开放原子开源基金会出品 2023年5月 2023 CONTENTS 目录 01 行业发展 02 前沿技术 03 开源安全 AMD正计划使用开源的OpenSIL代替AGESA 开放服务网格OSM（Open Service Mesh）项目已停止维护 KSOC推出业内首个实时Kubernetes安全态势管理平台 Nutanix推出Kubernetes数据管理平台 Nutanix Data Services for 真正执行。 KSOC推出业内首个实时 Kubernetes安全态势管理平台 近日，KSOC推出业内首个实时Kubernetes安 全态势管理平台。Kubernetes安全态势管理平 台可以通过实时上下文以及当前和历史信息准 确定位攻击活动，同时还可以根据集群的当前 状态提供可操作的补救措施。具体功能包括： • 实时态势管理，发现基于事件的错误配置； • 汇总并找到Kubernetes RBAC中的过度权限； Silicon Initialization Library”（开源硅初始化库），作 为一套开源解决方案，使用标准行业语言编写， 不但可以实现AGESA的各种传统功能，还有轻量 化、简单、透明、安全、扩展灵活等优势。 全球开源态势洞察｜第十期 02 01 行业发展 Nutanix推出Kubernetes 数据管理平台Nutanix Data Services for Kubernetes

仓库管理 创建和管理仓库、浏览提交历史和代码文件、审查和合并代码提交、管理协作者、 管理分支等。支持标签、Cherry-pick、WebHook、集成协作工具等。 在线编辑 在线浏览和编辑源代码、配置文件、文档等，无需安装任何软件或插件。内 置文本搜索、代码高亮、自动补全、代码折叠等。 Gitea 核心能力：分支管理 分支保护 设置对分支的访问权限，并限制对该分支的操作。 分支管理 Maven、Go、RPM、NPM、PyPI 等；支持源代码和二进制文件的版本发布 Gitea 延伸能力：依赖项扫描 自动扫描代码仓的依赖库，发现有漏洞的版本，并给出升级或替换建议，及时发现和解决安全隐患 扫描结果列表 扫描结果详情 支持扫描的语言 包括但不限于 Go、NodeJS、C#、Rust、Java、PHP、Python、Ruby 等 Tea 命令行工具 迁移数据到 Gitea 简单的使用方式，多种的集成方式 卓越性能 采用 Go 语言编写，资源占用仅 为 GitLab 的 1/4，运行速度约为 GitLab 的 3 倍 高可配置 100+ 配置项，40+ 模块配置， 通过灵活的配置满足不同应用场景的需求 安全稳定 被⼴泛验证，39k+ GitHub Star、40万+ 安装量、 1000+ 贡献者，覆盖 1000万+ 开发者 Gitea 优势总结 极佳体验

Benaich 等 作 者 联 合 撰 写 的 “ State of AI Report 2023”报告，从研究进展 (Research)、行业局 势 (Industry)、政策影响 (Politics)、安全问题 (Safety)、 未来预测 (Predictions) 五个维度出发，对人工智能发展 现状和未来预期进行了深度分析。从中我们看到：  英伟达凭借各国、初创公司、大型科技公司和研究人员 是最需要的技能。  许多 AI 采用者仍处于早期阶段：26% 的人使用 AI 不到一年，而 18% 的人已经在生产中进行了应用。  16% 从事 AI 工作的受访者表示正在使用开源模型。  意外结果、安全性、公平性、偏见和隐私是采用者测试 的最大风险。 工业和信息化部赛迪研究院数据显示，目前，我国已有超 过 19 个大语言模型研发厂商。其中，15 家厂商的模型 产品已经通过备案，预计今年我国大语言模型市场规模将 叶金荣，GreatSQL 开源生态负责人 对于 MySQL 5.7 的 EOL，我想需要分几种情况区别对待。 1.已经在线稳定运行的系统，认为升级版本存在一定风险。在做好必要的安全防 范措施后，一般是无需担心 EOL 带来的安全风险，最大的问题无非是用不上新功 能。相当多互联网企业都是这么做的。从 MySQL 5.6 占比仍高达 30%也可见一 斑。 2.想要用上新特性，借机升级版本。MySQL

Agent 逐渐成为 AI 应用的核心架构 68 | 谈开源大模型的技术主权问题 72 | 2024:大模型背景下知识图谱的理性回归 77 | 人工智能与处理器芯片架构 89 | 大模型生成代码的安全与质量 93 | 2024 年 AI 大模型如何影响基础软件行业中 的「开发工具与环境」 98 | 推理中心化：构建未来 AI 基础设施的关键 Part 1：中国开源开发者生态数据 04 | 助自然语言解释，使得开发者更直观地理解代码结构和执行流程，增强智能编程的可视性和 交互性。  有些开发团队借助智能体和 RAG 技术检索历史上已知的代码缺陷模式和已知问题，从而比较 准确地识别潜在的缺陷和安全漏洞，甚至能够分析代码的功能意图，全面提升代码评审的能 力。  有些团队，根据 UI 设计图，让 LLM 自动生成相应的前端代码，大大减少了手动编码的时间， 加快了从设计到实现的流程。 43 开源数据集的版权问题也是一个需要重视的风险。尽管开源数据集通常是公开的，但其使用 仍然受版权法的约束。未经授权使用受版权保护的数据，可能会导致法律纠纷。此外，某些数据 集可能包含敏感信息，涉及个人隐私甚至危害公共安全。 在使用这些数据时，必须遵守相关的隐私保护法规，如欧盟的《通用数据保护条例》（GDPR） 和美国的《健康保险可携性和责任法案》（HIPAA）。在实际操作过程中，出于成本、工艺、 能力、时间的

