于发展初期，2020年设立首个开源基金会——开放原子开源基金会，具有里程碑意义，未来 企业、高校、协会之间的交流与合作有望加深，成立更多的本土开源基金会。 开源概念铺陈：软件的“源”即其源代码，“开源”的核心概念是软件的编写者将源代码免 费提供给使用者，同时要求使用者遵循一定的开源规范。开源的发起者可以是个人、企业等 各种主体，聚焦企业开源领域，企业开源与商业化并不矛盾，开源软件的“引流”作用能够 帮助企业 www.iresearch.com.cn 开源：定义 开放源代码为基本内涵，还需符合修改、传播等方面的规范 软件的“源”即其源代码，“开源”的核心概念是软件的编写者将源代码（通常）免费提供给使用者。然而，软件行业内 所谓的“开源”概念还包含其他诸多基本要求和限制，需要作者和使用者共同遵循一些规范。OSI（Open license）还需要满足关于源代码的使用和修改、关于软件传播以及公平 性、中立性等方面的诸多要求，这些要求加强了开源产业的规范性，构建了诸多开源商业模式的基础。 来源：OSI，艾瑞咨询研究院根据公开资料研究及绘制。 OSI组织对“开源”核心概念和要求的界定 关于开源软件的内容（代码） • 开源软件必须包含可理解与运用的源代码，或提供简便的获取 源代码的方式；且开源代码必须允许以源码或编辑后文件的形

先应用在日本加古川市，现已在其他几个城市得 到应用。Decidim平台的首个日本版本主要由日 本东京大学先端科学技术研究中心的Yoshimura 教授和Code for Japan组织的代理主任Hal Seki负 责。现已将源代码上传至其创建的GitHub公开存 储库中，使当地社区能够利用该平台。 Code for Japan组织致力于在日本公共部门中推 广开源作为公民参与社会和民主变革的工具。作 为更广泛的Code for Papiergraben。其二，在2019年该州议会通过了一项关于公共采购 的规定，明确将开源定义为“源代码公开可访问且许可证不限制其使用、分发和修改的软件解决 方案”。图林根州公共采购法（Thüringer Vergabegesetz）明确提出，在技术和经济可行的 情况下，优先选择采用开源软件。 最近，OpenTalk在德国公共管理开源代码仓库OpenCoDE.de中依据EUPL（欧洲 公共许可证）共享了其代码。在此 护， 势必虚置GPL协议关于源代码持续开源的相关规定，对于通过GPL协议让源代码持续开源传播 产生不利影响。针对原告涉案软件的主程序部分，对原告主张两被告构成著作权侵权的主张不 予釆纳，对其要求两被告承担相应的侵权责任的诉讼请求不予支持。 1、非正当手段获取包含GPL协议软件源代码的行为的后果。非正当手段获取包含GPL协议软件源 代码的行为，一方面，虽然其获取的源代码中包含GPL协议，但是由于该行为未通过权利人发布

到广泛采用。另一个挑战是，将开源与代码中的专有功能彻底分开有时比较困难。 Hybrid Licensing 开放核心 + 混合许可——混合许可在同一个代码库中混合了开源代码和专有代码。用 户可以选择只使用开源代码，或者同时使用开源代码和专有软件代码。这种模式是基于开放核心模式的 改进，因此优势包括 open-core 的所有优势，以及更多 ：(1) 将所有内容都放在同一个代码库中，可以 更轻松地管理工程流程和开发 图表 18 ：Apache Doris 与 Doris DB 的分裂 资料来源：公开资料，云启资本 3.3.2 代码安全风险 开源组件漏洞引起的安全风险也是开源风险中不可忽视的重要因素。开源代码具有公开易获取的特点， 这为开发者提供便利的同时，也隐含着漏洞反馈和修复滞后的潜在风险。开源项目一旦被广泛使用，一 方面漏洞信息散落在各类开发者手中，能否及时被官方收录是一个挑战 ；同时另一方面，如果软件使用 年的 75% 增加了 9%。 而包含高风险开源漏洞的代码库在 2020 年增加到 60%，比 2019 年审计的 49% 增加了 11%。 2021 中国开源年度报告 89 图表 19 ：开源代码漏洞统计 资料来源：Synopsys，云启资本 全球知名开源日志组件 Apache Log4j 于 2021 年 12 月被曝存在严重高危险级别远程代码执行漏洞， 引发人们对开源安全性问题的探讨。12

