2024 中国开源年度报告

Appearance

大事记篇

前言 - @庄表伟

在编写今年的开源大事记的过程中,我们不断深切的感受到:开源 & AI,作为数字时代的创新引擎,正以前所未有的速度重塑全球技术格局。 2024 年的开源大事记,既记录了中国开源力量的崛起,也聚焦国际开源生态的剧变——因为每一个全球性技术突破、每一次开源治理的范式转移,都与中国开源社区的未来息息相关。

由于章节重构的原因,我们今年的开源大事记,主要是梳理人工智能技术发展之外的大事,在 AI 之外,2024 年的开源世界也同样精彩,我们总结出以下特点:

  • 开源技术突飞猛进:国产编程语言层出不穷、国产 AI 与大数据领域的进展令人惊喜、RISC-V 芯片规模化落地,开源定义技术前沿。
  • 安全风险触目惊心:XZ 后门潜伏三年、国家级供应链攻击频发,开源防线面临终极考验。
  • 社区生态风波不断:Linux 内核驱逐俄籍贡献者、Redis 许可证变更引分叉,信任危机撕裂协作根基。
  • 地缘博弈愈演愈烈:美国 AI 芯片出口管制、欧盟开源合规立法,技术主权争夺战白热化。
  • 开源治理范式升级:中国最高法首判 GPL 效力、Redis 分叉 Valkey 崛起,规则重构决定生态未来。
  • 开源教育百花齐放:百校开设开源课程、千万行代码实战育人,人才造血机制全面激活。
  • 开源政策重塑格局:国家与各省市专项政策落地、全球合规框架角力,开源成数字经济战略必争之地。

这份报告不仅是记录,更试图揭示趋势:当 AI 开始编写代码、当地缘政治切割技术生态、当法律判决定义开源边界,我们正站在开源发展史的关键转折点。期待这份汇聚技术突破、安全警示、商业探索与政策思辨的《开源大事记》,能为中国开源参与者提供穿越变革的航标——因为明天的开源规则,将由今天的实践者共同书写!

一. 开源技术 @袁滚滚 & @INP

1.1 操作系统与编程语言

  • Linux 内核 6.7 正式版发布 Linux Kernel 6.7 稳定版本发布,包含超过1.7万个非合并提交和1000多个合并提交,是迄今为止最大的内核版本之一。

  • Linux 主线内核已合并史诗级补丁 「PREEMPT_RT」 在2024年9月的欧洲开源峰会上,Linus Torvalds宣布‘PREEMPT_RT’(Real-Time Linux)补丁已被接受合并到Linux主线内核。从Linux 6.12开始,所有发行版都将包含实时Linux代码。这意味着Linux将开始运行在更多任务关键设备和工业硬件上。

  • 「星绽」操作系统宣布面向全球开发者开源 中关村实验室、蚂蚁集团、北京大学、南方科技大学等联合对外发布开源系统软件栈——「星绽」,并向全球开发者开源,提供安全可信的技术底座。

  • 国产编程语言 MoonBit 正式开源其构建系统 moon MoonBit 的构建系统 moon 正式开源,为 MoonBit 项目提供编译构建、自动化测试工具、覆盖率测试、包管理器等功能。moon 还为 IDE 提供详尽的项目结构和依赖信息,确保在高度交互的开发环境中提供流畅的用户体验。

  • 字节跳动开源 Linux 内核网络抓包工具 netcap 字节跳动 STE 团队开源了 Linux 内核网络抓包工具 netcap,该工具可以几乎跟踪整个内核网络协议栈,帮助开发者提高内核网络丢包问题的定位效率。

  • Python 已超越 JavaScript 成为 GitHub 上最受欢迎的语言 GitHub Octoverse 2024 报告显示,Python 已超越 JavaScript 成为 GitHub 上最受欢迎的语言,主要由于其在数据科学、机器学习和科学计算等领域的主导地位。生成式 AI 在软件开发中继续占据重要地位,GitHub 上对生成式 AI 项目的贡献大幅增加。报告还强调了全球开发社区的显著增长,尤其是印度、尼日利亚和巴西等地区。开源依旧是 GitHub 创新的基石,2024 年向公共存储库的贡献量接近 10 亿。

  • 华为自研编程语言「仓颉」鸿蒙应用开发新语言,性能优于 Java、Go、Swift 华为在 HDC 2024 大会上正式宣布了其自研编程语言「仓颉」。这款语言面向全场景应用开发,旨在提供高效编程、安全可靠、轻松并发、卓越性能和敏捷扩展的能力。仓颉语言支持声明式 UI 和一次开发、多端部署,填补了国产编程语言的空白。华为通过长期投入和打磨,使仓颉语言具备了多项先进特性,包括高效的并发模型、跨语言互操作能力和原生智能化支持。

  • Rust 基金会在 C++ 和 Rust 互操作性方面取得进展 Rust 基金会发布了一份 「C++/Rust 互操作性问题陈述」 的声明,描述了 C++ 和 Rust 互操作计划的未来工作,旨在提供透明度并鼓励合作共同克服互操作性的障碍。

  • Java 23 现已全面推出 这是一个非 LTS(长期支持)版本,Oracle 仅提供六个月的支持。此版本包含 12 个 JEP,其中包括将 ZGC 的默认模式切换为分代模式。具体改进包括:模式中的原始类型、instanceof 和 switch(Preview)、Class-File API(Second Preview)、Markdown 文档注释、Vector API(Eighth Incubator)、Stream Gatherers(Second Preview)、弃用 sun.misc.Unsafe 中的内存访问方法并删除、ZGC:默认的分代模式、模块导入声明(Preview)、隐式声明的类和实例主方法(Third Preview)、结构化并发(Third Preview)、范围值(Third Preview)、灵活的构造函数主体(Third Preview)。

  • 滴滴出行开源 Flutter 混合开发框架 Unify 滴滴出行国际化外卖团队自研的 Flutter 混合开发框架 Unify 正式开源。Unify 解决了大规模跨端落地场景下,Flutter 与原生模块之间的通信问题,具有平台无关的模块抽象、灵活的实现注入和自动代码生成等亮点特性。

  • 微软发布 MS-DOS 4.00 源码 微软与 IBM 合作,在 MIT 许可下发布了 MS-DOS 4.00 的源代码。此次发布源于一位年轻研究员发现的未公布版 DOS 4.0 测试版二进制文件,微软经过成像和扫描后决定分享这段操作系统历史。

  • 麒麟软件开源跨平台通用 Linux 端间互联组件 Klink 麒麟软件在开源社区 openKylin 发布了跨平台的通用 Linux 端间互联组件 Klink,支持在 Linux 上跨平台设备之间的发现、连接、组网、认证及数据安全传输。

  • 同济大学开源基于 XuWare 中间件的功能安全计算操作系统 同济大学开发的面向任务关键型系统需求的计算中间件 ——XuWare,凝聚了同济大学在轨道交通列车控制、汽车电子等领域的长期研发积累。这类系统对实时性、安全性和可靠性有着极高要求,必须具备功能安全、信息安全、故障隔离与恢复等能力。并将其核心实现代码开源至 OpenAtom openEuler 社区。

  • AI 编程语言 Mojo 正式开源标准库 AI 编程语言 Mojo 宣布开源标准库核心部分,包含用于优化 AI 超参数的功能,这些超参数决定了神经网络处理数据的方式。Mojo 是 Modular AI 公司开发的新编程语言,它结合了 Python 的易用性以及 C 语言的可移植性和性能,目标是使其成为 AI 研究和生产的理想选择。

1.2 Data Infra

  • 数据库霸主 HBase 正在消亡 Pinterest 工程团队宣布将弃用 HBase 集群,转向 Druid/StarRocks、Goku、KVStore、TiDB 等数据库技术。Pinterest 曾拥有全球最大的 HBase 部署,但由于维护成本高、专业人才难寻、功能不足等原因,决定逐步淘汰 HBase。这一决定引发了技术社区对 HBase 未来发展的广泛讨论。

  • 国产开源时序数据库 IoTDB 登顶 TPCx-IoT 源于清华大学的开源时间序列数据库 IoTDB 登顶数据库国际权威榜单TPCx-IoT,性能和性价比双指标刷新世界纪录。IoTDB 旨在满足大规模物联网和工业物联网应用的严苛要求。

  • PostgreSQL 17 发布 PostgreSQL 17 现已发布,被誉为世界上最先进的开源数据库的最新版本。新版本包括大规模操作数据库的改进和增强的开发者体验。

  • 华为 openUBMC 正式开源 BMC(Baseboard Management Controller,基板管理控制器)作为算力设备管理中心,是算力节点智能化管理的核心。openUBMC 以华为 BMC为基础,通过社区共建共享南北向生态,减少重复开发成本,最终实现南向硬件和北向网管即插即用自适配;同时,基于 openUBMC 先进的微组件架构和 BMC Studio 一站式开发能力,实现伙伴和开发者高效适配硬件、快速开发 APP 组件、灵活定制北向接口,并且还可以快速完成自研价值特性的开发,构建差异化竞争力。

  • 微软宣布开源数据处理系统 Drasi 微软宣布开源了一个新的数据处理系统 Drasi,该系统可以检测并应对复杂系统的变化,简化关键事件的检测和响应。该项目已提交至云原生计算基金会 (CNCF)。

  • 腾讯开源高性能日志系统 BqLog 腾讯开源高性能日志系统 BqLog,一个源于《Honor Of Kings》(王者荣耀国际服)的,轻量级、跨平台、高性能的日志组件。由 C++ 实现,同时支持 Java,C# 的调用。可以用于 Unreal、Unity 等游戏引擎,也能用于 Android、IOS 环境下的 App。

  • Kubernetes 十周年庆典中,团队回顾发展史致敬开源 在谷歌总部举办的 Kubernetes 十周年庆典活动上,Kelsey Hightower 和 Solomon Hykes 回顾了容器技术的发展历程及其对科技行业的影响。Docker 和 Kubernetes 早期的竞争非常激烈,Docker 的用户友好界面挑战了谷歌的云计算战略。尽管最初存在冲突,但开源项目的合作最终统一了容器社区。

  • CockroachDB 调整开源许可证以促使大企业支付使用费 Cockroach Labs,即分布式 SQL 数据库 CockroachDB 的商业和核心开发者,五年前放弃了开源模式,现宣布再次更改其许可策略。公司决定将自托管产品统一为单一企业许可,旨在激励大型企业为其真正所需的特性支付费用。同时,低于此收入阈值的初创企业可以免费使用相同的企业版,希望他们能够发展到最终需要支付这些高级功能费用的规模。

  • Canonical 宣布为 K8s 提供长期支持的「无发行版」容器化应用程序 Canonical 公司将长期限支持(LTS)服务从 Ubuntu Linux 发行版扩展到为 Docker 打包的开源软件提供长达 12 年的安全支持,专注于 Kubernetes 环境以实现最大效率。这些 LTS 容器已认证可在 Canonical 的 MicroK8s 和 Charmed Kubernetes 平台上运行,同时也适用于其他主要的 Kubernetes 环境,如 Red Hat OpenShift 和 VMware 的 Tanzu。

  • OSSummit 上指出:DevOps 时代未逝,但亦非生机勃勃 DevOps 时代并未结束,但其活力似乎并未如预期般旺盛。在北美开源峰会(OSSummit)期间举行的 cdCon 上,持续交付基金会(CDF)发布了其第五次年度 CI/CD 状态报告,报告强调了 DevOps 部署指标面临的重大挑战。尽管有 83% 的开发人员从事 DevOps 工作,但其中只有 14% 能够在一天内部署代码,自 2020 年以来这一数字并未有所变化。一天内多次部署的频率从 2020 年的 11% 下降至 9%,仅有 11% 的人员能在不到一小时内恢复服务。

  • Elastic 宣布 Elasticsearch 和 Kibana 源代码采用开源许可证 Elastic 宣布采用 GNU Affero 通用公共许可证 v3(AGPL)用于 Elasticsearch 和 Kibana 的部分源代码。这一举措旨在加强开源参与和采用,允许用户和开发者自由使用、修改、重新分发以及协作开发软件。向 AGPL 过渡不会影响现有的 SSPL 1.0 或 Elastic License 2.0 用户,也不会改变 Elastic 的二进制分发。这次许可证更新支持公司对开源透明度和社区协作的承诺。

  • IBM 可能会将 Terraform 的 BSL 许可证重新转换为开源许可证 在 IBM 即将收购 HashiCorp 的背景下,围绕 Terraform 的 BSL(商业源代码许可)与更自由的 MPL(Mozilla 公共许可)之间的转变及其可能的回归引发了关注。IBM 对开源的长期承诺,特别是其对 Linux 的贡献和 GPL(通用公共许可)下的保护立场,为 Terraform 可能回归到更自由的开源模式提供了线索。

  • Databricks 收购 Tabular 拥抱开源 Databricks 收购 Tabular 后,将 Apache Iceberg 和 Delta Lake 格式合并,统一领域。此举旨在通过两种格式的特性,标准化数据湖仓环境并增强功能。尽管 Delta Lake 和 Iceberg 存在差异,Databricks 通过其开源格式 Delta Lake UniForm 寻求兼容性。

  • 蚂蚁开源基于云的下一代版本控制系统 HugeSCM 蚂蚁开源基于云的下一代版本控制系统 HugeSCM,旨在解决研发过程中存储库规模问题。它既能处理单一存储库体积巨大的挑战,也能应对存储单一文件巨大的问题。相比于传统的集中式版本控制系统(如 Subversion )和传统的分布式版本控制系统(如 Git ),HugeSCM 不受存储架构和传输协议的限制。

1.3 AI & AI Apps

  • 马斯克宣布开源大模型 Grok 模型权重及网络架构 马斯克旗下的 xAI 正式宣布在 Apache 2.0 协议下开源了大模型 Grok-1 的基本模型权重和网络架构。该模型参数量达到 3140 亿,远超 Meta 的 Llama 2 的 700 亿、Mistral 8x7B 的 120 亿以及 OpenAI GPT-3.5 的 1750 亿,成为迄今参数量最大的开源大语言模型。

  • Meta 先后发布 Llama 3 等开源模型,提升性能与多样化应用 Meta 其 Llama 系列的最新产品——Llama 3 人工智能模型,包括两个版本:Llama 3 8B 和 Llama 3 70B,分别拥有 80 亿和 700 亿参数。这两个模型在多项 AI 性能基准测试中显示出优越的表现,超越了同类竞争产品。Meta 声称这些模型在数据集大小、多样性和性能上均有显著提升,尤其在代码生成、历史和 STEM 领域问题回答上的准确度更高。

  • Mistral AI 开源了大模型 Mistral 8x22B Mistral AI 公司开源了一款大模型 —— Mistral 8x22B,模型文件大小为 281.24 GB。该模型是去年开源的「mixtral-8x7b」的超级大杯版本,参数规模增长三倍,由 8 个 220 亿参数规模 (8×22B) 的专家网络组成。

  • 智源研究院开源大模型通用算子库FlagGems 目前 FlagGems 已经成为了全球最大的、基于 Triton 的人工智能通用算子库,拥有超过 130 个大模型高频使用的算子,并在英伟达硬件上取得比 CUDA 更好的算子平均性能。当前 FlagGems 已经支持了包括英伟达在内的 7 家芯片厂商的多种 AI 芯片,旨在为多元 AI 芯片提供开源、统一、高效的算子层生态接入方案。

  • 阿里通义千问 Qwen2 大模型开源 阿里通义千问 Qwen2 大模型现已发布,并在 Hugging Face 和 ModelScope 上同步开源。Qwen2 采⽤不同的模型许可。除了 Qwen2-72B 依旧使⽤此前的 Qianwen License 外,其余模型,包括 Qwen2-0.5B、Qwen2-1.5B、Qwen2-7B 以及 Qwen2-57B-A14B 在内,均采⽤ Apache 2.0 的许可。

  • 浪潮信息发布「源2.0-M32」开源大模型 「源2.0-M32」在基于「源2.0」系列大模型已有工作基础上,提出和采用了「基于注意力机制的门控网络」技术,构建包含 32 个专家(Expert)的混合专家模型(MoE),借此提升了模型算力效率,模型运行时激活参数为 37 亿。

  • 字节跳动豆包大模型团队开源 FullStack Bench FullStack Bench 是专注于全栈编程和多语言编程的代码评估数据集。该数据集在业界首次囊括编程全栈技术中超 11 类真实场景,覆盖了 16 种编程语言,包含 3374 个问题,相比此前基准,可以更有效地评估大模型在现实世界中的代码开发能力。同时,高效的代码沙盒执行工具 SandboxFusion 也一起开源,用于评估来自不同语言的不同编程任务。

  • 斯坦福大学团队开源端侧大模型 Octopusv2 斯坦福大学研究团队推出了一款全新的开源端侧大模型 Octopusv2,拥有 20 亿参数,专为在 Android 设备上运行而设计,同时适用于汽车、个人电脑等其他端侧设备。该模型在准确性和延迟方面的表现超越了 GPT-4,并且在上下文长度上减少了 95%。

