2022年12月12日，法国国际关系研究所（IFRI）发布《软件实力：开源软件对经济和地缘政治的影响》报告 。报告指出，目前市场上80%-96%的软件代码（包括专有软件）都是开源的。开源不仅在软件开发中扮演着核心角色，成为数字公司成功的主要因素，还是关键软件模块以及互联网语言和协议的基础，在新兴技术的发展中发挥着重要作用。报告认为，欧洲的开源软件发展愿景必须与欧盟的外交立场相结合。在优先事项和开源社区的利益汇聚领域，例如关键开源组件的存储和维护，与美国和印度、巴西等其他国家肯定有合作途径，但中国政府的转变使其不能成为欧洲野心的政治盟友。 一、开源软件的机遇与挑战 软件的开发和分发围绕专有软件和开源软件两种主要的许可模式构建，进而扩展为经济和政治模式。 从20世纪70年代到90年代后期，专有软件激增并占据主导地位。专有软件是需要付费的,通常由私人实体开发，通过许可系统或者云端提供给客户。软件发行商还可以获得维护合同、相关服务和“高级”功能销售以及广告等其他收入来源。在专有软件模式中，用户通常无法访问软件的源代码，因此无法检查或修改软件。对于用户而言，专有软件模型带来了一系列问题和风险，这在一定程度上解释了公司、政府和个人求助于替代软件（例如免费和开源软件）的意愿。全球地缘政治竞争的背景增加了依赖专有软件的风险，特别是当它由外国公司生产时，存在网络安全风险（如故意设置后门）和这些风险的低可见性、对域外立法的依赖（特别是处理软件使用产生的数据方面）、甚至出于政治或国家安全原因限制某些软件的贸易和使用等风险。 与此同时，开源软件在过去20年中崛起，开源软件或软件组件已成为全球数字基础设施的核心，成为专有模型的替代方案。开源为软件开发带来了好处，然而开源软件也存在众所周知的弱点，包括：（1）网络安全问题：与所有软件一样，无处不在的开源软件带来了特定的网络安全挑战。关于开源软件是否比专有软件更安全的这个问题存在争论，一个论点是开放代码的可访问性增加了识别漏洞的机会，而对立论点是软件中大量的开源代码行使检查变得困难。（2）经济和技术可行性问题：一方面，开源软件模型具有经济不稳定性。另一方面，尽管一些开源产品已经流行到成为全球数字架构的支柱，但这些产品在很大程度上依赖于开发人员的自愿贡献——自愿编写、维护和更正代码行。但对于整个开源生态系统来说并非如此，现在大量的代码存储库有付费甚至全职维护人员。 二、开源软件的演变 全球开源生态系统依赖于开发者的贡献，无论是个人、社区还是公司。基金会、协作开发平台和代码存储库以及大型科技公司三种不同性质的组织在开源软件的构建和演变中发挥着重要作用，托管开源项目、组织可访问的源代码、为开发者提供资金并促进开源。 1.基金会 基金会在开源生态系统的治理、构建和活动中发挥着关键作用，即基金会使协作成为可能。目前全球开源生态系统主要围绕少数美国基金会构建，如Linux基金会和Apache软件基金会。开源生态系统在欧洲的发展越来越快，尤其是随着Eclipse开源平台和RISC-V基金会向欧洲大陆的迁移，以及2022年9月Linux基金会欧洲分部的创建。 2. 协作开发平台和代码存储库 除基金会外，全球开源生态系统越来越多地围绕托管代码存储库的协作开发平台构建。随着开源软件的使用越来越广泛，程序员社区已经自我组织起来，对托管软件项目并允许共同提供和管理源代码的平台标准化，如GitHub。 3.大型科技公司 私营部门已成为开源生态系统融资和治理的关键参与者。大型数字公司尤其密切关注开发和维护开源组件的社区活力，并在开源社区投入大量资源，确保核心软件基础设施的连续性或开发其开源项目。大多数大型科技公司都是大型基金会的成员或赞助商。大型科技公司正在发挥越来越大的作用，因为他们直接参与开源项目开发，并且投资基金会和代码存储库。