from proprietary features in the code. Hybrid Licensing 开放核心+混合许可——混合许可在同一个代码库中混合了开源代码和专 有代码。用户可以选择只使用开源代码，或者同时使用开源代码和专有软件代码。这种模式是 基于开放核心模式的改进，因此优势包括 open-core 的所有优势，以及更多：(1) 将所有内容 都放在同一个代码库中，可以更轻松地管理工程流程和开发；(2) 资料来源：公开资料，云启资本 Source: Public sources, Yunqi Partners 3.3.2 代码安全风险 开源组件漏洞引起的安全风险也是开源风险中不可忽视的重要因素。开源代码具有公开易获取 的特点，这为开发者提供便利的同时，也隐含着漏洞反馈和修复滞后的潜在风险。开源项目一 旦被广泛使用，一方面漏洞信息散落在各类开发者手中，能否及时被官方收录是一个挑战；同 时另一方 vulnerabilities increases to 60% in 2020, an 11% increase from the 49% audited in 2019. 图表 19：开源代码漏洞统计 Figure 19: Open source vulnerability statistics 资料来源：Synopsys，云启资本 Source: Synopsys, Cloud

192K，号称是当时全球最长的上下文窗口，能够处理约 35 万个汉字。 在上下文窗口长度、长窗口文本生成质量、长上下文理解以及长文本问答、 摘要等方面的表现均全面领先 Claude2。 2023 年 9 月，蚂蚁集团正式开 源代码大模型 CodeFuse——基 于蚂蚁基础大模型研发。 这是蚂蚁自研的代码生成专属 大模型，帮助开发者自动生成代 码、自动增加注释、自动生成测 试用例、修复和优化代码等。 2023 年 8 月，阿联酋研究团队宣布开源阿拉伯语大模型 河南周口联通为了强迫用户更 换光猫，公司在后台停掉用户 的宽带账号，导致用户无法上 网，然后让工程师上门 “维修”， 谎称光猫损坏，需要花 299 元 换新。更换完后，联通再在后 台恢复用户的网络。 员工盗用公司游戏源代码 中国人民大学一名硕士毕业生涉嫌在校期间非法获取全校学生的个人信息， 并利用这些信息制作了一个给学生颜值打分的网站。 针对 “中国人民大学部分学生信息被非法获取” 的情况，海淀警方接到报警 后立即开展调查。 经查，嫌疑人马某某（男，25 岁，该校毕业生）涉嫌非法获取该校部分学生 个人信息等违法犯罪行为，后被海淀公安分局依法刑事拘留。 上海一游戏公司三名员工利 用职务之便，在从原公司离 职前盗取了公司开发的手游 源代码；并将该手游的源代 码提供给 了另一家网络 公 司，对方进行简单 “换皮” 之 后就开始上线经营。 创建颜值打分网站——结局很“刑” 一年私吞 260 余万元 民警随即展开工作，最终嫌疑人曹某迫于压力主动投案自首。

