通信行业作为建设数字中国的中坚力量,始终站在新兴技术的一线。在开源技术盛行的当下,通信行业积极投入开源生态建设,但同时也面临开源软件选型、开源安全漏洞修复、开源生态建设等痛点问题。
中国联通作为央企国家队、通信行业的排头兵,在开源技术的研究与开发上已深入多年。目前,中国联通内核技术全部基于社区主流的开源技术,开源技术组件涉及300余种,沉淀了大量的开源技术经验。
中国联通软件研究院(以下简称“联通软研院”)作为中国联通IT技术研发的核心力量,承担了中国联通BSS、MSS、DSS以及联通云PaaS能力的研发、生产与运营,在服务中国联通大IT建设历程中,也走过了从开源软件使用、到自研再到开源治理的道路。
在今年的 OSCAR 开源产业大会中,我们也有幸邀请到了中国联通软件研究院的专家与大家深入探讨开源治理的话题。王晓峰是中国联通软件研究院公共平台与架构研发事业部副总经理,负责中国联通数字化研发平台、数字化底座联通云PaaS、中间件、数据库、信创及企业架构规划,以及中国联通IT系统架构建设及运营。
在会前,我们特别采访了王晓峰老师,为大家剧透他即将在 OSCAR 2022 开源产业大会上带来的精彩演讲。
联通软研院在大量引入开源软件的过程中,为中国联通IT建设确确实实带来很多技术红利,解决了很多技术难题,节约了大量成本。
最后,在联通内部生产系统已形成规模化使用的开源软件(例如MeSOS、CentOS)面临社区停更、新技术转型、生产系统改造等各种风险。
所谓“术”,是我们采用自上而下、自下而上两套路径来推动全院的治理工作落地。自上而下是指,从数字化部到院领导高层,对于开源治理的工作高度重视,多次研讨开源治理、供应链安全等平台级战略。自下而上是指,通过适当的管理手段,各产品线对开源软件的风险意识较强,能够在生产活动中主动规避开源软件风险、合理、合规的使用,为产品带来价值。
所谓“法”,是我们组建了统一技术栈运营团队,成立了技术专家团队、运保支撑团队、产品研发及支撑团队、安全团队、法务团队,并建立了一套相对完善的、适用于联通软研院的治理流程,并通过管理办法打通治理流程、盘活各个团队。
所谓“器”,是我们构建了企业级的开源治理平台、院级的软件物料清单,引入了证书以及安全的检测能力等等,通过基础能力的建设,助力治理工作的有效实施落地。
其次,需要考虑企业内部现有人员对该开源技术的掌握程度,例如:是否具备部署和功能使用,配置优化、源代码的掌握情况,能否二次开发、按需改造等。
最后,需要考虑企业内部现有人员对技术的支撑能力及规模。
针对此类问题,中国联通会从两个角度入手应对:一是,针对不同的生产区域安全需求,设置相应的网络隔离及安全策略,保障生产及办公区域的网络安全,同时禁止非法用户访问内部网络,保证开源软件不被攻击。二是,安全管理部门一旦发现漏洞,会在联通内部及时发布漏洞信息及相关补丁,督促全院各项目团队、个人自主排查并完成服务端及客户端的漏洞整改工作。
第二,企业不清楚各个项目中使用了多少开源软件和开源组件。
针对此类问题,从去年开始,联通软研院就开启了开源治理工作,并对全院IT系统技术栈(含自主、开源、商用)使用情况,进来了多轮调研与梳理,形成联通软研院IT系统技术栈清单,发布技术栈短名单,为联通软研院开源治理提供基础数据。
考虑到各项目团队自主上报的软件可能存在遗漏,在项目全生命周期关键环节,联通软研院有效规范开源软件使用、技术支撑与运维支撑,避免各项目组因随意使用开源软件、开源组件为业务系统带来未知的风险。