  • DeepSeek 开源 DeepSeek-V3 DeepSeek 全新系列模型 DeepSeek-V3 首个版本上线并同步开源,DeepSeek-V3 为自研 MoE 模型,671B 参数,激活 37B,在 14.8T token 上进行了预训练,团队介绍 DeepSeek-V3 多项评测成绩超越了 Qwen2.5-72B 和 Llama-3.1-405B 等其他开源模型,并在性能上和世界顶尖的闭源模型 GPT-4o 以及 Claude-3.5-Sonnet 不分伯仲。

  • 蚂蚁&浙大开源大模型知识抽取框架 OneKE 蚂蚁集团和浙江大学联合开发并开源了大模型知识抽取框架 OneKE,支持中英双语,基于 LLaMA2 全参数微调,测评显示其在多个实体、关系、事件抽取任务上表现良好。

  • 苹果发布新型 AI 开源模型 OpenELM,助推 iPhone 本地运行 AI 苹果公司近日发布了一系列名为 OpenELM 的全新 AI 语言模型,旨在提高 iPhone 等设备上运行人工智能应用的效率。这一系列包含四种不同规模的模型,参数量分别为 2.7 亿、4.5 亿、11 亿以及 30 亿,相较于现有的轻量级 AI 模型体积更小,专为手机和笔记本电脑等设备优化设计。OpenELM 模型是开源的,开发者可立即使用它们进行文本相关任务,如撰写电子邮件。

  • Databricks 近日宣布推出开源 AI 模型 DBRX DBRX 采用 transformer 架构,包含 1320 亿参数,共 16 个专家网络组成,每次推理使用其中的 4 个专家网络,激活 360 亿参数。在语言理解、编程、数学和逻辑方面,对比 Meta 公司的 Llama 2-70B、法国 MixtralAI 公司的 Mixtral 以及马斯克旗下 xAI 开发的 Grok-1 等主流开源模型,DBRX 均优势胜出。

  • 亚马逊首席技术官开发会议摘要应用 亚马逊首席技术官 Werner Vogels 和他的团队开发了一个名为 Distill 的开源应用,用于转录和总结会议内容。这个应用利用了多种亚马逊的服务,包括 AWS Transcribe 进行语音转录,Amazon S3 提供存储空间,以及 Bedrock 平台进行内容总结。Distill 能够将会议内容转化为文本和代办事项列表,并可通过集成功能发布到如 Slack 等平台。尽管 Distill 提供了选择不同 AI 模型进行摘要的选项,但仍需人工调整可能出现的错误,强调了人工智能的局限性和保持批判性思维的重要性。

  • Meta 开源 MEGALODON 大型语言模型,实现高效长序列建模 Meta 公司的研究人员联合南加州大学、卡内基梅隆大学和加州大学圣地亚哥分校的同事近日开源了一个名为 MEGALODON 的大型语言模型(LLM)。该模型具有无限上下文长度,计算复杂度呈线性增长,并且在同一规模下,其在多项基准测试中的表现超越了 Llama 2 模型。

  • 端到端 RAG 解决方案 RAGFlow 正式开源 RAGFlow 是一款完整的 RAG 解决方案,允许用户上传并管理自己的文档,支持多种文档类型,并能通过大模型对文档进行提问。

  • 达摩院开源文档处理模型 mPLUG-DocOwl1.5 阿里巴巴达摩院与中国人民大学联合开源了 mPLUG-DocOwl1.5 文档处理模型。该模型无需 OCR 即可理解文档内容,在多个视觉文档理解基准测试中表现领先。mPLUG-DocOwl1.5 强调结构信息的重要性,并已在 GitHub 上公开发布。

  • Meta 开源新型多标记预测语言模型 Meta 开源了一系列具有多标记预测能力的创新语言模型。这些模型旨在一次性预测多个标记,与传统的单标记预测模型相比,承诺提供更快、更高效的语言处理能力。这些新语言模型的目标是增强各种应用,包括聊天机器人、翻译服务和其他由 AI 驱动的通信工具。通过同时预测多个单词,这些模型可以生成更连贯、更符合上下文的响应,提升整体用户体验。

  • Qdrant 推出基于纯向量的混合搜索以实现更精确的 AI 数据检索 Qdrant 作为一款高性能的开源向量数据库,今天宣布推出了 BM42,这是一项面向现代人工智能和增强式检索生成应用的新型纯基于向量的混合搜索方法。这种新算法标志着基于文本的关键字搜索能力的新纪元,适用于 RAG 和 AI 应用程序,它允许企业客户将两种优势完美融合。

  • Google 发布并开源 27B 参数的 Gemma 2 语言模型 Google DeepMind 最近开源了 Gemma 2,这是他们新一代小型语言模型家族中的一员。Google 对 Gemma 架构进行了几项改进,并运用了知识蒸馏技术,赋予了这些模型最先进的性能:Gemma 2 在可比较尺寸的其他模型中表现优于它们,并且与尺寸是其两倍的模型竞争性相当。

  • NIST 发布开源人工智能模型风险测试工具 美国国家标准与技术研究院(NIST)重新推出了一款名为 Dioptra 的测试床,该工具旨在测量恶意攻击,尤其是“污染”人工智能模型训练数据的攻击,可能对人工智能系统性能的影响。Dioptra 是一个开源的、模块化的、基于 Web 的工具,首次发布于 2022 年,它帮助训练 AI 模型的公司和使用者评估、分析和跟踪 AI 风险。NIST 表示,Dioptra 可以用于基准测试和研究模型,还可以提供给模型一个共同的平台,在模拟威胁的“红队”环境中进行测试。

  • Meta 开源 DCPerf,一种超大规模工作负载的基准测试 Meta,即以前的 Facebook,这家社交媒体巨头开发了自己的性能测试工具 DCPerf,用以衡量其超大规模应用的性能需求,这些应用需要大量的服务器使用。该公司在 GitHub 上以 MIT 开源许可证发布了这一基准测试套件,供学术界、硬件产业和其他互联网公司使用。DCPerf 设计用来评估超大规模计算工作负载,提供了一系列基于大型 Meta 应用的基准测试模型。

  • 上海人工智能实验室开源 PDF 文档提取工具 MinerU MinerU 是一款将 PDF 转化为机器可读格式的工具,可以方便地抽取为任意格式。项目旨在解决科技文献中的符号转化问题,为科技发展做出贡献。

1.4 IoT 与开源硬件

  • 上海城市级区块链基础设施开源技术平台 「ChainWeaver」发布 上海浦芯未来互联网技术研究院发布下一代互联网 Web3.0 底层开源技术平台 「ChainWeaver」,将支撑上海城市级区块链基础设施的建设。

  • 长城汽车发布中国首颗基于开源 RISC-V 内核设计的车规级 MCU 芯片 长城汽车正式宣布其联合开发的 RISC-V 车规级 MCU 芯片 —— 紫荆 M100 已完成研发并成功点亮。这是中国首颗基于开源 RISC-V 内核设计的车规级 MCU 芯片,具备更快的处理速度和更少的耗时,符合多项国际标准。

  • 腾讯开源自动驾驶仿真软件 TAD Sim 腾讯宣布开源自动驾驶仿真软件 TAD Sim,该软件基于腾讯专业的游戏引擎和厘米级数字孪生三维重建技术,支持全栈算法的闭环仿真验证,降低研发成本并缩短研发周期。

  • 小米将公开超1000万行 Xiaomi Vela 开源代码 小米计划通过与 Android 和 Linux 系统的深度融合来改进智能手表、智能手机等设备的用户体验,并拓展至汽车、机器人、智能制造等更广泛的 IoT 应用场景。小米将对外公开超过 1000 万行的 Xiaomi Vela 开源代码,目前已完成开源代码合规审查和优化开箱体验。开源主站将设在 GitHub 上,同时在 Gitee 设立镜像站点。

  • 中科院第三代 「香山」系列开源高性能 RISC-V 处理器核 「昆明湖」发布 中科院推出第三代 「香山」系列开源高性能 RISC-V 处理器核 「昆明湖」,性能已经能够 PK 英特尔的 12 代酷睿,也不输给 Arm Neoverse N2 内核。

  • 中科大华为发布开源 EDA 物理设计框架 中科大 MIRA Lab 和华为诺亚方舟实验室联合发布了新的评估框架和数据集,完全开源。这套标准有望解决芯片物理布局中布局指标与最终性能不一致的问题。

二. 开源软件安全 @王峰

2.1 恶意代码与后门植入

  • XZ 工具后门 开源压缩工具 XZ Utils 被发现植入了后门代码,潜伏三年,攻击者可以通过 SSH 未经授权访问系统。后门的注入被追溯到 2021 年底,通过复杂的社会工程手段隐蔽操作。近期开源圈 xz Utils 安全事件引发了关注。入侵者通过社会工程的方式,潜伏两三年后获得项目高级权限,执行一系列复杂操作。这些事件提醒开源社区和维护者需要加强项目管理和维护,提高项目安全性。

  • Vant 与 Rspack 攻击 有赞的 Vant 和字节跳动的 Rspack 是流行的开源项目,它们的多个版本被注入恶意脚本。攻击者通过窃取项目团队成员的 npm token 上传含有恶意代码的版本。这些恶意版本通过被广泛使用的 npm 包传播,导致开发者和终端用户的代码被感染,可能导致数据泄露、远程代码执行等风险。该事件暴露了 npm 存储库中潜在的安全漏洞。

  • SQLite 后门 SQLite 项目中被发现含有未授权的后门代码,这段代码被成功植入至多个 SQLite 版本。Google 研究人员利用 AI 大模型检测到该后门,能够触发内存泄漏和代码执行漏洞。攻击者能够利用这一漏洞在受影响的系统上执行恶意代码,严重时可导致完整的系统控制权丧失。此漏洞被修复后,SQLite 开发团队对代码进行了严格审查,提升了安全性。

  • OpenSSH 漏洞 CVE-2024-6387 是一个由 OpenSSH 中的信号处理竞争条件导致的严重漏洞。攻击者利用该漏洞可以远程执行任意代码,并获得 root 权限,严重影响系统的安全性。此漏洞通常通过在 SSH 会话中注入恶意信号,迫使系统在未经验证的情况下执行特定代码。攻击者能够获取目标机器的完全控制权,造成数据泄露和系统崩溃的风险。

  • 开源压缩软件 7-Zip 被曝严重安全漏洞 7-Zip,是一款广泛使用的开源压缩软件,近期曝出了一个严重的安全漏洞,编号为 CVE-2024-11477。该漏洞发生在 Zstandard 压缩格式的解压过程中,攻击者可通过制作特制的压缩档案,并诱导用户打开该文件来触发漏洞。一旦触发,攻击者能够执行恶意代码,从而控制用户的计算机。此漏洞的危害在于,7-Zip 是一款知名的压缩工具,很多用户未曾留意该软件的安全问题,导致大量用户面临安全风险。

  • RISC-V 中被发现可远程利用的中危漏洞 西北工业大学的网络空间安全研究团队在 RISC-V SonicBOOM 处理器设计中发现了一个可远程利用的中危漏洞。该漏洞允许攻击者通过网络访问影响到系统的正常运行。RISC-V 是一种开源指令集架构,广泛用于高性能计算、嵌入式系统等领域。此漏洞的公开引发了对 RISC-V 生态中硬件设计安全性的新一轮审视,特别是在多方参与的开源硬件开发过程中,漏洞的及时修复和追踪成为了确保系统安全的关键。

  • OpenWrt 高危漏洞 OpenWrt 项目发布了一个安全公告,报告其 attended.sysupgrade 服务存在一个高风险漏洞(CVE-2024-54143)。该漏洞允许攻击者通过远程利用,污染 OpenWrt 固件镜像并向用户推送恶意固件。这使得攻击者能够通过固件升级的途径在设备中植入恶意代码,进而控制受影响的路由器或其他网络设备。由于 OpenWrt 被广泛应用于路由器、嵌入式设备等领域,该漏洞一旦被利用,可能导致大规模的设备感染和网络攻击。

2.2 代码库、制品、代码篡改及依赖劫持

  • Docker Hub 加密劫持 Docker Hub 中的一些流行镜像,如 "nginx" 和 "alpine",被发现含有加密货币挖矿程序。攻击者通过修改这些镜像,将恶意代码嵌入其中,而这些镜像通常会被大量下载。受害者下载并使用这些被篡改的镜像后,会无意中为攻击者提供计算资源,用于加密货币的挖掘,影响了 Docker 用户的服务器性能。此事件揭示了 Docker 镜像供应链的安全问题。

  • GitHub 恶意软件 开源仓库遭到恶意篡改,攻击者在多个仓库中植入恶意代码,这些代码用于传播勒索软件。当开发者或企业下载并使用这些篡改过的仓库时,勒索软件会自动执行,并加密系统文件,要求支付赎金。该事件突显了 GitHub 上开源代码管理的安全隐患,尤其是当维护者权限被滥用时。

  • GitHub 幽灵仓库 GitHub 平台出现了多个被称为“幽灵仓库”的虚假开源仓库,这些仓库的唯一内容是病毒文件,并且没有任何实际代码。这些仓库由一批虚假的僵尸账户创建并传播病毒,影响了超过 180 个 GitHub 用户。攻击者利用这些仓库伪装成开源项目,试图让开发者下载并运行带有恶意软件的代码,进而窃取数据或破坏用户系统。

  • RubyGems 后门 RubyGems 中的多个包(如 "rest-client")被发现含有后门代码。攻击者通过篡改这些包,在其被安装到开发者机器上时执行恶意脚本,窃取敏感数据或获取对目标机器的控制权。这些后门可能导致 API 密钥泄漏、数据库被窃取、甚至系统完全被控制。攻击者通过伪装成常用包,诱导开发者安装恶意版本,从而实施攻击。

  • Helm Charts 感染 在 Kubernetes 的 Helm Charts 中,流行的 "redis" 和 "nginx" 部署包被感染并嵌入了加密挖矿脚本。通过这些受感染的 Helm Charts,攻击者可以在部署 Kubernetes 应用时,利用集群的计算资源进行加密货币挖掘。该事件影响了多个企业级 Kubernetes 用户,暴露了 Helm 包和 Kubernetes 部署流程中的潜在风险。

  • Event-Stream 模仿攻击 攻击者模仿了之前在 NPM 上曝光的 Event-Stream 攻击事件,创建了新的恶意 NPM 包。这些包伪装成原有的 Event-Stream 包,试图通过诱导开发者下载并执行恶意代码来传播恶意软件。受害者下载这些包后,可能会遭遇数据泄露、远程控制和勒索软件攻击。此次事件凸显了开源社区在管理包和版本时的安全漏洞。

  • Go 模块篡改 攻击者伪造了流行的 Go 模块(如 "gin-gonic"),并上传修改过的版本,这些版本嵌入了恶意代码。恶意版本的 Go 模块被广泛使用,导致许多开发者在构建应用时不知情地将恶意代码引入其生产环境。该事件展示了 Go 语言模块管理中的潜在风险,尤其是在对依赖项和版本管理不严格的情况下。

  • NPM 门罗币矿工 在 NPM 上发现了名为 "crypto-mine" 的包,这个包被植入了门罗币挖矿脚本。该包利用开发者的计算资源进行加密货币挖矿,从而为攻击者带来收益。开发者通常在不知情的情况下安装了这个包,导致其开发环境的性能受到严重影响。该事件强调了在开源包中隐藏恶意挖矿程序的风险,提醒开发者注意依赖项的安全性。

  • NPM 假冒框架 在 npm 上发现了多个假冒的 JavaScript 框架包,如 "React-Advanced" 和 "VuePro"。这些包嵌入了恶意代码,旨在远程执行攻击者的命令。开发者在不知情的情况下使用这些假冒包后,可能面临代码注入、数据泄露和远程控制的风险。攻击者通过伪装成广泛使用的框架包来诱导开发者下载并执行恶意代码,暴露了 npm 生态系统中的潜在安全隐患。

  • NuGet 名称劫持 在 NuGet 包管理器中,攻击者通过创建高仿的包(如 "EntityFrameworks")并在其中嵌入恶意脚本,从而进行名称劫持。这些恶意脚本能够窃取 API 密钥、凭证或其他敏感信息,进而利用这些信息执行恶意操作或进行未授权访问。攻击者通过这一手段攻击开发者和企业系统,暴露了 NuGet 包的安全漏洞。

  • PyPI 勒索软件 在 PyPI 上,攻击者发布伪装成机器学习和 AI 工具的包(如 "tensorflow-plus"),这些包实际包含间谍软件和勒索软件。安装后,恶意代码收集用户的云服务凭证,并将其发送给攻击者。此外,勒索软件还会加密用户数据,要求赎金才能恢复。这一事件显示了 PyPI 中恶意软件伪装成有用工具的风险,提醒开发者要小心不明来源的库。

  • PyPI 未授权提交 PyPI 库中存在未经授权的提交,特别是在一些知名项目(如 "numpy")的非官方分支中,攻击者通过提交恶意代码或窃取用户数据,影响了大量开发者。恶意提交可能导致数据泄露、远程代码执行等安全问题。此事件凸显了 Python 包管理中的安全漏洞,特别是当第三方库未经过严格审查时。

