System-for-NET#ArticleRef1
zeroMQ	http://zeromq.org/community
emqx	https://www.emqtt.io/
mosquitto	https://mosquitto.org/
事务中间件	Zookpeer	https://zookeeper.apache.org/
Keepalived	http://www.keepalived.org/
LVS	http://zh.linuxvirtualserver.org/
Haproxy	http://www.haproxy.org/
Etcd	http://coreos.com/etcd/
Nacos	https://nacos.io/
分布式服务框架	Dubbo	http://dubbo.io/
Dubbox	https://github.com/dangdangdotcom/dubbox
Hasor-RSF	http://www.hasor.net/projects/2.htm
seata	http://seata.io/en-us/
搜索引擎	solr	http://lucene.apache.org/solr/
elasticsearch	https://www.elastic.co/products/elasticsearch
sphinx	http://sphinxsearch.com/
Lucene	http://lucene.apache.org/
网络爬虫	Heritrix	https://webarchive.jira.com/wiki/display/Heritrix
Nutch	http://nutch.apache.org/
Scrapy	https://scrapy.org/
WebSPHINX	http://www.cs.cmu.edu/~rcm/websphinx/
WebLech	http://weblech.sourceforge.net/
Gecco	https://github.com/xtuhcy/gecco
WebCollector	https://github.com/CrawlScript/WebCollector
工作流引擎	Activiti	https://www.activiti.org/
JBPM	http://www.jbpm.org/
FixFlow	https://github.com/fixteam/fixflow
flowable	https://www.flowable.com/
规则引擎	Easy Rules	http://www.easyrules.org/
Drools	https://www.drools.org/
GIS软件	QGIS	http://www.qgis.org/en/site/
MAPGIS	http://www.mapgis.com/
SuperMap	https://www.supermap.com/cn/
GeoServer	http://geoserver.org/
系统监控	nagios	https://www.nagios.org/
zabbix	http://www.zabbix.com/
Prometheus	https://prometheus.io/
open-falcon	http://open-falcon.org/
Ambari	http://ambari.apache.org/
GoAppMonitor	https://github.com/wgliang/goappmonitor
OPM	http://opm.io/
Elastic HQ	http://www.elastichq.org/
Gangina	https://sourceforge.net/projects/ganglia/files/ganglia-web/
Nightingale	https://n9e.github.io
日志分析	logstash	https://www.elastic.co/cn/products/logstash
flume	http://flume.apache.org/index.html
filebeat	https://www.elastic.co/products/beats/filebeat
kibana	https://www.elastic.co/products/kibana
Grafana	https://grafana.com/
大数据组件	Yarn	http://hadoop.apache.org/
Hive	http://hive.apache.org/
Kubernetes	https://kubernetes.io/
Mesos	http://mesos.apache.org/
Strom	http://storm.apache.org/
Pig	http://pig.apache.org/
SparkStreaming	http://spark.apache.org/
Spark
MapReduce	http://hadoop.apache.org/
Hbase	https://kubernetes.io/
impala	http://impala.apache.org/
sqoop	http://sqoop.apache.org/
oozie	http://oozie.apache.org/
hue	http://gethue.com/
kerberos	http://web.mit.edu/kerberos/
presto	http:/perstodb.io/
accumulo	http://accumulo.apache.org/
cassandra	http://cassandra.apache.org/
Tachyon （Alluxio）	http://www.tachyonproject.org/
kudu	http://kudu.apache.org/
phoenix	http://phoenix.apache.org/
zeppelin	http://zeppelin.apache.org/
Hadoop	https://hadoop.apache.org