知識產權及合規風險、安全風險、運維和技術風險。
《開源生態白皮書(2020年)》指出,開源軟件可能涉及三類風險:知識產權及合規風險、安全風險、運維和技術風險,其中知識產權及合規風險主要與開源許可證的規定相關,安全風險主要涉及安全漏洞等問題,運維和技術風險主要指因開源軟件的引入導致的開發運維投入量大、技術人員要求高等問題,而這三類風險在不斷上升。
根據美國新思科技公司(Synopsys)發布的《2020年開源安全和風險分析》報告(OSSRA)。67%的代碼庫包含某種形式的開源代碼許可證沖突,33%的代碼庫包含沒有可識別許可證的開源組件。
75%的代碼庫至少含有壹個漏洞,將近壹半(49%)的代碼庫包含高風險漏洞,而去年則為40%。91%的代碼庫包含已經過期四年以上或者近兩年沒有開發活動的組件。除了存在安全漏洞的可能性增加之外,使用過期的開源組件的風險在於更新它們還會帶來不必要的功能和兼容性問題,運維風險和成本將會提高。
其中在許可協議方面的不確定性近兩年成為焦點,從2018年開始,Redis Lab、MongoDB、Neo4j等多家開源數據庫修改許可協議,甚至有人指出開源數據庫變天了。
如今開源風險已經成為開源應用的屏障,《開源生態白皮書(2020年)》的調研指出,出於安全性考慮成為我國企業尚未應用開源技術的最主要原因。2019年,出於安全性考慮而未使用開源技術的占比最高,達到43.8%,比上壹年增加8.6%。對於國內企業而言,開源治理從未像現在這樣迫切。