  • SourceForge 未签名二进制文件 攻击者通过上传带有恶意代码的未签名二进制文件到 SourceForge 仓库,伪装成官方版本。用户下载并执行这些二进制文件后,可能会感染恶意软件。该事件暴露了 SourceForge 上开源软件发布过程中缺乏签名认证和文件验证的漏洞,影响了广大开发者的安全。

  • Linux 内核分支 Linux 内核的一个未受控分支被发现注入了后门代码。该分支未经过主线维护者的审核,攻击者利用这一漏洞进入 Linux 内核,进行不正当的操作。这些后门代码可能在目标系统上执行任意命令,导致系统完全控制权丧失。此事件加强了 Linux 内核维护和审核的安全流程,提醒开发者和用户注意内核版本和分支的来源。

  • Node.js 依赖树 攻击者通过利用 Node.js 项目的间接依赖链,向流行项目(如 "express")植入恶意模块。由于这些模块被间接依赖并且没有得到足够的审查,攻击者能够绕过通常的安全防护措施,导致恶意代码在开发环境和生产环境中被执行。此事件揭示了依赖树中潜在的安全漏洞,特别是在没有审查和验证所有间接依赖的情况下。

2.3 构建系统与容器

  • Jenkins 攻击 攻击者利用 Jenkins 的已知漏洞,在构建管道中植入恶意脚本。这些恶意脚本影响了多个项目的 CI/CD 流程,可能导致软件在未经过充分测试的情况下被发布到生产环境,进而引发安全漏洞或数据泄露。此事件突显了 DevOps 工具(如 Jenkins)中的安全漏洞,强调了持续集成和持续部署过程中的安全管理。

  • GitHub Actions 攻击 恶意攻击者在 GitHub Actions 中设置了有害的 CI/CD 工作流,这些工作流在运行时会下载并执行勒索软件。这种攻击方式展示了利用 CI/CD 环境传播恶意软件的风险,尤其是在安全防护不足时。企业和开发者应加强对 GitHub Actions 工作流的审查和管理,防止类似事件的发生。

  • Azure DevOps 被攻击 Azure DevOps 的构建管道凭证被攻击者窃取,随后攻击者利用这些凭证在企业内部分发恶意代码。这导致了多项开发项目的安全受到威胁。此事件强调了对构建管道和凭证的保护重要性,尤其是在 DevOps 环境中。攻击者利用这些凭证绕过了企业的安全防线,成功传播了恶意软件。

  • CircleCI 依赖注入 攻击者通过注入恶意依赖到 CircleCI 管道中,成功使企业内部系统遭到感染。这些恶意依赖会在构建过程中被自动下载和执行,影响了多个客户的 CI/CD 流程,导致数据泄露、代码篡改等安全问题。攻击者通过利用构建工具和自动化流程中的安全漏洞,能够绕过传统的安全防护措施。此事件揭示了开发流水线中的依赖安全问题,尤其是在使用外部依赖时。

  • PHP 框架攻陷 攻击者通过篡改流行 PHP 框架(如 Laravel、Symfony 等)的构建脚本,分发带有恶意代码的版本。这些恶意版本的 PHP 框架被广泛使用,攻击者能够通过修改框架代码实施远程代码执行、窃取凭证或注入后门等。该事件暴露了 PHP 框架生态中的供应链安全漏洞,特别是框架的构建和发布流程中的弱点。

  • Kubernetes YAML 文件漏洞 攻击者利用 Kubernetes 的 YAML 配置文件中的漏洞,成功访问内部系统资源。这些 YAML 文件通常包含对 Kubernetes 集群配置的定义,若其中嵌入恶意代码或错误配置,攻击者便可通过控制配置文件来触发漏洞。该漏洞的存在意味着攻击者可以利用错误的访问控制策略,进而窃取敏感信息或执行任意命令。这一漏洞揭示了在使用 Kubernetes 集群时,配置文件的安全管理至关重要,尤其是在多个团队或第三方在共享配置文件的情况下。

  • Docker 容器逃逸 Docker 容器逃逸漏洞允许攻击者从受限的容器环境逃逸到主机系统,从而获得对主机操作系统的完全控制。攻击者能够利用 Docker 容器的漏洞来绕过容器的隔离机制,直接与主机系统进行交互。这意味着容器化应用的安全性大大降低,尤其是当容器运行在多租户环境中时,攻击者可能跨越多个容器,最终渗透到整个主机系统。这一漏洞对依赖 Docker 技术的生产环境构成了重大风险,特别是在云基础设施中,攻击者能够影响到整个集群中的多个服务。

2.4 凭证窃取与利用

  • GitHub OAuth 泄露 攻击者通过钓鱼活动获取 GitHub 用户的 OAuth 令牌,成功访问受害者的私有仓库并篡改代码。钓鱼邮件通常伪装成 GitHub 官方通信,诱使用户点击恶意链接,从而盗取其访问令牌。攻击者通过这些令牌能够进行任意操作,包括推送恶意代码、删除项目、窃取敏感数据等。此事件揭示了 GitHub OAuth 认证过程中的潜在安全漏洞。

  • Docker Hub 凭证泄露 Docker Hub 中存储的凭证泄露,导致攻击者能够使用这些凭证上传恶意镜像到平台。这些恶意镜像伪装成官方镜像(如 nginx、alpine 等),被大量用户下载并部署。通过这些恶意镜像,攻击者能够在用户系统上执行远程命令,甚至利用用户的计算资源进行加密货币挖矿。此事件凸显了 Docker Hub 平台中账户凭证管理的薄弱环节。

  • Bitbucket SSH 密钥被窃 Bitbucket 用户的 SSH 密钥被攻击者窃取,这些密钥通常用于认证访问私有仓库。攻击者通过盗取这些密钥访问了多个私有项目,进行代码篡改、数据泄露或植入恶意代码。由于 SSH 密钥管理不当,攻击者能够绕过常规的身份验证机制,直接获得对受影响仓库的控制权。此事件加强了对 Bitbucket 和其他版本控制平台中密钥管理的安全审查。

  • Azure DevOps 钓鱼攻击 攻击者通过发送钓鱼邮件窃取了 Azure DevOps 的访问令牌。这些邮件伪装成来自 Azure DevOps 团队的安全警告或更新通知,诱使受害者点击链接并提交其凭证。攻击者利用这些凭证进入 Azure DevOps 管道,篡改构建和部署过程,向企业内部系统植入恶意代码或泄露敏感信息。该事件暴露了 DevOps 环境中钓鱼攻击的潜在风险。

  • AWS 公共密钥泄露 开源项目中的公共 GitHub 仓库泄露了 AWS 访问密钥,攻击者利用这些密钥未经授权访问并滥用云资源。通过滥用这些密钥,攻击者可以启动虚拟机、创建存储桶或进行其他昂贵的操作,从而造成经济损失。此事件强调了公共仓库中对敏感密钥管理的重视,避免将凭证和密钥暴露在公开场合。

  • 诺基亚源代码泄露 黑客声称成功窃取了诺基亚的大量源代码,并将其出售在暗网上。泄露的代码包括内部软件、操作系统和企业级应用的源码,可能暴露了诺基亚在多项核心技术中的漏洞和缺陷。此事件不仅对诺基亚的安全性构成威胁,还可能影响到全球客户和合作伙伴的信任。黑客利用漏洞成功突破了诺基亚的内部网络,并泄露了大量敏感信息。

  • Pokémon 游戏源码泄露 日本宝可梦游戏开发商 Game Freak 证实,宝可梦系列未发布游戏的源代码被黑客窃取。黑客通过入侵公司服务器,获取了多款宝可梦游戏的源代码。这一事件对 Game Freak 造成了严重损失,同时也危及了该系列未发布游戏的开发进程。源代码泄露意味着黑客可以进行反向工程,重新编译游戏,甚至分发盗版版本。

  • "RockYou2024" 黑客在暗网论坛上发布了包含 100 亿条明文密码的 rockyou2024.txt 文件,新增了约 15 亿个新密码。

2.5 拼写错误劫持和假包

  • 假 Axios 包 NPM 上的 "axiosjs" 包伪装成流行的 "axios" 库。由于拼写错误,许多开发者在无意间下载了这个恶意版本。安装后,恶意代码被执行,可能导致系统被感染或数据被窃取。该事件暴露了 NPM 包命名中存在的安全漏洞,攻击者可以通过巧妙的拼写错误诱导开发者使用恶意包。

  • Rust Crate 拼写错误劫持 攻击者通过发布拼写相似的 Rust Crate 名称(如 serde 与 sarde)进行劫持。用户在安装时容易错误地选择了恶意 Crate,导致恶意软件被下载并执行。此类拼写劫持攻击利用了开发者对依赖名称的依赖,展示了 Rust 生态中的供应链攻击风险。

  • RubyGems Rails 模仿 在 RubyGems 中,攻击者发布了一个名为 "rails-core" 的仿冒库。该库伪装成流行的 Ruby on Rails 框架核心库,并在代码中注入了恶意脚本。恶意脚本的目的是窃取开发者的敏感数据,如数据库凭证、API 密钥、以及其他个人信息。由于 RubyGems 是 Ruby 生态系统的主要软件包管理平台,许多开发者不小心下载了这个假库,并因此导致信息泄露。

  • Spring 框架仿冒 攻击者通过伪造一个名为 "Spring Framework" 的 Maven 包,成功传播了包含漏洞利用工具的恶意代码。这个假包通过 Maven 中央仓库被广泛下载,并被用于企业级应用的部署。攻击者通过该恶意包执行远程代码,进而攻击相关系统。Spring 框架的受欢迎程度使得这个仿冒包能够影响大量企业,展示了开源框架在供应链攻击中的脆弱性。

2.6 AI 模型和训练攻击

  • 腾讯混元大模型数据集中毒 腾讯的混元大模型训练数据集遭到恶意污染,导致训练模型在推理阶段受到攻击。攻击者通过插入错误或带有恶意目的的数据,破坏了模型的训练质量,使得模型在实际应用中做出错误的预测或决策。此类数据中毒攻击通常难以检测,且一旦训练完成就很难追踪和修复。该事件突显了大模型在数据预处理阶段的安全问题,尤其是在依赖大量开源数据时。

  • Google AI 模型推理漏洞 攻击者通过操控输入数据触发 Google AI 模型的推理错误,从而暴露了敏感信息。通过修改输入数据的格式或内容,攻击者使得模型输出包含泄漏信息的预测结果。此类攻击可能影响到敏感领域应用,如医疗、金融等,可能导致泄露私人数据或商业机密。该事件揭示了人工智能模型在推理阶段的脆弱性,尤其是对输入数据的依赖性。

  • OpenAI 依赖劫持 攻击者通过篡改 OpenAI 使用的某些开源依赖项,企图获取用户的 API 密钥。通过注入恶意代码或篡改依赖版本,攻击者能够在 OpenAI 提供的服务中窃取用户的凭证信息。API 密钥泄露后,攻击者可以滥用服务或获取用户敏感数据。此事件凸显了在高安全性服务中,依赖管理和代码审查的重要性。

  • PyTorch 数据集恶意软件 PyTorch 官方仓库的数据集遭到恶意代码的注入,影响了使用这些数据集的开发环境。这些恶意数据集在运行时触发恶意操作,如获取用户的敏感信息、执行系统命令或影响模型训练。由于 PyTorch 在深度学习和 AI 领域被广泛使用,该事件对研究人员和开发者产生了重大影响,强调了官方平台中数据集安全管理的重要性。

  • HuggingFace 数据中毒 上传至 HuggingFace 的数据集被恶意修改,用于误导模型的训练过程。这些被污染的数据集可能包含错误标注或有偏差的信息,从而影响训练结果,甚至可能导致生成的模型产生不准确或有害的预测。数据中毒攻击不仅影响模型质量,还可能对模型应用的安全性和公正性带来挑战。此事件提醒了开发者在使用公共数据集时应加强对数据来源和质量的验证。

  • ChatGPT 搜索工具安全漏洞 ChatGPT 搜索工具存在安全问题,攻击者可以通过操控反馈结果或隐藏恶意内容,导致用户下载恶意代码或遭遇安全漏洞。通过这种方式,恶意代码能够被注入到用户的搜索请求中,影响用户的系统和数据安全。此事件突显了基于 AI 的搜索工具在输入输出数据处理方面的安全隐患。

  • AI 造假风险防范 生成式 AI 技术的快速发展带来了诸多经济和社会利益,但也伴随着法律、伦理和社会安全的挑战。AI 造假(如深伪技术)使得恶意行为者能够伪造虚假信息、深度伪造视频或语音,导致广泛的信任危机。法律和监管机构正面临如何平衡 AI 创新与防范造假行为的难题。该事件警示了对 AI 生成内容的审查和验证机制的建设。

  • 大模型对深度伪造的影响 大规模语言模型(如 GPT-4)为深度伪造技术提供了强大的支持,使得伪造内容变得更加真实和难以辨识。这些模型可以生成高质量的假图像、视频、音频等,甚至模仿人类的行为和语言。业界正在呼吁跨学科合作,共同研究如何应对深度伪造带来的安全挑战。此类伪造技术对社会信任和安全构成了严重威胁。

2.7 社会工程与内部威胁

  • 库维护者破坏 在开源社区中,一名库维护者恶意上传了带有后门的版本,试图通过破坏项目的信誉来为自己带来利益。这些恶意版本包含了能够远程控制开发环境或系统的后门代码。维护者往往是库的信任来源,而攻击者利用这一点来执行潜在的破坏行为。这种攻击方式可能影响多个项目,因为开源社区中某些库被广泛依赖。该事件警示了开源项目中维护者行为的重要性。

  • GitHub 维护者钓鱼 攻击者伪装成 GitHub 官方团队,通过钓鱼邮件获得了某些开源项目维护者的账户权限。一旦获取了维护者权限,攻击者便能够提交包含恶意代码的 PR,破坏开源项目的稳定性,甚至将恶意代码传播给大量使用该项目的开发者。这类钓鱼攻击常常伪装成紧急通知或重要安全更新,导致开发者不经意间泄露了敏感信息或权限。

  • Rust Crate 深度伪造语音攻击 使用深伪技术,攻击者能够模仿 Rust 项目维护者的语音指令,获得项目的管理权限。通过伪造的语音指令,攻击者能够更改项目设置或提交恶意代码,进一步破坏项目的安全性。这类攻击不仅是对维护者的挑战,也是对开源项目安全管理的考验。深伪技术为黑客提供了新型攻击方式,使得传统的身份验证和权限控制机制变得更加脆弱。

  • 假 LinkedIn 账户攻击 攻击者创建了多个虚假的 LinkedIn 账户,并伪装成开源项目的活跃贡献者。这些虚假账户通过发布技术文章、参与项目讨论等方式建立了可信度,并主动与开源项目的维护者建立联系。攻击者逐步获得了维护者的信任后,通过社交工程手段获取敏感信息或被授权参与项目的开发。其最终目的是通过获取代码仓库访问权限,将恶意代码或后门植入到项目中,进而影响广泛的开发者和用户。此类攻击依赖于社交网络平台的信任机制,揭示了在开源社区中虚假身份的潜在风险。

  • OpenSSL 内部攻击 OpenSSL 项目遭遇了可能来自内部开发者的篡改。攻击者利用其在项目中的访问权限,未经授权地提交了一段含有漏洞的代码。这段代码可能存在严重的安全隐患,并且在没有经过全面审查的情况下被合并到主分支中。由于 OpenSSL 是全球使用最广泛的开源加密库之一,其安全性至关重要。内部攻击的隐蔽性使得传统的安全审计机制难以识别其篡改行为。一旦该漏洞被利用,可能会导致大量使用 OpenSSL 的系统受到攻击。此事件引发了对开源项目内部管理和代码审查机制的深刻反思。

  • 利用TeamViewer远程操控 诈骗分子利用TeamViewer远程操控受害者手机银行,成功转走398万元。RustDesk因诈骗猖獗暂停国内服务,引发争议。

  • 黑客潜伏开源项目两年 某黑客潜伏知名开源项目两年,获取信任打入核心开发层,趁项目创始人闭关期间提交窃密代码,险些造就史上最大后门,但因代码有 bug 被发现后事情败露。

2.8 加密、签名篡改及恶意软件传播

  • PyPI 签名密钥篡改 攻击者通过替换 PyPI(Python 包索引)部分包的签名密钥,成功将恶意版本包上传至 PyPI 仓库。这些篡改后的包绕过了原本的安全验证机制,用户在下载这些包时会安装到含有恶意代码的版本。攻击者通过这种方式获得了对 Python 开发环境的控制权,能够窃取敏感信息或执行远程代码。由于 PyPI 是 Python 开发者使用的主要包管理平台,此类攻击严重威胁到全球开发者的安全。