社区协作：鼓励各方在开放平台上协作 贡献，推动开源内容的发展 创新改进：通过资源共享与协作共生， 提升开源内容质量，并产生新的内容 自由共享：开源内容可以免费被任何人 查看、学习、使用 透明与可审查：开源的源代码可以被任 何人审查验证、保持质量 开源精神 通过传递一种对于知 识分享、知识透明和 平等合作的价值观， 凝聚群众力量，促进 开源内容传播应用与 迭代升级，达到社会 集体效应最大化 5 ©2023 需求谨慎选择开源代码使用 来源：参考可信开源合规计划，根据专家访谈、公开资料，由艾瑞咨询研究院自主研究及绘制。 使用开源许可证需注意的风险点 审判机关 开发者 开源许可证 “两者的契约” 开源者 将许可证视为“合同”，基于《著作权法》、 《专利法》等法律法规对相关纠纷进行判决 围绕许可证可能出现的其他风险 专利风险 数据风险 出口风险 其他风险 开发者商用开源代码时容易出现的违规风险：不同开源许可证对 www.iresearch.com.cn 开源产业链关系 以开源社区及代码托管平台为中心，各方合力促进产业源与端共生共长 发起者可以将源代码放在代码托管平台上，结合开发者的代码贡献进一步提升源代码质量。在这个代码优化的过程中，也有其他力 量辅助：1）开源基金会可选择性接受项目的捐赠并运营项目；2）开源技术论坛通常会提供更广阔的开发者交流平台，提升开发者 能力水平；

仓库管理 创建和管理仓库、浏览提交历史和代码文件、审查和合并代码提交、管理协作者、 管理分支等。支持标签、Cherry-pick、WebHook、集成协作工具等。 在线编辑 在线浏览和编辑源代码、配置文件、文档等，无需安装任何软件或插件。内 置文本搜索、代码高亮、自动补全、代码折叠等。 Gitea 核心能力：分支管理 分支保护 设置对分支的访问权限，并限制对该分支的操作。 分支管理 Workflows 脚本 Workflows 脚本 Actions 运行 Gitea 延伸能力：包/发布管理 涵盖目前流行的包/发布管理器，包含 Maven、Go、RPM、NPM、PyPI 等；支持源代码和二进制文件的版本发布 Gitea 延伸能力：依赖项扫描 自动扫描代码仓的依赖库，发现有漏洞的版本，并给出升级或替换建议，及时发现和解决安全隐患 扫描结果列表 扫描结果详情 支持扫描的语言

开，并能够提供相应的训练流程，是所有人能够对结果进行重现。这好比我们讨论开源项目的时 候，通常不会指我们只能够下载某个应用程序，而是我们能够查看源码，甚至通过修改源码编译 出自己想要的应用程序。 在今年 10 月 29 日，开放源代码促进会（Open Source Initiative，OSI）发布了关于“开 源 AI 定义（OSAID）”1.0 版本，其规定了 AI 大模型若要被视为开源必须具备三个三个：训练 数据透明性、 问题增加了代码在生产环境中的风险，可能被恶意利用。 法律和版权问题。大模型生成的代码可能基于公开代码库或开源项目，而这些代码可能受到 版权保护，存在侵权风险。例如，生成的代码可能直接复制开源代码片段，未遵守相关开源协议， 或与受版权保护的代码高度相似，从而引发法律争议。这可能导致开发者或组织面临知识产权诉 讼及相关损失。 影响大模型生成代码质量的因素 模型训练数据的质量。大模型的代

6、案例分析——Wuhan2020 6.1 简介 Wuhan2020 是 COVID-19 疫情期间出现的较⼤规模⾃组织的代表，也是典型的技术型⾃组 织社区之⼀。Wuhan2020 成⽴不到 3 个⽉，就以开放源代码的⽅式在互联⽹上开展志愿服务 和合作。在线志愿者合作建⽴了 5 个⽹⻚/⽹站，在 GitHub 上建⽴了 23 个代码库，并收集 了 4,394 项各种与抗击新冠疫情有关的⼀⼿及⼆⼿信息。 据⾃组织机构的不完全统计，截⾄

这两个功能⼏乎是⾮常直接，也⾮ 常⾃然就能想到并快速应⽤的。 我们通过内测阶段⽤⼾的反馈，还发现有些⽤⼾⾮常聪明，他们⽤
Kimi
智能助⼿
完成了⼀些⾮常成功 的尝试。⽐如说： 把整个源代码放到我们的
Kimi
智能助⼿
⾥，然后跟它说请你帮我根据这份代码编写⼀个流程图，我要 ⽤来去写专利或者软著。他们的专利或软著材料有⼀多半都可以直接⽤模型⽣成，效果⾮常好。 有⼀些⽤⼾在做标书的