开源项目运营：支持开发者社区运营，促进项目生态建设。拓展 开源生态链，汇聚企业、个人、组织参与开源项目。 开源品牌推广：打造年度重大品牌活动，完善传播矩阵，培养开 源人才，链接各方资源促进开源繁荣 理事会 安全委员会 技术监督委员会 依据项目属性，选取若干家行业优秀企 业共同组成，对项目未来发展献计献策 白金捐赠人 黄金捐赠人 白银捐赠人 开源贡献人 17家 13家 20家 6家 截至2023年8 开源项目 40+个储备开 源项目 工业开源体系 区块链 云原生与超算 RISC-V芯片 终端操作系统 设计自动化 人工智能 开发环境及语言 中间件、数据库 工具软件 服务器操作系统 安全体系 16 中国开源基础软件 产业细分领域洞察 03 17 ©2023.11 iResearch Inc. 及绘制。 操 作 系 统 开 源 社 区 常 见 小 组 分 布 操 作 系 统 适 配 生 态 概 览 技术类 语言 基础功能 中间件 图形/桌面 架构/内核 云原生基础设施 安全 测试 行业解决方案 治理类 职能组织 社区基础设施 版本发行 社区生态管理 服务器 云计算 边缘计算 智能终端 桌面 … 操作系统应用场景 处理器 … 服务器 端设备

代信息技术下实现数字化转型的需求。 网易数帆依托网易二十余年互联网技术积累，系列软件基础平台产品和技 术方案，成熟应用于金融、零售、制造、能源、电信、物流等多个行业领 域，在技术先进性、性能优越性、产品成熟度及安全可靠性等方面得到了 各行业客户的验证。目前已服务各领域头部客户百余家，包括工商银行、 浙商银行、银监会、人保金服、深圳证券交易所、华泰证券、名创优品、 古茗、百胜集团、温氏集团、万向集团、大华股份、宁波钢铁、一汽解放、 信通院云计算标准和开源推进委员会成员 信通院首批开源供应商 浙江省云计算和大数据省级企业研究院 CNCF 官方认可的 Kubernetes 服务提供商 CNCF KCSP认证 管理体系相关资质 ISO 27001 信息安全管理体系认证 ISO 2000 信息技术服务管理体系认证 ISO 9001 质量管理体系认证 CSA STAR Certification 2013 服务管理认证 CMMI (三级) 认证 大数据技术认证资质 企业级应用快速开发平台，助力企业提升开发效率降低开发成本。 轻舟低代码 14 生命周期管理 丰富的中间件及统一的管控平台，支持 全生命周期的运维操作。 高可用 支持节点、可用区级故障，灵活调度策 略，有效保障数据安全性与可用性。 故障恢复 支持 Node 级和实例级故障自动恢复， 无需人工值守。 异构网络访问 支 持 异 构 协 议 转 换 为 HTTP 协 议 RESTFUL 接口，具备请求转换能力，有

要想做到拓宽上下⽂⻓度（Context），在模型训练和推理侧都存在算⼒+显存的双重挑战。
⽐如，计算量会随着上下⽂⻓度的增加呈平⽅级增⻓⸺⽐如上下⽂增加32倍时，计算量实际会增⻓ 1000倍；⽽在推理⽅⾯，即使是将单机显存配置拉到⽬前的最⾼⽔平（如配备8张80GB显存的GPU芯 ⽚），最多只能在千亿级模型上处理约5万汉字的⻓度。
但在Kimi
智能助⼿上，Moonshot团队通过创新的⽹络结构、改进算法策略等等，对模型训练的各个 的，什么是错的。每个⼈都应该要有这种个性化定制的机会，所以以后的AI也应该要拥有“对⻬”的 机会。（Alignment，指确保AI系统的⾏为匹配预期的⼈类价值观和⽬标的过程）。当然，我们肯定要 去设置安全底线，以及监管层⾯的东西。在这个基础上，可以有很多个性化AI的机会。
36氪：个性化的AI，它的实现路径是什么？每个⼈都能训练⼀个代表⾃⼰的AI模型吗？
杨植麟：你刚说的训练是⼀种⽅式，但我 ⽤⼾需要等待极⻓的时间才能获得反馈；
• ⼆是⻓下上⽂推理需要的显存容量巨⼤：以
1750
亿参数的
GPT-3
为例（GPT-4、Claude
等模型参 数量未知，故⽆法估算），⽬前最⾼单机配置
(80
GiB
*
8)
最多只能⽀持
64k
上下⽂⻓度的推理， 超⻓⽂本对显存的要求可⻅⼀斑； • 三是⽬前的显存带宽⽆法满⾜需求：英伟达
A800
或
H800
的显存带宽⾼达
2-3
TiB/s，但⾯对如此