  • Helm 证书盗用 在 Helm 图表签名过程中,攻击者盗用了 Helm Charts 的签名证书,导致用户下载到篡改过的恶意部署包。通过利用盗用的证书,攻击者能够伪装成合法的 Helm 发布者,将恶意代码嵌入到部署文件中。这些恶意图表被广泛应用于 Kubernetes 环境中,一旦被部署,攻击者就可以获得对受影响服务的控制权。此事件暴露了在容器化和微服务架构中,供应链管理的安全隐患,尤其是涉及到签名和认证的环节。

  • NPM 哈希值篡改 攻击者在发布后篡改了某些 NPM 包的哈希值,从而能够分发隐藏的恶意代码。通过修改哈希值,攻击者使得用户无法检测到包的篡改,从而在无意间安装包含恶意脚本的版本。这些恶意包可能会窃取用户的敏感数据、执行命令,甚至影响依赖该包的其他项目。由于 NPM 是 JavaScript 生态中的核心工具,受影响的包可能被成千上万的开发者使用,造成广泛的安全隐患。

  • RubyGems 签名文件被篡改 攻击者篡改了 RubyGems 包的签名文件,从而冒充可信的包发布者。特别是在银行和金融行业使用的 RubyGems 包中,攻击者注入了恶意脚本,这些脚本的目的是窃取用户的敏感数据,如账号信息和认证凭证。这类攻击通过改变包的签名,绕过了包验证机制,造成了极大的安全风险。由于签名文件通常被认为是包安全性的保证,攻击者的篡改行为让开发者和用户都未能及时发现问题,影响了多个关键行业。

  • Docker Hub 签名漏洞 Docker Hub 的镜像签名系统遭到破坏,攻击者能够利用这个漏洞分发经过篡改的恶意容器镜像。容器镜像被广泛用于部署应用,攻击者通过破坏镜像签名验证机制,能够让受害者下载到带有恶意代码的镜像。这些恶意镜像被运行在 Docker 容器环境中,从而威胁到容器化应用和服务的安全。此类攻击不仅对开发者产生威胁,还可能影响到生产环境中的关键业务系统,揭示了容器镜像在安全管理中的脆弱性。

  • PHP Git 篡改 攻击者未经过授权访问了一个 PHP 项目的 Git 仓库,并在代码中添加了潜在的后门代码。该后门代码通过钩子函数或隐藏功能能够远程执行恶意命令,从而控制受影响系统。由于 PHP 项目通常在 Web 服务器上运行,黑客能够利用这些后门对网站进行进一步攻击,包括数据泄露或服务器劫持。这一事件展示了 Git 仓库在开源项目中的安全风险,特别是在缺乏访问控制时。

  • Node.js 账户劫持 攻击者通过黑客手段获取了 Node.js 维护者的账户权限,进而利用该权限修改依赖项或通过间接依赖传播恶意代码。由于 Node.js 生态中依赖关系深度嵌套,攻击者可以通过篡改核心库或模块间接影响到广泛的开发者和生产环境。此类账户劫持攻击往往能够绕过传统的安全防护措施,给开发者带来严重的代码注入风险。

2.9 国家级供应链攻击

  • APT 针对 NPM 高级持续性威胁(APT)攻击者通过植入后门 NPM 包,成功攻击美国的关键基础设施供应链。这些恶意包被广泛下载,并在使用的项目中执行恶意代码,窃取了敏感数据。此事件展示了 NPM 生态中供应链攻击的严重性,尤其是国家级攻击者通过供应链渗透敏感行业的能力。此类攻击往往不易察觉且影响深远,警示了开发者在使用第三方包时必须高度警惕。

  • 俄罗斯 Helm 攻击 俄罗斯支持的黑客组织通过篡改 Kubernetes Helm Charts 部署包,将恶意软件嵌入其中。这些被篡改的 Helm Charts 被广泛使用在企业的 Kubernetes 集群中,导致恶意软件在不经意间被部署到生产环境中。通过此类供应链攻击,攻击者能够控制部署在 Kubernetes 集群中的服务,从而实施远程代码执行、窃取信息或进行勒索。

  • 伊朗 PyPI 间谍软件 伊朗 APT 攻击者在 PyPI 上发布伪装成数据分析工具的库,这些工具实际上被设计为间谍软件。受害者下载并安装这些工具后,攻击者能够收集并外传用户的敏感数据,如访问凭证、加密密钥等。该事件凸显了 PyPI 生态系统中潜在的恶意软件风险,尤其是当攻击者以看似无害的工具包装恶意软件时。

  • 朝鲜 Lazarus 组织攻击 朝鲜的 Lazarus 黑客组织通过向开源项目提交恶意 PR,将后门代码注入到流行的开源库中。这些恶意代码在合并后,可能会被广泛使用,导致项目参与者无意中将恶意代码引入生产环境。通过这种方式,攻击者能够控制受影响的开源项目,窃取信息或发起后续攻击。Lazarus 组织通过这种策略渗透了多个行业,包括金融、能源和技术领域。

  • 欧盟供应链漏洞利用 据报告,疑似国家支持的攻击者在欧盟软件开发社区中利用供应链漏洞,成功植入了间谍软件。这些攻击者通过操控开源项目的发布流程,向多个开源软件项目中注入恶意代码,窃取敏感数据。攻击者可以通过这一方式间接获取目标国家或企业的敏感信息,暴露了欧盟在开源软件供应链管理中的脆弱性。

2.10 全球行动与更新

  • OpenSSF Siren 启动 开源安全基金会(OpenSSF)宣布了 Siren,这是一项旨在聚合和传播针对开源项目特有威胁情报的合作努力。Siren 提供了一个共享战术、技术和程序(TTPs)以及入侵指标(IoCs)的平台,填补了 OSS 项目和维护人员无法访问企业网络威胁情报工具的空白。Siren 的主要特性包括开源威胁情报的分享、实时更新、遵循红绿灯协议(TLP)和社区驱动的贡献。

  • Rust 安全联盟成立 Rust 基金会成立了安全关键联盟,推动 Rust 在关键软件中的应用。

  • CISA 发布供应链风险工具 美国 CISA 发布新工具,帮助企业评估其软件供应链的风险。

  • Linux 基金会推出 Tazama 项目 一个实时诈骗预防开源项目,专注于增强开源生态系统的安全性。

  • AWS 与 Rust 基金会挑战赛 推出 Rust 标准库安全验证挑战赛,推动 unsafe 代码的安全性。

  • CISA 公开 “下一代恶意软件” 分析系统 美国网络安全和基础设施安全局 (CISA) 宣布推出新版本的恶意软件分析系统 Malware Next-Gen,使得公众可以提交恶意软件样本和其他可疑工件以供 CISA 分析。

  • 美政府再发警告:关键软件勿用C/C++,2026年前给迁移方案,否则非常危险! 美国CISA和FBI联合发布《产品安全不良实践》指南,建议软件制造商在2026年1月1日前发布内存安全路线图,避免使用内存不安全的语言(如C或C++)开发关键基础设施软件。该指南强调了使用内存不安全语言的风险,并提供了改进安全性的建议,但并未强制执行。开发者和企业对此反应不一,部分认为建议合理,部分则认为实施难度大。

  • Biden: All Non-Rust Projects Are Illegal 白宫国家网络总监办公室(ONCD)发布报告,呼吁软件开发人员使用内存安全编程语言,如 Rust,放弃 C 和 C++ 等安全性薄弱的语言。报告指出,约 70% 的安全漏洞由内存安全问题引发。科技巨头和学术界对报告内容表示支持,但也有反对声音指出内存安全只是整体安全的一小部分,C++ 语言的安全性可以通过其他方式提高。

  • 印度计划训练 5000 名网络突击队员 印度宣布计划在未来五年内训练一支由 5000 名网络突击队员组成的专业部队,以打击网络犯罪活动。该计划还包括建立网络欺诈缓解中心、中央网络犯罪协调和数据共享平台以及国家级网络犯罪嫌疑人登记处。

  • 美国国防部建议使用 AI 自动将 C 代码转换为 Rust 美国国防部高级研究计划局(DARPA)正在推动程序代码转换工具 TRACTOR 的开发,旨在使用机器学习工具自动将旧 C 代码转换为 Rust 代码,以加快向内存安全编程语言的过渡。

  • 《全球软件供应链发展报告》发布 《全球软件供应链发展报告》发布,指出在通过开源生态系统引入漏洞方面,Debian 和 RPM 的漏洞最多,但 NPM 和 PyPI 的严重 CVE 漏洞占比最大。报告强调了监控和防止恶意软件包进入软件供应链的重要性。

  • AWS and Rust Foundation Launch Challenge to Verify Standard Library Safety AWS 和 Rust 基金会发起社区挑战赛,旨在验证 Rust 标准库的安全性,确保 unsafe 代码的安全可靠。

  • ISRG(互联网安全研究小组)发布 2024 年度报告 ISRG(互联网安全研究小组)发布了 2024 年度报告,主要介绍了三个项目:著名的免费证书提供项目 - Let's Encrypt、用 rust 重写互联网基础设施的项目 Prossimo 以及尊重隐私的遥测服务 Divvi Up。

  • Let's Encrypt 十周年 Let's Encrypt 于 2014 年 11 月 18 日正式上线,是一个非营利性证书颁发机构,免费提供用于传输层安全(TLS)加密的证书,已被超过 4.5 亿个网站使用。

  • 美国网络安全威胁能力分析报告:利用掌控开源软件 美国利用掌控开源软件社区的优势实施供应链攻击,对全球网络安全构成威胁。

  • 虫潮降临:Zergeca 僵尸网络分析报告 X实验室发布了一份关于 Zergeca 僵尸网络的分析报告。该僵尸网络使用 Golang 实现,C2 服务器使用了 “ootheca” 字符串,因此被命名为 Zergeca。报告详细分析了其传播方式和攻击特点。

  • Rust Foundation Establishes Safety-Critical Rust Consortium 安全关键型 Rust 联盟的目标是确保在安全关键型软件中负责任地使用 Rust 语言。该小组还将指导 Rust 基金会的资助工作,确保所有资助项目均作为自由和 FOSS 授权,并与现有安全标准进行协调。

2.11 其他风险事件

  • CrowdStrike 引发大规模蓝屏 CrowdStrike 的错误更新导致数百万台设备蓝屏,影响多个行业。

  • GitHub 出现大规模全站服务故障 美国时间 8 月 14 日,GitHub 出现大规模宕机事故,核心服务几乎全部瘫痪。用户反馈称,GitHub 主站无法访问,并显示 “无可用服务器” 的错误信息。包括 Pull Request、GitHub Pages、Copilot 和 GitHub API 在内的多个核心服务也受到严重影响。根据 GitHub 的 Status 状态页消息,本次影响范围为 GitHub 全站所有服务。

  • IP 源地址伪造漏洞 去年报告的 IP 源地址伪造漏洞至今仍需关注。该漏洞的实现方式多样,包括 HTTP Header 追加伪造、修改返回包内容等。安全专家对此进行了深入分析。

  • RustDesk 暂停国内服务 RustDesk 是一款开源远程桌面软件,但被诈骗分子频繁使用。为了应对诈骗,RustDesk 暂时决定停止中国地区的服务。如果用户现在通过公共服务器访问国内主机,将会收到被禁止的消息。针对海外,RustDesk 也只允许同城访问,未来也会屏蔽掉所有 VPN。

  • Linux Mint 默认禁用未经验证的 Flatpak 软件包 Linux Mint项目宣布默认禁用未经验证的Flatpak包。启用后软件管理器会显示警告信息,让用户知道使用未经验证软件包的安全风险。如果用户允许未经验证的Flatpak软件包,软件管理器会将这些软件包清晰标记出来。

  • "RockYou2024" 黑客在暗网论坛上发布了包含 100 亿条明文密码的 rockyou2024.txt 文件,新增了约 15 亿个新密码。

2.12 国内相关行动

  • 《云计算开源技术应用安全规范》标准编制启动会议在北京顺利召开 《信息技术 云计算开源技术应用安全规范》编制启动会在北京举行,旨在提高云计算服务的安全可控水平,规范开源技术在云计算平台中的应用,指导用户合理采购使用开源技术的云计算产品。

  • 2024云和软件安全论坛在北京召开 全球数字经济大会组委会主办的“2024全球数字经济大会 云和软件安全论坛”在北京召开,发布《云上攻防发展洞察》和《安全行业大模型技术应用态势发展报告》,探讨云计算和网络安全的最新趋势。

  • 中国软件评测中心发布2023年度开源项目评估报告 中国软件评测中心今日发布2023年度开源项目评估报告,对多个开源项目进行了全面评估。

  • 中国计算机学会开源发展委员会开源供应链安全工作组召开2024年战略研讨会 2024年3月10日,中国计算机学会开源发展委员会开源供应链安全工作组在北京召开2024年战略研讨会。会议对开源供应链安全领域进行了深入讨论,并制定初步的24年工作计划。

  • 中国计算机学会开源发展委员会(CCF ODC)供应链安全工作组走进复旦大学 “开源生态与软件供应链研讨会”在上海复旦大学成功举行,吸引了来自多所高校和企业的专家参与。会议聚焦软件供应链代码安全检测、人工智能开源社区和软件供应链安全体系建设等议题。

  • 中国信通院公布 2024 年可信开源最新评估结果 中国信息通信研究院公布了 2024 年可信开源最新评估结果。评估结果显示,开源作为数字经济时代的新思维和模式,为全球数字经济高速发展注入了活力。从技术创新、产业协作和社会发展的视角,开源都发挥了重要作用。

  • 被点名“安全漏洞问题频发”,英特尔回应 10 月 16 日,中国网络空间安全协会在官方微信平台发表文章《漏洞频发、故障率高 应系统排查英特尔产品网络安全风险》。其中提到英特尔四项安全问题:安全漏洞问题频发;可靠性差,漠视用户投诉;假借远程管理之名,行监控用户之实;暗设后门,危害网络和信息安全。对此,英特尔今日在官微发布公告回应称:作为一家在华经营近 40 年的跨国公司,英特尔严格遵守业务所在地适用的法律和法规。英特尔始终将产品安全和质量放在首位,一直积极与客户和业界密切合作,确保产品的安全和质量。将与相关部门保持沟通,澄清相关疑问,并表明对产品安全和质量的坚定承诺。

  • 防 “蓝屏”,核心技术必须自主可控 科技自立自强是国家强盛之基、安全之要,核心技术必须牢牢掌握在自己手里。近年来,包括国产操作系统在内,自主可控的国产信息技术体系已经在交通、金融、能源等领域得到规模化应用,并日益 “飞入寻常百姓家”,也更多地走向国际市场。

  • 最新微软安全参考架构图 网络安全专家张美波发布了最新版的微软安全参考架构图,展示了他对网络安全战略、战术和执行层面的思考与展望。每一条线条、每一个节点,都代表着对安全的承诺和对未来的展望。

三. 开源社区生态 - @庄表伟

3.1 人物动态

在开源生态中,个人的卓越贡献常常成为推动技术进步的重要力量。2024年的新闻中,我们看到了一些对计算机科学和开源社区产生深远影响的重要人物的离世:

  • Niklaus Wirth(Pascal 之父)逝世 图灵奖得主、Pascal 编程语言之父 Niklaus Wirth 于 2024 年 1 月 1 日逝世。他不仅开发了多款影响深远的编程语言,还首次提出了「计算机算子」的概念,为现代编程语言的发展奠定了基础。

  • Gordon Bell(计算机先驱)逝世 计算机界的重要人物 Gordon Bell 于 5 月 17 日去世,享年 89 岁。他的研究推动了早期计算机架构的发展,并为分布式计算领域做出了不可磨灭的贡献。

  • Larry Finger(Linux 无线开发先驱)逝世 为 Linux 无线驱动开发领域做出重要贡献的 Larry Finger 于 6 月 21 日离世。他的工作为无线网络技术在开源系统中的应用提供了坚实支持,惠及全球用户。

  • Stiver(Java 反编译器 Fernflower 作者)逝世 Java 反编译工具 Fernflower 的原作者 Stiver 因病于 10 月离世。他开发的工具在软件调试和逆向工程中广受欢迎,对 Java 开发生态有深远影响。

  • Thomas Kurtz(BASIC 语言共同发明人)逝世 BASIC 编程语言的共同发明人 Thomas Kurtz 于 11 月 12 日逝世。他创造的语言大大降低了编程的门槛,使计算机技术得以被更广泛的人群接受和使用。

  • Java 之父 James Gosling 宣布退休 2024 年 7 月 9 日,编程语言Java的创始人James Gosling(詹姆斯・高斯林)在社交平台上宣布了自己退休的消息。据悉,这位被誉为“Java之父”的加拿大计算机科学家,刚刚度过了69岁生日。高斯林表示:“我终于退休了。在做了这么多年软件工程师之后,是时候让我好好玩玩了。尽管受到了工业环境的影响,但在亚马逊的过去7年还是非常美好的。我还有一连串的副业要完成,会很有趣。”