在项目立项阶段,加强对项目的技术架构评审。在开发阶段,通过代码依赖扫描工具,掌握各代码工程引入的开源软件或开源组件。在上线实施阶段,由支撑团队支撑项目进行软件的安装部署与调优,进一步确定各项目团队对开源软件的使用情况。
第三,企业存量系统引入了大量的开源软件。
针对此类问题,考虑到生产系统的稳定性及改造成本,联通软研院明确了高风险技术栈“应替尽替”,中低风险技术栈“能替快替”治理原则,并结合各项目的实际情况,为项目团队提供相应的解决方案,并由各项目团队制定整改计划,确保生产系统的安全平稳过渡。
为满足大IT系统建设需求,对引入的核心开源软件,中国联通自有人员须具备二次研发与自主掌控的能力,并对开源软件缺失的一些企业特性能力进行补齐增强。
为此,中国联通组织自有人员学习研究开源软件源码,结合系统需求进行二次开发与性能优化,补齐开源软件缺失的一些企业特性,补强开源软件相关性能,同时将新增企业特性回馈开源社区。在此期间,中国联通从中培养了一批开源技术人才,目前对生产系统在用的核心开源软件具备了自主掌控、自主维护与支撑的能力。
同样,为弥补自身的短板,开拓视野,中国联通与华为、阿里、百度、中电子、易华录、Alluxio等成立联合创新实验室,实现平台化多边合作,信创产业协同推进。同时,积极加入开源社区,包括:CNCF社区、OpenGauss欧拉社区、Mesosphere社区、OpenAnolis龙晰社区、Alluxio社区,也积极向开源社区贡献代码。
作为央企国家队,中国联通在IT系统建设与运营过程中,坚决贯彻落实党中央十九届五中全会“科技创新、自立自强”要求,超前布局、坚定不移,自主+合作、开源+商用相结合,坚持核心能力自主掌控,深耕开源软件底层代码,从实践中不断沉淀总结、自强卓越、开放合作,是央企数字化转型的最佳实践。
再次,完成开源治理软件管理平台建设,实现全院IT系统技术栈“一点管理”、“一点看全”。建立统一技术栈运营治理机制,对统一技术栈治理情况及问题进行定期通报。
通过上述工作,联通软研院目前已经对9大类36个软件进行集约化、专业化的支撑能力。对于更多的开源软件,联通软研院秉持自主掌控、开放合作的态度,积极寻求外部合作伙伴,补齐补强相关开源软件的技术支撑能力。
第一,组建治理团队。企业要有相应的开源治理及运营管理团队。
第二,制定制度规范。从项目的全生命周期关注开源治理,建立配套的开源软件管理制度及架构治理规范,对开源软件的引入、使用、更新、退出的全流程管理提出明确规定,形成完备的规范模式,统一管理。
第三,规划治理目标。开源治理工作要结合系统实际情况,而非一刀切或一蹴而就,对新建系统及存量系统要区别对待,制定不同的治理目标。
第四,深耕开源技术。企业想用好开源技术,还需要对开源技术进行深入研究分析,了解开源技术自身状态、开源技术生命力、开源技术如何与现有技术结合、现有人员对开源技术的掌握程度及支撑能力等等。
最后,开源文化建设。要倡导企业开源文化建设,开源取之于开源组织,回报于开源组织,企业通过交流、互动、开放代码等方式建设开源文化,也会更好进行开源治理。
在产业研究方面,中国联通积极参加企业数字化转型IOMM-TEL伙伴(推进)计划、企业级DevOps赋能(共促)计划、数字化治理方阵、产业白皮书及数据安全生产运营等。
在标准制定方面,中国联通在DevOps、AIOps、大数据、人工智能等领域,协同中国信通院完成相关标准制定。
在评估认证方面,中国联通还通过了中国信通院组织的IOMM数字化成熟度、可信云、微服务、服务网格、容器解决方案、可信云安全、开源治理能力成熟度、AIOps能力成熟度模型、数据管理能力成熟度评估模型、DevOps能力成熟度模型等各种能力成熟度评估认证。