IT 资产 为什么要使⽤堡垒机？ - 以更安全、更⾼效的⽅式管控和登录各种类型的资产 - 系统管理员 普通⽤户 外包⼈员 临时访客 服务器 ⽹络设备 数据库 Kubernetes 事前授权 事中监察 事后审计 管理者期望 堡垒机的 4A 能⼒ 身份鉴别 Authentication 授权控制 Authorization 安全审计 Auditing 账号管理 Accounting Accounting 远程应⽤ 堡垒机 堡垒机需要具备的四个核⼼能⼒ 身份鉴别 账号管理 授权控制 安全审计 - 运维安全审计的 4A 规范 - Authentication Accounting Authorization Auditing 追溯保障、事故分 析的依据 防⽌ 身份冒⽤和复⽤ ⼈员账号和资产账 号的统⼀⾼效管理 防⽌ 内部误操作和权限滥⽤ 等级保护推动堡垒机发展 发布《计算机信息系统安全等级保护 划分细则》 这⼀年被称为等级保护元年。等级保 护 1.0 （《信息安全技术-信息系统安 全等级保护定级指南》GB/T22240、 《信息安全技术-信息系统安全等级保 护基本要求》GB/T22239-2008）相关 标准发布实施。 《中华⼈⺠共和国⽹络安全法》发 布，这是⽹络安全的“基本法”，具有 强制性规范作⽤。 《信息安全技术⽹络安全等级保护 2.0 标准》正式实施，等级保护正式

协作有重要 意义。 关于开展线上还是线下的开源活动/会议，参与者们各抒⼰⻅，线下活动可以⾯对⾯地沟通交 流，交流更有效率，氛围更好，可以有更多⾛出去看看，结交新朋友的机会，⽽线上活动则更 加安全、便捷，不受时间、地域等限制，成本低廉，且会议内容可以录像，⽅便会后复查，当 然，线下录像也是越来越普遍。 2020 年是⼗分特殊的⼀年，COVID-19 这场世界性的疫情给各⾏各业都带来了不同程度的冲 部分⼈的⽐例提升。 5.8 开源软件安全 有近七成的参与者表示不会有不安全感，但同时也仍有 25% 的参与者表示会有此类担忧，开 源软件的安全问题仍然值得我们关注。 【专家点评】 红薯：开源软件由于其机制的关系，通过开源社区不断地发现问题并维护，其安全问题可能并 不是开发者们的主要关注点。其实除了技术⽅⾯的安全问题，开源合规性等许可证⽅⾯的安全 问题同样需要开发者们重视，许可证冲突 问题同样需要开发者们重视，许可证冲突问题所带来的法律⻛险影响⾮常⼤且很难被发现，尤 其是对于企业来说，检查所使⽤的开源软件合规性，其重要性不亚于其技术安全。 5.9 中国成⽴开源基⾦会的作⽤ 参与者们⼀致认为中国成⽴开源基⾦会是⾮常有意义的，可以推⼴开源的理念，开源⽂化教 育，社区建设，建⽴开源⽣态体系，利于开源项⽬早起的孵化和扶持，帮助中国开源社区进⾏ 资源的整合和优化，也有助于接轨国际开源社区。 【专家点评】 蒋涛

这个前言里，我们就聊聊感想吧。 出圈 开源不仅越来越热，而且已经在圈外的朋友中引发了各种讨论。首 先是嗅觉灵敏的投资人开始关注开源这个“赛道”，然后是基于中美 对抗的背景，很多人开始从国际政治、国家实力、国家安全的角度， 来探讨开源（这个原本是纯技术的范畴）。直到最近几起开源软件安 全事件，更是令大家议论纷纷。这样一个令人喜忧参半的现象，也 许还会继续持续下去。 生态责任 在开源还只是一个小众群体的业余爱好时，几乎做任何事情，都是 自由的。但是，在软件吞噬世界、开源吞噬软件的今天，开源技术， 2021 中国开源年度报告 3 已经成为整个世界的基础设施之一。能力越大，责任越大。应用越广， 风险越高。我们应该如何思考与保障开源供应链安全呢？应该如何 建设更加健康的开源生态呢？在这样一种生态中，各方的责任又该 如何界定呢？ 历史感 开源社已经连续第四年发布中国开源年度报告了，也举办了第六届 中国开源年会了。不断的，在与朋友的交流中，我们常常会谈到 年度最受开发者关注的组织 ……………………………………………………………………… 67 2.7 Gitee 指数 ………………………………………………………………………………………… 68 2.8 开源安全与合规 …………………………………………………………………………………… 70 3 总结 ………………………………………………………………………………………… 71 2021 中国开源年度报告商业化篇