  • AMD 长期开源 Linux 图形驱动程序倡导者 John Bridgman 退休 ATI/AMD 工作了四分之一个多世纪后,John Bridgman 正式宣布退休。他在开源社区中以其在 Linux 内核和 Mesa 3D 图形库方面的工作而闻名,尤其是在 AMD Radeon 显卡的驱动程序方面。他的工作对提升 Linux 系统上的图形性能和开源软件的可用性产生了重要影响。

  • Go 团队技术负责人 Russ Cox 宣布卸任 2024 年 8 月,领导谷歌 Go 团队和整个 Go 项目超过 12 年的 Russ Cox 宣布将于 2024 年 9 月 1 日卸任技术负责人一职。他表示,此决定是经过深思熟虑的,旨在为项目带来新的活力和视角。接任者 Austin Clements 自 2014 年起在谷歌从事 Go 语言相关工作,曾负责编译器工具链、运行时及发布工作。Russ Cox 强调,技术负责人的角色是服务而非荣誉,他将继续参与 Go 项目,但希望通过领导层的变动为项目创造更多发展空间。

  • Redis 创始人 antirez 宣布回归 Redis 创始人 antirez 在离开 Redis 项目约 1620 天后,决定重返 Redis 社区。他提到自己并没有对 Redis 项目产生强烈的依恋,但在离开后的时间里,他偶尔会进行一些编程项目。重返原因是他想要尝试新事物,特别是写作,并花更多时间与家人在一起。他注意到 Redis 社区出现了分裂,这让他感到担忧,因此考虑重返 Redis 生态,可能作为“传教士”角色,成为公司与社区之间的桥梁。

  • Safari 首席设计师转投 Arc 浏览器背后公司 苹果 Safari 浏览器的首席设计师 Charlie Deets 离开苹果加入 Arc 浏览器背后的公司 The Browser Company,可能提升 Arc 浏览器的性能和用户体验。

3.2 社区动态与争议

  • 李厂长一句话得罪整个 IT 行业 7月5日,在 2024 年世界人工智能大会期间,百度的李彦宏在一场圆桌访谈中对开源与闭源模型进行了讨论,并直言不讳地称开源其实是一种智商税。李彦宏坚持认为闭源模型会持续领先,他解释说,闭源模型可以根据用户需求提供多种变体,以平衡效果、推理速度和成本。“永远应该选择闭源模型”,这事实上得罪了整个行业,因为这不仅批评了提供开源的厂商,也批评了选择开源的用户。

  • PHP 在 2024 年还值得学习吗? 尽管 PHP 在 TIOBE 指数中的排名跌至历史最低点(第 17 位),但软件工程师 Sotiris Kourouklis 发表文章称,PHP 在 2024 年仍然是 Web 开发的一个不错选择。PHP 在 Web 开发领域的普及度、社区支持、灵活性和与其他技术的良好集成,使其继续在市场上保持竞争力。

  • 面壁智能 CEO 发文回应斯坦福某 AI 团队 “抄袭” 事件 5月29日,一个来自斯坦福的AI团队开始在网络上宣传 500 美元就能训练出一个 SOTA 多模态模型,该模型名为 Llama3-V,后来被发现是抄袭了面壁智能的 MiniCPM-Llama3-V 2.5,面壁智能 CEO 李大海表示,开源社区的用户帮助发现了抄袭事件,开源的自净能力在这一过程中发挥了重要作用。李大海表示:“我们对这件事深表遗憾。一方面感慨这也是一种受到国际团队认可的方式,另一方面呼吁大家共建开放、合作、有信任的社区环境。”“我们希望团队的好工作被更多人关注与认可,但不是以这种方式。”

  • 印度有望在 2027 年超越美国,成为全球最大软件开发者国家 GitHub 首席执行官 Thomas Dohmke 表示,随着 AI 技术的发展,印度有望在 2027 年超越美国,成为全球最大的软件开发者国家。这在中国的开源社区,引发了很多的担忧与疑惑。

  • Linux 内核驱逐俄罗斯贡献者,引发 Linux内核开发者 Serge Semin 的告别信 Linux 项目最近以合规为由移除了多名俄籍维护者,此事在内核社区引发了广泛争论。Linux 的作者 Linus Torvalds 也卷入了这一争论,他表示作为芬兰人他是不可能支持俄罗斯的侵略行径的,他也拒绝透露律师就合规要求告诉他以及其他内核维护者的详细信息。他认为很多争论是来自于俄罗斯的 “喷子”。这使得 Serge Semin 非常伤心,于是他在社区发布了一封告别信,表达了对处理方式的不满,并感谢了合作多年的社区成员。他表示,虽然仍愿意提供帮助,但在当前情况下,继续以志愿者身份参与的动力已消失。

  • KDE 弹窗募捐引发争议与收入激增 KDE 项目开发者 Nate Graham 提交了一个 PR,实现在 KDE Plasma 桌面的通知系统中以“弹窗”形式请求用户捐款。这一功能从 Plasma 6.2 开始启用,仅在每年 12 月出现一次。结果显示,KDE e.V. 在一天内收到的捐款两倍于之前两个月的总和,并且用户反馈多数为正面。

3.3 开源组织与团队中的人员变动

  • Python 社区的行为准则执行引发争议 Python 指导委员会宣布对核心开发者 Tim Peters 实行为期三个月的停职,原因是其多次违反 Python 软件基金会的行为准则。据报道,Peters 发布了大量可能引发社区成员情绪化反应的帖子,并使用了冒犯性语言等。此决定引发了社区对行为准则执行透明度的质疑。

  • Rust for Linux 项目维护者因非技术原因辞职 Rust for Linux 内核维护者之一、微软工程师 Wedson Almeida Filho 宣布退出该项目,主要原因是长期与 C 语言开发者之间的文化冲突和不尊重。他对于非技术性事务的处理感到沮丧,精力和热情被消磨殆尽。他在邮件中表达了对团队的感谢,并重申了对内存安全语言在内核开发中重要性的信念。

  • 开源项目维护者面临的经济压力 开源 UI 自动化/测试工具 nut.js 的核心开发者 Simon Hofmann 决定对部分功能进行收费,反映了开源项目维护者在经济压力下寻求项目可持续性的问题。

  • ECharts 创始人转投农业领域 ECharts 创始人林峰宣布离职百度,投身农业创投领域,“下海” 养鱼并养出了顶流。由此引发用户热议,体现了技术人才多元化发展的趋势。也有网友质疑:不知道他是厌倦了互联网大厂的生活还是有别的啥原因。

  • Neofetch 的开发者将项目归档,只留一句:我去种地了! 无独有偶,4 月 26 日,Neofetch 的开发者 Dylan Araps 已将其 GitHub 仓库归档,标志着该项目的终止。在仓库的 README.md 文件中,他留下了一句简短的话:“Have taken up farming(已经开始务农)”。尽管有多个类似的竞品出现,但 Dylan 的选择引发了社区的热议。

3.4 项目纷争与团队变动

  • 谷歌解散 Python 基础团队 2024 年 4 月,谷歌解散了其位于美国的 Python 基础团队。团队成员 Thomas Wouters 在社交媒体上证实了此消息,并表示谷歌计划在德国慕尼黑重新组建新的 Python 团队。此举被认为是出于成本考虑的重组策略,引发了社区对谷歌在 AI 时代裁撤 Python 团队决策的质疑。

  • Flutter 团队裁员与 Flock 分叉项目的出现 2024 年 5 月,谷歌的 Flutter 团队在公司裁员浪潮中受到影响,团队规模有所缩减。前谷歌员工 Carroll 宣布推出名为 Flock 的分叉项目,旨在解决 Flutter 项目中长期积压的 bug 和功能开发延迟问题。Flock 团队希望与 Flutter 保持同步更新,同时吸引社区贡献者参与,以弥补谷歌在资源投入上的不足。

  • WinAmp 开源仓库被删除 WinAmp 项目团队在宣布开源不到一个月后,突然将其 GitHub 仓库删除。WinAmp 是一款知名的多媒体播放器,项目团队在 2024 年 9 月份在 GitHub 上发布了其 Windows 端的源代码,但采用的 Winamp Collaborative License(WCL)Version 1.0 协议对用户的分叉和修改后的分发进行了限制。目前尚不清楚删除仓库的具体原因。

  • EndeavourOS ARM 分支终止 EndeavourOS 的创始人兼项目负责人宣布,由于缺乏最新的上游变更和维护者,该发行版的 ARM 分支将走向终结。这凸显了开源项目维护的挑战,特别是对于资源有限的项目。

  • Greenplum GitHub 仓库变为只读 知名开源 MPP 数据库 Greenplum 的 GitHub 仓库突然变为只读状态,引发了社区对项目未来方向的担忧。目前,官方尚未就此变化提供详细说明。

  • SerenityOS 作者卸任 BDFL,分叉 Ladybird SerenityOS 的创建者 Andreas Kling 宣布卸任该项目的终身独裁者(BDFL)职务,同时分叉出名为 Ladybird 的新项目。他表示,此举是为了让两个项目各自独立发展,并无其他隐情。

  • Rust 团队公布 2024 年发展目标 Rust 团队公布了 2024 年下半年的 26 个项目目标,包括发布 Rust 2024 版本。计划在今年晚些时候完成 Rust 2024 版本功能的开发,并于 2025 年 1 月 3 日发布测试版 Rust v1.85,2 月 20 日发布稳定版 Rust v1.85。

  • FreeBSD 获得近 70 万欧元投资 德国主权技术基金 Sovereign Tech Fund (STF) 已同意向 FreeBSD 项目投资 686,400 欧元,以推动基础设施、安全性、法规合规性和开发人员体验的改善。此前,STF 已陆续为 GNOME、PHP、Rustls、Coreutils uutils 等其他开源项目提供了资金。

  • WordPress 社区的种种纷争 WordPress 共同创建者 Matt Mullenweg 因与竞争对手 WP Engine 的矛盾,分叉并控制了由后者维护的流行插件 Advanced Custom Fields(ACF),随后,Mullenweg 还公开斥责建立在 WordPress 基础上的 WP Engine 牟取暴利,却没有给予社区太多回报。事情很快升级,WP Engine 在被禁止访问关键 WordPress 资源后提起诉讼,随后法院命令 WordPress 恢复访问。此举引发了社区对开源精神和项目控制权的讨论。

3.5 开源产业与生态

  • 南京市开源产业联盟揭牌成立 南京市的开源产业联盟在 2024 年南京软件和信息服务产业大会期间揭牌成立。该联盟旨在促进开源协同合作,发展开源软件产业,并吸引开源人才。南京市政府通过该项目的启动,期望将南京打造成为开源软件的产业高地,推动地区的技术创新与数字化转型。

  • 成都发布85项开源合作机会清单 2024 年 8 月 30 日,在“2024成都开源生态建设大会”上,市经信局市新经济委在会上正式发布 “2024成都开源合作机会清单”。清单共有需求清单 48 条,供给清单 37 条,涉及技术创新、场景应用、载体平台、人才建设、公共服务等方面。此次大会还正式发布了“成都开源社区地图”。地图涵盖成都市主要的开源组织、知名项目和技术交流平台,旨在促进技术共享与合作,激发更多创新可能。它将帮助开发者找到志同道合的朋友,让企业发现优秀的开源项目。

  • 开源维护者现状:薪酬低、老龄化,安全问题泛滥 Tidelift 发布了 2024 年开源维护者状况报告,指出约 45% 的维护者已担任该角色超过 10 年,维护者年龄分布逐渐老龄化,且大多数维护者为无偿爱好者。报告还强调了开源项目的安全问题日益严重。

  • 开源鸿蒙生态发展迅猛 2024 年 12 月 20 日,开源鸿蒙(OpenHarmony)操作系统 5.0 Release 版本正式发布。开源鸿蒙项目在开放原子开源基金会平台上持续面向社区开放共建,超过 120 款芯片完成适配,超过 900 款软硬件产品通过兼容性测评;社区已汇聚 8100 多名贡献者和 70 多家单位持续共建,项目代码量累计超过 1.2 亿行;开源鸿蒙人才生态已广泛覆盖超过 300 所院校,吸引 7 万余名师生积极投身“学—考—用—赛—留”闭环路径中,已有超过 5 万名开发者通过开源鸿蒙人才认证考试,20 余家产业链上下游企业开放开源鸿蒙岗位。目前,以开源鸿蒙为底座的生态设备突破 10亿台,持续赋能千行百业转型升级。

3.6 国际协作

  • 中俄两国建交 75 周年联合声明中的开源合作 在两国联合声明中,特别提到:在信息通信技术领域开展互利合作,包括人工智能、通信、软件、物联网、开源、网络和数据安全、电子游戏、无线电频率协调、职业教育和专业科学研究。双方同意建立并用好定期磋商机制加强人工智能和开源技术合作,在国际平台上审议人工智能监管问题时协调立场,支持对方举办的人工智能相关国际会议。

  • 中国和阿联酋联合声明中的开源合作 在声明中提到:双方愿通过探索两国共同投资机遇,加强在创新、数字经济、科学、开源项目孵化与商业落地、科学技术与技术人才培养、清洁能源、基础设施,以及包括精密工业和核心产业在内的所有工业领域的合作,强调有强烈意愿加强双方供应链互补,以实现经济和投资增长,实现友好两国的期待。

  • 工信部加强中非数字领域合作,提供开源操作系统解决方案 工业和信息化部部长金壮龙 7 月 29 日在北京举行的中非数字合作论坛上表示,将持续秉承共商共建共享原则,与非洲国家积极开展数字领域合作,助力建设 “数字非洲”。值得一提的是,随着移动支付在非洲落地应用,开源欧拉作为开放原子开源基金会孵化的开源操作系统,将在安全性、漏洞管理和运维方面提供解决方案。

  • 第二届 Open Source Congress 在北京召开 8 月 25 日 - 26 日,由开放原子开源基金会承办的第二届 Open Source Congress(简称“OSC”)在北京成功举办。Linux 基金会、Eclipse 基金会、开放原子开源基金会、开放源代码促进会(OSI)、开源基础设施基金会(OIF)、开放发明网络(OIN)、Rust 基金会、开源社等 24 个开源组织参加会议。本次会议围绕开源人工智能、开源安全、开源组织合作、OSC 的未来发展等关键议题,讨论了全球开源领域面临的共同挑战,探索了如何促进全球开源开放合作,有效推动了全球开源组织间的交流合作。全球开源力量的合作打破了地域和文化的界限,本次 OSC 会议的成功召开,为广大开源组织提供了一个共商挑战、共享智慧的舞台,共同塑造一个更加开放、创新、可持续的开源未来。

四. 开源许可与合规治理 - @卫剑钒,@梁尧

4.1 案件判决彰显开源协议地位

开源生态系统的健康稳定依赖于法律框架的强有力支撑。2024 年,一系列开源相关案件的判决,再次表明了法律对开源的明确支持:开源协议具备法律地位、开源使用应合法合规、开发者权益受法律保护。这些判决,将引导开源软件朝着更加健康、有序、创新的方向发展。

  • 2024 年 2 月 18 日,《人民法院报》头版头条文章 “这份判决给软件开发者吃了定心丸” 引爆了整个开源圈,该判决来自最高人民法院,其可贵之处在于,最高法的判决既确认了 GPLv2 的法律效力,也很好地保护了软件开发者的权益。该案是这样的,苏州某网络科技有限公司(以下称苏州公司)认为自己研发的 “OfficeTen” 软件被浙江某通信科技有限公司(以下称浙江公司)盗用,浙江公司以 GPLv2 协议抗辩,认为 OfficeTen 是受 GPLv2 传染的,所以应该开源,自己的行为不算侵权;苏州公司则称已经通过技术手段使上层功能软件 “独立且分离”,不受传染,自己的作品应收保护。2023 年 10 月 12 日,最高法知产法庭经审理,认定浙江公司侵权。理由在于:“软件开发者自身是否违反 GPLv2 协议和是否享有软件著作权,是相对独立的两个法律问题,二者不宜混为一谈,以免不合理地剥夺或限制软件开发者基于其独创性贡献依法享有的著作权。”

  • 江苏省无锡市中级人民法院关于 “DedeCMS” 案件的判决也很有意思,上海卓卓网络科技有限公司起诉某口腔医院使用其 DedeCMSV5.7 - sp1 软件未支付授权费。2024 年 2 月 19 日,无锡中院作出判决,否定了卓卓的主要诉讼请求,法院认为,该版本 DedeCMS 虽然是商业的,但其中包含了开源的 sphinxclient 代码,该代码受 GPLv2 保护,所以 DedeCMS 被GPL传染,“涉案软件整体因其他部分实际与该库形成了连接,软件应当采用GPL或者GPL兼容的许可证进行发布。”法院认为,“卓卓公司在使用他人代码时却未遵守他人软件的 GPL 许可协议,其行为本身有违诚信原则,具有不正当性。”

所以,医院对 DedeCMS 的使用不侵犯复制权,然而,医院未按卓卓公司许可协议在网站主页标注署名信息,侵犯了卓卓的署名权。最终判决医院赔偿卓卓 800 元并发布 30 日赔礼道歉声明。

此案和前面最高人民法院关于 OfficeTen 的判决有着微妙的不同,主要有两点:一是到底有没有被 GPL 传染,最高法认为 OfficeTen 没有被 GPL 传染,而江苏中院认为 DedeCMS 被传染了;二是被诉侵权方获取源码的方式,OfficeTen 案中,苏州公司没有发布源码,浙江公司对代码的获取是非法的,但 “DedeCMS” 案中,涉案版本的源码,是卓卓公司公开发布的。

此外,法院还提到一点:“卓卓公司以涉案软件为权利基础,在全国法院提起大量侵害计算机软件著作权纠纷案件,并因此获得较大收益,该种维权模式既不利于有效打击侵权源头,又大量占用解决纠纷的公共资源,不宜提倡和鼓励。”

  • 2024 年 2 月 14 日,法国上诉法院关于 Lasso 的判决再次明白无误地表明了 GPLv2 的坚实地位,法国电信公司 Orange 在一次招标活动中标,为法国电子通信管理局实施门户网站建设,在实施过程中,使用了 Entr'ouvert 公司发布的 Lasso 软件库(以 GPLv2 发布)。法院认定 Orange 违反了 GPLv2 的多项条款,包括未公开源代码和未经许可的复制与分发等,Orange 被判赔偿 65 万欧元。这一判决再次强调了企业开源合规的重要性。

  • 历经近两年,在 2024 年 7 月 5 日的法院庭审中,程序员指控 GitHub、微软及 OpenAI 侵权的三项索赔被驳回,目前仅余两项指控待审理。原告是五名匿名的程序员,他们于 2022 年 11 月控诉 GitHub、微软和 OpenAI 的 Copilot 编码助手涉嫌侵权,他们认为,大公司用自己的代码训练 Copilot,在向其他程序员提供的同时,未对其劳动成果给予相应的认可,也没有遵守原始许可证的相应条款要求。法官 Jon Tigar 不同意这一观点,他认为 Copilot 建议的代码与开发者受版权保护的作品不够相似。这起诉讼凸显了在 AI 迅速发展的背景下,软件代码版权保护面临的复杂困境,法律在判断 AI 生成内容是否侵权时标准尚不明晰,尽管目前 GitHub 等公司暂处优势,但案件的持续争议表明需要进一步完善相关法律,以应对 AI 带来的新挑战。

  • Deno 于 2024 年 11 月 22 日向美国专利商标局提交请愿书,请求撤销 Oracle 的 “JavaScript” 商标。其理由包括 JavaScript 已成为通用词汇、Oracle 续展时提交欺骗性证据且多年未有效使用该商标。超过 14000 名开发者支持此请求。 Oracle 已通知 Deno,他们不会自愿放弃对 “JavaScript” 商标的权利,Deno 将开始取证,以证明 “JavaScript” 已被广泛认为是一个通用词,根据美国法典,如果一个商标停止使用且无意恢复使用,或者商标已经成为通用术语,那么该商标权应被视为放弃。如果 Deno 申诉成功,将消除社区使用 “JavaScript” 一词的障碍,使会议名称、语言规范等能正常使用该名称,也能避免相关社区受到法律威胁。Deno 是一个基于 V8 引擎的 JavaScript 和 TypeScript 运行时环境,由 Node.js 之父 Ryan Dahl 开发。

4.2 争议事件凸显多方权益难题

2024年的一系列开源事件向我们表明,越来越多的人发展出开源合规意识,人们认识到,要尊重原作者的劳动成果,要保障原作者的应有权益;另一方面,越来越多的人认识到:企业与开源社区之间的关系更加复杂,利益博弈日益加剧。开源项目个人作者可能会面对来自商业公司的压力,而开源商业公则可能面临云厂商等 “白嫖”的压力 ,开源作者、开源创业公司、大型厂商,如何平衡个人利益、社区利益、商业利益,始终是一个尚无完美答案的难题,开源项目的管理和发展模式有待突破性的创新。

  • 2024年10月23日,Linux 内核开发社区将一些使用 .ru 后缀邮箱的维护者从 MAINTAINERS (维护者名录)中删除。很多开发者表示不理解,纷纷到 Linux 社区讨要说法,Linus Torvalds 亲自下场回应,表示不会撤回这个决定。有网友认为:“ Linux 是自由软件,自由软件的自由不应受到任何因素,包括国籍和政治情况的限制。”但自由软件之父 Stallman 所定义的四大自由,是指可以自由运行、学习、修改、分发这些软件,并没有贡献自由一说。虽然没有违背许可证精神,但人们还是直觉认为 Linus 做的不对,至少他违反了 CoC (贡献者契约)的要求:不得嘲弄、侮辱/贬损评论以及个人或政治攻击。

  • 2024年 3 月 20 日,Redis 的 CEO 宣布其未来版本将弃用 BSD 协议,采用 RSALv2 和 SSPLv1 双重许可证,但这两个许可证不符合 OSI 定义的开源标准。Redis 原先使用的 BSD 三条款许可证较为宽松,新许可证则有诸多限制,如 RSALv2 限制软件商业化,SSPLv1 要求服务端衍生作品开源。Redis 此举旨在防止云厂商免费使用其源代码以更好地商业化。这一变更引发大量争议,开发者认为 Redis 有大量外部贡献者,且 Redis 公司一开始并未参加开发,该公司只是从 Redis 的原作者 Antirez 手中收购了Redis 的知识产权和商标权。目前微软似已获 Redis 授权,可以继续为客户提供 Redis 产品服务。但比较有意思的是,就在 Redis 官宣许可变更的前一天,微软用 MIT 协议开源了 Garnet 项目,使之成为 Redis 竞争对手,不少网友评论道:“微软这是要砸了 Redis 的饭碗”。Redis 此举还直接导致了 Valkey 项目的产生,Valkey 旨在替代 Redis,以延续Redis的开源发展。Valkey 最初由亚马逊发起,随后谷歌和甲骨文的工程师加入,一周后成为 Linux 基金会的一部分。

  • 2024年 11 月 15 日,B 站拥有超 1200 万粉丝的 UP 主 “老师好我叫何同学” 在其《我用 36 万行备忘录做了个动画…》视频中,使用了 GitHub 上 Viet Nguyen 开发的 ASCII generator 开源项目(采用 MIT 协议),但却称 “我们专门写了一个软件”,引发热议。Viet Nguyen 对何同学的行为表示不满,认为何同学窃取了其工作成果,网友也纷纷谴责,指出何同学在视频里展示的代码中,删除了原作者的版权声明,违反了 MIT 协议要求。收到质疑后,何同学承认软件是从开源程序改动而来,称“我作为该项目的负责人,缺乏技术相关的职业敏感性,项目没有正确分工,没有在过程中发现问题,酿成了这次错误。”何同学还联系到 Viet Nguyen 本人表达了歉意,Viet Nguyen 表示接受。

  • Terraform 是 HashiCorp 公司开发的基础设施即代码软件,原采用 MPL-2.0 协议开源,2023 年 8 月,HashiCorp 将其开源协议改为 BSL。随后 Linux 基金会推出 Terraform 的开源分支 OpenTofu,仍采用 MPL-2.0 协议。2024 年 2 月,InfoWorld 撰稿人指出 OpenTofu 有一项功能与 HashiCorp 新版本 Terraform (非开源版本)中的功能相似,且代码也相似。 很快,HashiCorp 律师向 OpenTofu 发送通知,指控其侵权。OpenTofu 回应说,这简直是无稽之谈,双方的新功能都基于之前的开源版本代码改的,能不相似吗。

  • 2024 年 11 月,Redis 公司联系 Rust 语言的 redis-rs 客户端库维护者 Armin Ronacher,欲接管该项目,称要打造官方支持的 Rust 客户端,加入企业级功能且保持与社区版兼容。但 Ronacher 从与对方的交谈中感受到,Redis 可能认为 redis-rs 这个名称侵犯了他们的商标权,Redis 给出的选择是,要么将项目所有权转让给他们,要么就得改名。技术社区 HackerNews 对此讨论热烈,开发者不满 Redis 滥用商标权的做法,一些开发者提议全面转向 Redis 的开源分叉 Valkey,有人指出,开源维护者个人是难以承担与商业公司对抗的法律成本的。

  • 2024 年 8 月 6 日,ZLUDA 从 GitHub 下架。 ZLUDA 项目最初是为英特尔显卡提供 CUDA 支持的开源项目,后得到 AMD 资助,开发者 Andrzej Janik 使之可以在 AMD 显卡上运行 CUDA 应用。根据 Andrzej Janik 和 AMD 的协议,在AMD停止资助后,Andrzej Janik 可将这部分其开源。但开源六个月后,应 AMD 法务部要求,ZLUDA 从 GitHub 下架。有意思的是,这不是来自英伟达的法律挑战,而是 AMD 在开源路线上扭转了方向。已经开源的代码还能闭源吗?在这个案例中还真就发生了,AMD 的法律团队认为最初发布代码的邮件批准不具法律约束力,也就是说,一开始的开源就是未得到授权的,以前的开源就是一个错误!开发者 Andrzej Janik 表示,事已至此,只能这样,但他并不放弃,他计划从 AMD 资助之前的代码库开始重建 ZLUDA 。2024年 10 月,ZLUDA 又回到 Github 上,开源的,而且支持 AMD 的 GPU。

4.3 开源领域国家标准相继发布,SBOM成为标准关注重点

2024年,我国开源领域标准体系建设进一步完善,国家标准建设取得突破,国家标准《网络安全技术 软件产品开源代码安全评价方法》(GB/T 43848-2024)、《信息技术 开源 开源许可证框架》(GB/T 44272-2024)相继发布。软件供应链安全、软件物料清单(SBOM)相关标准成为关注重点,《信息技术 软件物料清单数据格式规范》行业标准获批立项,“SBOM标准社区”正式成立。

  • 2024年4月,由中国信息通信研究院组织立项起草的国家标准《网络安全技术 软件产品开源代码安全评价方法》(GB/T 43848-2024)正式获批发布。标准范围覆盖软件产品中的开源代码成分安全的评价要素和评价规程,评价要素涵盖开源代码来源、开源代码安全质量、开源代码知识产权和开源代码管理。适用于对软件产品包含的开源代码成分进行静态安全评价,为各单位对于软件产品中的开源代码成分进行安全性自评价提供依据,为第三方机构开展此类工作提供参考。

  • 2024年8月,由中国电子技术标准化研究院组织立项起草的国家标准《信息技术 开源 开源许可证框架》(GB/T 44272-2024)正式获批发布。标准提出了开源许可证的内容框架,规定了基本信息构成、序言构成、条款与条件构成、使用说明构成和许可证兼容性,适用于指导开源许可证的编制及使用。本标准解决了目前许可证之间差异较大缺乏统一规范、开源参与者难以理解开源许可证、许多开源许可证责任和义务的表述不够完善而容易导致法律纠纷等问题。作为开源基础性标准,针对开源生态的核心规则在标准层面进行规范,填补了国内外尚无开源许可证框架相关标准的空白,通过本标准开启了我国自主开源许可证研制道路;提高开源参与者对开源许可证的理解,促进开源参与者对开源许可证的合理使用,推进我国开源生态建设。

  • 2024年9月,国家工业信息安全发展研究中心依托“开源社区软件物料清单(SBOM)平台”国家专项,联合39家科研院所和行业企业,牵头建设“SBOM标准社区”,发起“SBOM筑链计划”,重点聚焦SBOM标准开源、技术攻关、应用实践等方面,共同探索SBOM的创新应用,加强软件供应链风险治理。10月,国家工业信息安全发展研究中心正式发布《软件物料清单构成和要求》标准,旨在规范软件开发过程中物料清单构成及相关要求,提高软件产品的质量和可维护性,促进软件产业健康发展,对于提升我国软件产业链供应链韧性和安全性水平具有重要意义。

  • 2024年12月,由中国电子技术标准化研究院牵头研制的《信息技术 软件物料清单数据格式规范》(计划号:2024-1400T-SJ)行业标准获批立项。数据格式作为软件物料清单的核心部分,是所生成SBOM能否给整个软件供应链提供有效信息的重要因素之一,通过开展相关标准研制,将有效填补我国SBOM底层核心数据格式空白,并解决现有主流数据格式字段冗余等问题。

4.4 新兴领域开源许可证编制取得新突破,模型、硬件许可证正式发布

新兴领域技术的发展使得相关知识产权法律关系面临新的权益平衡,为开源许可证带来了新的研制需求。大模型在全球发展迅猛,但常见的开源许可证主要是针对源代码的开放而设计,并不完全适配全新的大模型许可场景,其对模型的参数、权重、数据集等各类型权益的界定和处分往往语焉不详;芯片、机器人等新兴硬件领域开源项目飞速发展,但硬件与软件所涉及的知识产权权利基础差异较大,国际上目前也缺少广泛通用的主流硬件许可证。基于此,开放原子开源基金会组织编制发布了模型、硬件领域的开源许可证。

  • 2024年9月,在2024开放原子开源生态大会上,开放原子开源基金会正式发布开放原子模型许可证第一版(OpenAtom Model License, Version 1.0),旨在为大模型的广泛应用提供由基金会中立维护、任何人均可自由选用的开放许可证,助力人工智能领域开源生态的繁荣发展。主要参编方包括中国电子技术标准化研究院、华为、蚂蚁、国浩律师(南京)事务所等,许可证首批应用方包括中电太极、vivo等。

  • 2024年12月,在2024开放原子开发者大会暨首届开源技术学术大会开幕式上,开放原子开源基金会正式发布开放原子开放硬件许可证第1.0版(OpenAtom Open Hardware License, Version 1.0),旨在提供由基金会中立维护、所有人均可自由选用的开放硬件许可证,为开放硬件生态的繁荣发展助力。主要参编方包括开放原子开源基金会、中国电子技术标准化研究院、OpenSDV汽车软件开源联盟、阿里云计算有限公司等,许可证首批应用方包括由OpenSDV汽车软件开源联盟拉通推动的国家地方共建具身智能机器人创新中心、苏州畅行智驾汽车科技有限公司、深圳嘉立创科技集团有限公司、上海智位机器人股份有限公司、睿尔曼智能科技(北京)有限公司等。

五. 开源商业 - @袁滚滚 & @INP

IBM 以 64 亿美金收购 HashiCorp 加深其在混合云管理领域的布局

IBM 宣布以 64 亿美金收购 HashiCorp,此举被视为加强其在混合云管理策略中的关键一步,特别是在涉及生成式人工智能的部署加速时。IBM CEO Arvind Krishna 表示,随着生成式 AI 部署的加速,HashiCorp 在帮助客户通过自动化、编排和保护混合云和多云环境方面有着良好的成绩单。

HashiCorp 是一家专注于云基础设施自动化的软件公司,提供用于在多种计算环境中管理云基础设施的工具,其产品帮助企业自动化和管理他们的云基础设施,特别擅长处理复杂的多云环境。公司以其开源产品起家,包括 Vagrant、Packer、Terraform、Vault、Consul、Nomad 等,在 IT 和云服务管理领域拥有广泛的用户基础。

比利时初创企业 Aikido 获 1700 万美元 A 轮融资,致力于开发面向开发者的简易安全平台

Aikido, 一家位于比利时根特的小型初创企业,近日宣布完成了 1700 万美元的 A 轮融资。该公司致力于为开发者提供一个无废话、开源的安全平台,希望通过此来解决开发者在管理安全时面临的复杂工具问题。Aikido 强调其产品的易用性和开源性,主打无需过多通知的高效安全策略,并提供全面的安全解决方案和平价策略。目前公司已拥有 3000 家中小型客户,此次融资由欧洲风投公司 Singular 领投。

巴黎人工智能初创公司 Mistral AI 估值增至 60 亿美元

根据 TechCrunch 的报道,巴黎的初创公司 Mistral AI 目前正在进行融资,这轮融资的估值高达 60 亿美元,是去年 12 月份估值的三倍。DST、General Catalyst 和 Lightspeed Venture Partners 都有意向参与这一轮融资。Mistral AI 的这一轮融资规模预计将达到但低于 6 亿美元。

Mistral AI 成立于法国巴黎,是一家专注于开发开源大语言模型的人工智能初创公司,旨在提供生成性 AI 服务。

Redpanda 收购开源流处理平台 Benthos

Redpanda 是一个资金雄厚的 Kafka 兼容流数据平台,宣布收购开源流处理平台 Benthos。虽然双方未披露收购金额,但值得注意的是,Redpanda 在一年前筹集了 1 亿美元的 C 轮融资,使其能够进行此类收购。

开源数据服务公司 Cube 完成 2500 万美元融资,用于加强其「语义层」服务

Cube 是一家提供语义层服务的公司,通过构建抽象数据模型帮助企业组织数据和标准化数据之间的关系。随着数据和 AI 的快速发展,现有的数据模型面临管理困难和脆弱性问题。为此,Cube 推出了 Cube Cloud,一个订阅制的云服务,增加了自动化工作流和企业级治理部署工具,旨在建立统一的数据来源和指标平台。Cube 凭借其超过 1000 万次下载的开源 Cube 项目,以及在约 90,000 台服务器上安装的 Cube Cloud,保持了竞争优势。

开源 AI 开发平台获得 8500 万美元种子轮融资

开源 AI 开发平台 Sentient 在一轮种子融资中筹集了 8500 万美元,由彼得·蒂尔的 Founders Fund、Pantera Capital 和 Framework Ventures 联合领投。这笔资金旨在推进社区驱动的 AI 模型的开发,并通过区块链技术激励贡献。

开源合规与安全平台 FOSSA 收购 StackShare

开源合规与安全平台 FOSSA 确认其收购了开发者社区平台 StackShare。StackShare 是一个供开发者讨论、跟踪和分享他们所使用工具的流行平台。FOSSA 是一个提供端到端第三方代码治理服务、价值超过 1 亿美元的公司,最开始只帮助开发者识别其产品中使用的开源许可证。FOSSA 期望通过整合 StackShare,将其治理和安全服务推广到更广泛的开发者工具中。

Hugging Face 收购 XetHub 以加强 AI 存储能力

Hugging Face Inc. 收购了位于西雅图的专注于 AI 项目文件管理的初创公司 XetHub。这笔收购据报道是 Hugging Face 历史上最大的一笔(超过 1000 万美元)旨在增强其平台的存储基础设施,特别是用于托管 AI 模型和数据集。

英伟达收购以色列 AI 创企 Run:ai 和 Deci

英伟达收购以色列 AI 创企 Run:ai 和 Deci,旨在降低开发或运行生成式 AI 模型的成本,帮助客户更有效地利用 AI 计算资源,进而提振英伟达 AI 芯片的需求。Run:ai 约有 150 名员工,累计融资 1.18 亿美元;Deci 拥有约 100 名员工,累计融资 5500 万美元。

开源代码托管平台 GitLab 正在考虑出售

市值约 80 亿美元的开源代码托管平台 GitLab,在吸引了几个潜在竞标者的兴趣后,正考虑出售事宜。

目前,GitLab 在与投资银行家合作启动出售流程,包括云监控公司 Datadog 在内的同行都在关注。Datadog 的市值为 440 亿美元,其提供的软件可以让技术工作者使用云进行协作并衡量他们的生产力。

Databricks 完成百亿美元融资

大数据和 AI 公司 Databricks 宣布完成最新一轮的 J 轮融资,估值直接跃升至 620 亿美元。该公司预计将进行 100 亿美元的非稀释性融资,迄今已完成 86 亿美元的融资,这也是今年最大的一笔风投交易。

六. 开源教育 - @李明康

6.1 开源教育实践活动

2024年,全国范围内,主要有以下重要且具有影响力的开源教育实践活动:

  • 开源之夏(OSPP) 开源之夏是由中国科学院软件研究所“开源软件供应链点亮计划”发起并长期支持的一项暑期开源活动,旨在鼓励在校学生积极参与开源软件的开发维护,培养和发掘更多优秀的开发者,促进优秀开源软件社区的蓬勃发展,助力开源软件供应链建设。 开源之夏2024于11月9日全部结项,共168家开源社区参与,发布561个项目任务,近500所高校的2500多名学生报名参与,产生了518位中选学生;在经历了3个月的项目开发和1个月的代码合入期,最终455位同学通过了导师、社区和组委会的考核并结项。

  • GitLink 确实开源编程夏令营(GLCC) GitLink编程夏令营(GLCC),是在CCF中国计算机学会指导下,由CCF开源发展委员会(CCF ODC)举办的面向全国高校学生的暑期编程活动。 第三届GLCC于10月31日全部结项,官网数据显示,本次共有31个社区参与出题,共46位同学顺利通过结项考核,其中评S级18位,A级20位,B级6位,C级2位。

  • “一生一芯”项目计划 中国科学院大学(简称“国科大”)计算机科学与技术学院立足已有的理论课堂与实验教学,联合中国科学院计算技术研究所(简称“计算所”)的科研工程支撑团队,于2019年8月启动了“一生一芯”开源处理器芯片教学流片实践项目计划,至此形成了计算机系统方向理论课、实验研讨课与实践项目的有机衔接和贯通式实践训练。 截至2024年12月,“一生一芯”累计参与人数超过1万人,覆盖了国内外800余所高校。累计官网可查正式学员1163名、流片学员90名,自2024级(24年7月开始)以来,报名“一生一芯”学习的人数增长迅速,在不到半年的时间里,报名学员已经达到2581名,并预计将持续快速增长。

  • 开源操作系统训练营 开源操作系统训练营(简称“训练营”)是由清华大学的陈渝老师和向勇老师于2020年发起,旨在通过使用Rust语言编写操作系统的实践,培养全国高校学生的操作系统开发技能。到目前为止,训练营已成功举办了4年,并培养了4000+名大学生和工程师成为操作系统领域的优秀人才。 2024年训练营共开课两轮,4月7日,春夏季训练营,吸引了来自全国各地的2123名学生以及企业工程师报名参与;9月29日,秋冬季训练营,吸引了来自全国各地的3320名学生和企业工程师报名参与。截至目前,训练营已成功举办5年共八期,总计超过8000名大学生和工程师报名参加,其中不少成绩突出的学员已成为操作系统领域的优秀人才。

  • 第二届开放原子大赛 2024年9月,以“软件定义世界,开源共筑未来”为主题的第二届开放原子大赛正式启动。大赛共发布50个赛项,总奖金1500万元,覆盖基础软件、工业软件、人工智能、大模型等多个领域,设置巅峰挑战赛、实战竞技赛、训练学习赛等多种类型。大赛着眼于解决“真问题”、推广开源技术、发现开源人才。 首届开放原子大赛吸引来自高校、科研院所及企业的4.34万名选手参赛,实发奖金1338.4万元。在基础软件、工业软件等领域解决191项技术难题,产生573项技术成果,推动31个获奖团队与地方签署意向落地协议。12月20日,第二届开放原子大赛首批赛项颁奖仪式成功举办,8个首批赛项中,共产生了等13个一等奖队伍。

  • 第七届CCF开源创新大赛 第七届CCF开源创新大赛在国家自然科学基金委信息科学部的指导下,由中国计算机学会(CCF)主办,长沙理工大学、CCF 开源发展委员会联合承办。大赛面向国家“十四五”开源生态发展战略布局,聚焦“卡脖子”软件领域以及人工智能、大数据、芯片设计、物联网等前沿技术领域的开源软件,旨在为国内开源社区提供展示、交流、合作的平台,激发开源创新活力,培养开源实践人才,助力开源生态建设的高质量发展。 本届大赛超13000人报名,经过初赛,线上线下共105支参赛队伍进入决赛。大赛有效促进了开源技术的创新与应用,加强了开源文化与教育的融合,为构建一个更加开放、安全、繁荣的开源生态做出了积极贡献,更为推动国家科技创新体系建设和数字经济高质量发展注入了强劲动力。

  • 第一届中国研究生操作系统开源创新大赛 “松山湖杯”第一届中国研究生操作系统开源创新大赛是是中国研究生创新实践系列大赛主题赛事之一,由教育部学位管理与研究生教育司指导、中国学位与研究生教育学会和中国科协青少年科技中心主办。大赛是面向研究生和高年级本科生的全国性、公益性开源创新赛,坚持以国家战略需求为导向,以夯实基础软件生态和人才培养为目标,围绕操作系统关键技术和生态建设,激发研究生创新意识,提高研究生创新和实践能力。 第一届大赛由国防科技大学承办,自大赛启动以来,得到了全国107所高校研究生的积极响应,吸引了277支专业队伍踊跃报名参赛。经过数月的激烈角逐,最终有84支队伍脱颖而出,约300名选手成功晋级决赛,齐聚长沙共同见证并参与这场创新盛宴。

  • 天工开物开源创新实践毕业设计活动 天工开物开源创新实践毕业设计活动(简称开源毕设)是由天工开物开源基金会发起,并联合开源基金会、开源企业、开源社区、高校教师多方提供支持的一项面向高校学生的开源技术实践活动。开源毕业设计是一种结合开源文化和高等教育实践的创新模式,旨在通过参与真实的开源项目,为高校学生提供一个将理论知识应用于实践、培养创新思维和团队协作能力的平台鼓励青年学子积极参与开源,为开源事业的发展贡献自己的力量。目前,开源毕设专题栏目已上线一百多个开源课题。

  • 全国大学生计算机系统能力大赛 全国大学生计算机系统能力大赛(以下简称“大赛”)是由系统能力培养研究专家组发起、由全国高校计算机教育研究会和系统能力培养研究项目发起高校主办、面向高校大学生的全国性大赛。大赛目标是以学科竞赛推动专业建设和计算机领域创新人才培养体系改革,培育我国高端芯片、关键基础软件的后备人才。

    • PolarDB数据库创新设计赛(天池杯)面向全国普通高等学校全日制在读本科和专科学生,旨在培养数据库系统领域的设计、分析、优化与应用人才。此次大赛吸引了来自全国208所高校的934支队伍、1296名高校大学生参与。参赛院校涵盖了包括武汉大学、中国人民大学、浙江大学、华中科技大学、南开大学、华东师范大学、山东大学等在内的多所高校。
    • 第四届 OceanBase 数据库大赛由北京交通大学计算机科学与技术学院与OceanBase 联合承办。大赛以竞技、交流、成长为宗旨,帮助学生系统化学习数据库理论知识,积累和提升数据库实践经验与能力,共同促进数据库人才发展。此次大赛共吸引来自北京大学、清华大学、上海交通大学、复旦大学、中国人民大学、南京大学、东北大学、武汉大学、南方科技大学等近 200 所国内顶尖高校的 2600 多名选手报名参加。

6.2 开源教育走进校园

  • 开放原子校源行 开放原子“校源行” 是开放原子开源基金会发起的长期性公益项目。拟通过推广开源课程、引导开源实践、建设开源师资队伍、举办开源活动、支持设立开源社团、构建培训认证体系等方式培育开源人才,广泛汇聚行业、企业、学校、学生等各方资源,加快推动我国开源生态繁荣发展。 自2023年以来,“校源行”已经在北京航空航天大学、北京理工大学、哈尔滨工业大学、哈尔滨工程大学、西北工业大学、电子科技大学、苏州大学、南昌大学、山东大学、天津大学等举办了近20场大型线下活动,并在全国100余所高校开展了近400场Meetup活动,参与学生人数超2万余名。

  • CCF开源发展委员会“开源高校行” “开源高校行”是CCF(中国计算机学会)开源发展委员会教育组开展的活动,旨在高校加强开源文化宣传和开源人才培养,活动包含开源课堂、开源项目、开源论坛等多种类型,是CCF开源发展委员会年度重点校园推广活动之一。 2024年,共举办12期,总第30期,带领企业和社区开源专家走进了北京大学、西南大学、北京理工大学、同济大学、上海交通大学、电子科技大学、东北大学、复旦大学、华南师范大学、桂林科技大学、长沙理工大学和湖南财政经济学院等院校。

  • 天工开物“开源教育高校行” 为深入贯彻新时代人才强国战略,高水平打造软件和信息服务产业集群,加快构建开源体系建设,扩大开源教育和文化普及,形成开源发展良好氛围,天工开物开源基金会推出开源教育高校行活动,通过实地培训和现场交流等形式,了解开源学科相关的创新成果,感受不同高校开源发展脉络。共同推动开源教育基础平台的建设和应用。

  • DataWhale AI+X 高校行 “X”代表着无限的可能,同时承载着对于“AI+X”高校行系列活动的期盼。在人工智能浪潮汹涌澎湃之时,作为国内 AI 开源学习组织的先锋,希望能够带给更多的青年学子一把开启未来的钥匙。 自3月开始,已将活动带至清华大学(深圳)、浙江大学、南京大学、苏州大学等 36 所国内知名高校,超过 5000 位高校师生透过 Datawhale 社区感受到了在新时代掌握 AI 工具的魅力。

  • 开源之夏校园行 为了让更多学生深入了解开源参与开源,开源之夏活动携手众多优秀开源社区,开启“开源之夏校园行”之旅。开源之夏校园行系列活动旨在近一步激发新生代开发者群体的能量与活力,让更多学生深入了解国内外知名的开源技术、项目及社区,让开源文化普及到更多高校。 2024年,开源之夏走进华南理工大学、苏州大学、南京大学、吉林大学和复旦大学等高校进行开源项目的宣讲。

  • 红山开源高校行 红山开源社区面向重点高校和重点方向推出“红山开源高校行”活动,提升社区的影响力和知名度,吸引更多优秀创新资源参与开源创造生态构建。

6.3 开源教育理论研究

  • 高等教育改革与开源教育体系构建
    • 彭定, 江荧《职业本科创建中开环、开源式创新创业教育体系的构建》提出以资源整合、跨界知识、实践检验为核心的开源式双创教育体系,强化职业本科人才培养的贯穿力。
    • 黄启春《基于特色项目制与开源人才培养的软件工程专业学位研究生创新能力培养实践》探索通过开源贡献、重大工程等多元评价方式提升研究生创新能力,构建产学研融合的培养模式。
    • 胡平, 汪军等《工程教育专业认证背景下软件人才培养模式探索——以安徽工程大学为例》以开源文化融入课程资源建设,提升学生工程实践能力与创新意识。
  • 中小学创客教育与数字素养培育
    • 贺玮, 孙凯《指向小学生数字素养提升的创客教育实践探索》通过图形化编程、开源硬件等载体,构建数字素养与创客教育融合的案例开发框架。
    • 余海军《浅谈中小学创客教育与学科课程融合》基于甘肃省实践案例,探讨创客教育与学科融合的路径,促进跨学科问题解决能力。
    • 田昊轩, 徐晓君《基于开源硬件的中小学生数字素养培育的上海实践与研究》结合新课标分析开源硬件在弥合数字鸿沟、提升学生数字竞争力中的作用。
  • 开源技术驱动的教学模式创新
    • 李姮, 许金等《创新2.0模式下开源创新教育的电子认知实习改革探索与实践》提出“共享、开放、协作”的三部曲教学模式,构建实践教学新生态。
    • 汤海冰, 廖凌志《利用开源项目进行研究性教学培养学生的创新能力》通过开源项目重构研究性教学流程,提升学生问题分析与解决能力。
    • 张旭宁, 张峻铭等《基于开源项目的网页设计与制作课程混合式教学模式研究》结合在线平台与开源项目,强化学生自主学习和团队协作能力。
  • 开源软件战略与政策研究
    • 隆云滔, 王哲等《推动国家资助科研项目成果开源开放的国际经验借鉴及思考》总结国际开源开放政策经验,提出我国科技成果开源机制优化建议。
    • 张韬略, 刘烨《开放中的创新和安全:欧盟开源软件战略评介》分析欧盟开源战略的生态建设与安全挑战,为我国开源政策提供参考。
    • 盛小平, 陈祎帆等《联合国教科文组织开放科学政策及其启示》提炼UNESCO开放科学政策框架,建议我国加强基础设施与标准建设。
  • 开源工具与平台建设实践
    • 余卓芮, 孙怡恒等《基于开源R语言建模的空间分析教学改革研究》通过R语言模型开放参数与算法,提升地理信息课程教学效果。
    • 曾香金, 吴冬雨等《创新教学模式:基于MicroPython的人工智能实验箱在教育中的探索》利用MicroPython硬件集成能力优化人工智能教育实践场景。
    • 卢华灯, 李婷妤等《在线开放软件项目实践平台的构建与应用》以开源理念构建高职软件开发能力图谱,量化学生项目实践能力。
  • 开源生态与治理体系研究
    • 李晔, 周娜等《由科层封闭到开源开放:数智时代大学治理选择》提出大学治理需向开源开放转型,构建数据驱动的产学研协同系统。
    • 王婕, 黄温瑞等《OpenRank贡献度评估方法及其在开源课程中的实证研究》设计基于协作网络的贡献度算法,完善开源项目教学评价体系。
    • 徐晓君, 田昊轩《开源硬件在上海市中小学校的应用现状及情况分析》调研开源硬件教学应用瓶颈,提出装备管理与课程优化建议。

6.4 开源教育评价机制

随着我国开源生态的不断成熟,开源人才需求将持续释放。因此,加快建立以产业需求为导向、以能力贡献为核心的人才培养与评价体系意义重大。工业和信息化部部长金壮龙提出:要优化开源发展环境。高度重视人才、国际合作在开源发展中的重要作用,厚植发展的优渥土壤,提升开源发展质效。营造良好发展氛围。联合各方共同建设具有中国特色的开源文化,全方位、多层次开展开源宣传普及,加大引导力度,积极传播开源声音,营造懂开源、用开源的良好氛围。培育高水平人才队伍。推动建立基于开源贡献的人才评价体系,鼓励重点企业和高校先行先试,将开源贡献体现在员工升职考核、学生评奖评优等工作中,让优秀开源人才成长于校园、成熟于社区、回馈于社会。

  • 开放原子开源基金会牵头部属高校、特色化示范性软件学院和典型代表高校发起“以开源贡献为导向的人才评价机制”,积极组建试点工作组
  • 工信部人才交流中心发布《开源人才能力要求与评价规范》:规范紧密围绕开源生态建设的实际需求,聚焦开发、合规、运营、战略4大方向,详细阐述了具体的岗位能力要求、培养路径以及评价规范。该规范的发布,将进一步引导社会各界聚焦以产业需求为导向,以能力贡献为核心的开源人才体系建设,为繁荣开源生态提供有力人才支撑。
  • 西北工业大学陈亚兴、张明阳发表文章《浅谈开源与学术评价的协同效应》:本文探讨开源与学术评价相结合的可能性,分析开源赋能学术评价体系的潜在挑战以及应对策略,旨在以开源作为“小切口”革新学术评价体系“大未来”,助力我国学术评价体系发展得更加科学、成熟。
  • 华东师范大学王伟发表文章《贡献导向的开源人才评价:原理、方法与服务》:探讨了贡献导向的开源人才评价体系,提出了通过量化和质化分析开源贡献来评估人才的方法,并强调建立服务于开源社区的人才评价服务的重要性。它旨在为开源人才提供更公平的评价标准,促进开源社区健康发展。具体内容包括原理、方法及服务三方面展开讨论。

6.5 开源教育师资培训与学术论坛会议

  • 第十二期CCF秀湖会议 邀请了20余位学者和专家,围绕“开源教育:使命、挑战与发展”主题进行深入交流和探讨。基于研讨成果,与会学者和专家进一步总结凝练,形成共识,发出倡议,促进产学研用融合,共同推进中国开源教育。

  • CCD 2024《开源软件通识》 中国计算机学会(简称CCF)于2013年创建“CCF计算机课程改革导教班”(简称CCD),邀请在课程教学改革方面有心得、有经验的资深教师,就他们在一线教学的课程内容和教学方法做深度讲授和交流。CCD 2024将围绕智能和开源时代的计算机课程建设和改革,由华东师范大学教授王伟开设的《开源软件通识》课程于8月6-9日在苏州召开。

  • 开放原子校源行师资培训 开放原子校源行师资培训于2024年成功举办多期,主要聚焦于开源鸿蒙(OpenHarmony)相关的师资培训,此外,多家开源鸿蒙生态企业也在积极组织相关师资培训,扩大开源鸿蒙师资力量。

  • 第一届数字经济开源创新学术会议暨经管法高校开源创新教育论坛 此次会议是在党中央、国务院高度重视开源体系建设的背景下,上海开源信息技术协会在上海市经济和信息化委员会指导下认真落实国家政策的重要活动。来自中科院、清华大学、北京大学、华东师范大学、复旦大学、上海交通大学、中国传媒大学、北京科技大学、澳门理工大学等学术界专家,与来自华为、红帽软件、RT-Thread(睿赛德)、DaoCloud道客、PingCAP、大成律所、君悦律所等产业界代表共同就开源理论构建以及经管法高校开源创新教育等重大现实问题展开对话。

  • 2024CCF中国开源大会开源教育创新发展主题论坛 在CCF开源发展委员会指导下,由天工开物开源基金会组织策划的此论坛成功举办。本次论坛以“ 开源教育与产业创新,如何双向赋能?”为主题,邀请了LF开源软件学园、上海开源技术信息协会、华为开源、开源中国、国科开源科技、北京大学、中国人民解放军国防科技大学、华中科技大学、湖北大学、重庆邮电大学等产学研组织机构的专家、企业家、高校老师共聚一堂,围绕开源教育、开源人才培养、高校开源课程建设、开源产教融合等方面的问题挑战和方法措施展开研讨。经过专家评审,本次会议共评选出多篇优秀论文。其中,《开源创新:理论内涵、分析框架与未来展望》、《开源对传统经济学的修正与理论发展》等论文荣获优秀论文奖。这些论文在开源创新的理论与实践方面做出了重要贡献,为推动中国开源事业的发展提供了有力支持。

  • 2024开放原子开发者大会暨首届开源技术学会大会 12月20日,2024开放原子开发者大会暨首届开源技术学会大会上正式举办学术报告分论坛,来自高校和企业界的诸多贡献者,以构建开源理论、推动开源技术、形成开源体系为主要内容分享方向,发掘更多优秀的开源研究,以促进开源技术和项目发展。开源学术报告分论坛由中国通信学会、开放原子开源基金会联合举办,是信息通信领域围绕开源话题展开讨论的首个学术会议。 来自中南大学、重庆交通大学、浙江大学、同济大学、华中科技大学、复旦大学、武汉大学、湖北大学、华中师范大学、华东师范大学的专家学者进行了专题论文汇报。本次开源技术学术大会共收到投稿论文20篇,经严格选拔共录用长文4篇、短文3篇,其中论文《OpenRank 动力学:面向开源生态的影响力评估与动态传播模型》荣获最佳论文奖。学术界提供的报告分享内容极为丰富,涵盖了从生态层面的研究,以及软件漏洞感知技术的多方面探索,包括对数据驱动的开源学术成果演化规律及合作模式的深入分析。

七. 开源政策 - @庄表伟

7.1 国内政策

  • 国家部委层面的开源政策 2024 年,中国国家部委在推动开源技术发展方面出台了一系列政策,旨在构建开源生态体系,促进技术创新和产业升级。

    • 工业和信息化部等七部门《关于推动未来产业创新发展的实施意见》
      • 重点任务:打造标志性产品,做优信息服务产品,发展下一代操作系统,推广开源技术,建设开源社区,构建开源生态体系。
      • 参与部门:工业和信息化部、教育部、科学技术部、交通运输部、文化和旅游部、国务院国有资产监督管理委员会、中国科学院。
    • 四部门发布《国家人工智能产业综合标准化体系建设指南(2024版)》
      • 主要内容:促进人工智能软件开源基础框架建设,推动人工智能系统能效评价,以及与资源利用、碳排放、废弃部件处置等相关的标准。
      • 参与部门:工业和信息化部、中央网络安全和信息化委员会办公室、国家发展和改革委员会、国家标准化管理委员会
    • 四部门发布《中小企业数字化赋能专项行动方案(2025—2027年)》的通知,支持成立人工智能开源社区
      • 主要内容:推动人工智能创新赋能,支持开放原子开源基金会等开源社区牵头成立人工智能开源社区,聚焦中小企业特色需求设立专题人工智能开源项目,提供可复制、易推广的训练框架、开发示例、测试工具和开源代码。引导中小企业积极参与开源项目,降低人工智能部署开发门槛。鼓励龙头企业、交易机构、平台企业、数据服务企业等经营主体建设公共数据集、行业数据集,为中小企业提供用于人工智能模型训练的高质量数据。建设一批适用于中小企业的垂直行业大模型,强化中小企业大模型技术产品供给。
      • 参与部门:工业和信息化部、财政部、中国人民银行、金融监管总局
    • 工信部无线电管理局局长谢远生讲话
      • 主要内容:脑机接口被列为国家重点支持的十大未来产业标志性产品之一,计划建设脑机接口开源社区。
    • 工信部关于 5G 网络演进升级的指示
      • 主要内容:加强与国际开源组织的交流合作,共同打造优质开源项目,落地开源成果。

  • 地方层面的开源政策 2024年,各级地方政府也积极响应国家号召,出台了一系列地方性开源政策,推动本地开源生态的发展。其中,最为引人瞩目的,还得说是北京!

    • 北京市
      • 《北京市朝阳区2024年政府工作报告》:提出“开源开放AI生态”。
      • 《北京市加快建设信息软件产业创新发展高地行动方案》:鼓励企事业单位、社会机构、专家参与全球开源组织,吸引国际知名开源活动、会议来京举办,培育专业的国内开源社区运营团队。
      • 《北京市推动“人工智能+”行动计划(2024-2025年)》:鼓励开源社区和开源大模型建设。
      • 《中关村科学城人工智能全景赋能行动计划(2024-2026年)》:建设国际应用开源平台,联合头部企业共同建设开发和运营人工智能应用开源平台。
    • 广东省
      • 《广东省工信厅 2024 年主要工作计划》:加快构建开源鸿蒙产业生态。
      • 《广东省关于人工智能赋能千行百业的若干措施》:建设大模型开源社区。
      • 《深圳市支持开源鸿蒙原生应用发展2024年行动计划》:到 2024 年底,深圳企业开发的鸿蒙原生应用软件数量将占全国总量的 10% 以上。
      • 《深圳市工业和信息化局关于发布 2024 年软件产业高质量发展项目重大开源项目相关申请指南的通知》:支持重大开源项目商业发行版软件推广应用项目和芯片模组采购项目。
      • 深圳发布若干措施助力人工智能先锋城市建设,支持构建全栈开源体系,对开源人工智能软件予以奖励:将设立 100 亿元人工智能和具身机器人产业基金,推动构建“引导基金+天使基金+种子基金+集群基金”协同发力的千亿基金投资生态,对留学人才创业给予最高100万元资助。
    • 上海市
      • 《上海出台 8 方面 117 项措施落实推进自由贸易试验区高水平制度型开放》:建设国际开源促进机构,加大公共数据开放范围和力度,加强数字包容性国际合作。
      • 《关于促进工业服务业赋能产业升级的若干措施》:支持承担软件关键领域、元宇宙和通信产业的研发设计、测试评测、适配验证、开源服务、共性技术攻关等公共服务平台建设。
    • 重庆市
      • 《重庆市深入实施软件和信息服务业“满天星”行动计划 2024 年专项行动方案》:加快建设开源软件代码托管平台,鼓励龙头企业组建项目型开源社区,大力培育开源商业化软件企业。
      • 《重庆市支持具身智能机器人产业创新发展若干政策措施》:推进开源生态建设,以“揭榜挂帅”方式引导相关企业联合相关科研单位和行业组织共建具身智能开源社区。
    • 浙江省
      • 《浙江省人民政府办公厅关于加快人工智能产业发展的指导意见》:推动人工智能大模型领域自主可控开源社区和开放创新平台建设,支持自主开源深度学习框架研发攻关和代码托管镜像平台建设。
      • 《宁波市推进软件产业高质量发展专项政策意见》:鼓励软件企业聚焦基础软件、工业软件(嵌入式软件)、新兴技术软件领域发布自主技术开源项目。
    • 成都市
      • 《成都高新技术产业开发区加快数字经济产业重点领域高质量发展若干政策》:支持搭建开源开放平台(社区),择优评选一批开源开放示范平台(社区)。
    • 武汉市
      • 《武汉市关于进一步促进软件和信息技术服务业高质量发展的若干政策措施》:加大开源项目支持力度,鼓励企业或相关机构参与开源创新,培育孵化优质开源项目。
    • 西安市
      • 《西安市出台了3大方面9个政策文件》:支持开源芯片适配中心及产业创新中心建设。

  • 总结 2024 年中国开源政策的主要特点可以总结为以下几个方面:

    • 国家与地方协同推进,构建开源生态体系
      • 国家层面:多个部委联合出台政策,显示出国家对开源技术的重视程度。
      • 地方层面:各省市(如北京、上海、广东、深圳等)积极响应国家政策,结合本地产业特点,推出了针对性的开源支持措施,形成了“国家引导、地方落实”的协同推进模式。
      • 政策强调开源生态的完整性,包括:开源社区建设、开源平台建设以及推动开源商业化,鼓励企业、高校、研究机构等多方主体参与开源生态建设,形成良好的开源氛围。
    • 聚焦人工智能与未来产业,推动开源技术应用落地
      • 开源政策的核心领域集中在人工智能、大模型、操作系统、脑机接口等未来产业。
      • 推动开源技术在自动驾驶、机器人、医药研发、工业制造等领域的应用。
      • 支持开源鸿蒙原生应用发展,推动开源芯片适配中心建设。
    • 注重自主可控
      • 政策强调发展自主开源技术,支持自主开源深度学习框架、操作系统等核心技术的研发。
    • 资金与政策支持力度大
      • 北京市对开源社区建设给予最高500万元补贴。
      • 深圳市对重大开源项目提供最高2000万元资金支持。
      • 武汉市对优秀开源项目给予30万至100万元奖励。
    • 区域协同与特色发展
      • 深圳聚焦开源鸿蒙生态,打造鸿蒙原生应用特色产业园。
      • 北京建设中关村开源平台,推动人工智能开源社区发展。
      • 中部六城(武汉、郑州、太原等)联合推动开源共享机制,促进区域协同发展。
    • 强调标准化与规范化
      • 政策强调开源领域的标准化建设,推动开源技术与国际规则接轨。

7.2 国际政策

  • 美国相关政策 2024 年,美国在人工智能领域采取了一系列重大举措,体现了对 AI 技术发展的高度重视和谨慎态度。一方面,通过立法和司法手段,加强对AI技术的出口管制和安全监管,防范潜在的国家安全和社会风险(一些更加激进的政策幸而胎死腹中);另一方面,积极推动AI技术的自主研发,试图在全球竞争中保持领先地位。同时,美国政府对于科技巨头的反垄断调查和裁决,显示出美国政府维护市场公平竞争的决心。这些措施将对全球科技产业格局产生深远影响,值得持续关注。

    • 美国众议院通过《加强海外关键出口限制国家框架法案》(ENFORCE法案):2024 年 5 月 22 日,美国众议院外交事务委员会以压倒性多数通过了该法案,旨在加强对人工智能模型等技术的出口管制,特别是针对中国等国家。
    • 加州州长否决人工智能安全法案 SB-1047:2024 年 9 月,加州州长加文·纽森否决了由参议员 Scott Wiener 提出的 SB-1047 法案。该法案旨在为大型人工智能模型制定安全标准,但纽森认为其可能对 AI 公司施加过重负担,影响加州在该领域的主导地位。
    • 美国法院命令谷歌整改其安卓应用业务:2024 年 10 月,美国联邦法官詹姆斯·多纳托裁定,谷歌在未来三年内不得限制竞争,要求其开放安卓应用商店,允许用户从其他平台下载应用程序,并使用其他应用内支付方式。此举旨在打破谷歌在安卓应用市场的垄断地位。
    • 美国司法部建议拆分谷歌的 Chrome 浏览器业务:2024 年 11 月,美国司法部建议联邦法院要求谷歌出售其 Chrome 浏览器,并禁止其在五年内重新进入浏览器市场。此举旨在防止谷歌利用其浏览器主导地位,巩固搜索引擎市场的垄断。
    • 美国启动AI“曼哈顿计划”:2024 年 11 月,美国国会下属的美中经济与安全审查委员会(USCC)发布年度报告,建议美国政府参照二战期间的“曼哈顿计划”,启动人工智能重大专项,集中全国力量加速研发通用人工智能(AGI),以应对中美科技竞争日益加剧的局面。

  • 欧洲相关政策

    • 俄罗斯政府考虑对使用外国软件的本土企业收取费用:2024 年 5 月,俄罗斯数字发展部部长马克苏特·沙达耶夫表示,政府正在考虑对使用外国软件的国内企业征收费用,以减少对外国技术的依赖,推动本国技术的发展。
    • 德国最高民事法院裁定 AI 系统 DABUS 的发明可申请专利:2024 年 7 月,德国联邦法院裁定,由 AI 系统 DABUS 设计的午餐盒可以申请专利,但前提是必须有人类被列为发明人,并在申请中明确指出该产品由人工智能构思。
    • 德国联邦司法部发布计算机刑法草案,保护 IT 安全研究人员:2024 年 11 月,德国联邦司法部发布了一项计算机刑法草案,旨在明确IT安全研究人员的某些行为不会受到计算机刑法的惩罚,以鼓励他们检测并弥补 IT 安全漏洞。
    • 瑞士通过 EMBAG 法案,要求公共机构开源其软件:2024 年 7 月,瑞士通过了《履行政府任务电子手段使用联邦法案》(EMBAG),要求所有公共机构披露其开发或为其开发的软件源代码,除非涉及第三方权益或安全问题。
    • Apache 软件基金会对欧盟即将出台的软件法规表示担忧:在过去两年中,Apache 软件基金会(ASF)和其他开源组织对欧盟即将出台的《网络弹性法案》(CRA)表示担忧,特别是针对网络发布的软件和销售的软件。政策制定者引入了 “开源管家” 的新概念,为软件行业创造了一个新的经济行为者类别。CRA 法案的实施期已延期一年,至 2027 年开始全面实施。

  • 亚洲相关政策

    • 2024 年 6 月,日本政府在《综合创新战略 2024》中提出了三大强化方针,其中之一是 “AI 领域的竞争力强化与安全·安心的确保”。该战略旨在通过全球视野的合作,推动 AI 技术的发展和应用,同时注重 AI 系统的安全性和社会接受度。另一方面,日本的版权法允许广泛使用受版权保护的图像和其他材料用于商业目的,以训练人工智能模型,而无需寻求许可。这也引起了众多创作者的警觉与批评。
    • 2024 年 12 月,马来西亚宣布成立了国家人工智能办公室(NAIO),旨在以此聚焦政策制定及监管问题,推动马来西亚及其他地区的人工智能领导力,从而将马来西亚打造为人工智能区域中心。

Released under the CC BY-SA 4.0 License.

Copyright © 2014-present KAIYUANSHE