公司必须权衡共享代码和知识的好处与失去控制权并与开源社区及潜在竞争对手的差异之间的风险。总体而言，开源具有多种优势，这些优势在很大程度上弥补了潜在风险，这就是开源越发趋于普遍的原因。 三、开源软件的政治化 政府对于开源软件战略利益的意识在不断增强。美国、中国和欧洲的案例分析表明，政府参与开源不仅是务实的，还越来越被政治化，以维护政府对国家安全、国际影响力或数字主权的雄心。 1.美国：关注网络安全 美国的开源问题主要从网络安全的角度来解决，应对措施侧重于联邦政府内部的预防措施和公私合作。 在政府管理中推广开源软件的使用。政府使用开源软件有以下优势：（1）跟小团队开发的软件相比，持续的同行评审可以在更大程度上确保软件的可靠性和安全性；（2）无限修改源代码的能力使国防部能够快速适应不断变化的情况和需求；（3）开源降低了依赖专有软件产生的风险以及可能导致的限制（如供应商锁定）；（4）当需要许多软件副本，开源为软件维护提供了经济利益；（4）开源适用于原型设计和实验。 减轻开放的风险。开源软件也带来了挑战，尤其是对国防部和更普遍的国家安全而言。首先，在关键系统中使用外部管理的代码可能会为对手创造切入点，以试图将恶意代码引入国防部系统；因此，开源软件供应链的安全性应该受到严格审查。其次，不小心共享了为国防系统开发的代码，可能会泄露关键创新而使对手受益；因此，国防部必须清楚地阐明它如何、在何处以及何时参与、贡献以及与更广泛的开源软件社区互动。开源风险不仅与组件中的意外漏洞有关，而且越来越多地与潜在为外国政府工作的恶意行为者对代码的操纵有关。 2.中国：获得独立和影响力 自2010年以来，尤其是2020年以来，中国贡献者在全球开源社区中的份额一直在显著增加。2012- 2018年，Linux基金会的中国成员数量增长了400%以上。2021年GitHub的7300万贡献者中，中国有750万，占比略高于10%，仅次于美国。2021年3月，阿里巴巴集团、华为公司和腾讯公司首次全部进入GitHub代码库贡献的前20名，其中OpenResty为有影响力的项目之一。 除了GitHub，还有腾讯和阿里巴巴等创立的中国平台，包括中国领先的开源平台Gitee。Gitee现在有超过800万用户。一些开发者更喜欢使用Gitee而不是GitHub。根据中国信息通信技术研究院的数据，大约87.4% 的中国公司使用开源技术，以提高项目知名度以及更普遍的获得对数字世界的影响。 此外，中国希望独立于美国技术是使用开源软件的日益增长的动力。中国主要公司重点投资了操作系统、半导体、云和人工智能。中美竞争的加速推动中国产业的战略部门（银行、保险、电信）采用国内技术或开源技术。与此同时，从2020年开始，中国政府对开源软件的控制明显增加，以进一步控制国内开发者社区。由于担心美国未来可能限制开源技术的分发（目前不受出口管制），2020年中国成立第一个开源基金会OpenAtom。 3.欧洲：数字主权和数据共享 欧洲的开源软件愿景及其正在进行的政治举措，以欧洲在开源软件中的历史角色、“数据共享”概念以及欧洲数字主权的雄心为基础。 欧洲在开源软件中的作用。欧洲与北美一起，在自由和开源软件方面发挥了先驱作用。直到20世纪90年代，北美和欧洲在数量上一直主导着开源世界，此后贡献者的地域多样性开始增加。如今，欧洲开发人员的贡献仅占全球开源社区的不到三分之一。 维护“数据共享”。欧洲在数字世界中的雄心和价值观，更接近于“数据共享”概念。事实上，维护“数据共享”意味着欧洲提倡“维护互联网的最初愿景，一个多元化、非垄断和非私有化的互联网”，维护普遍利益、自由竞争、网络中立、保护个人数据和生态可持续性。 开源软件是欧洲数字主权的工具。欧洲对开源技术重新燃起的政治兴趣也与建立欧洲数字主权的雄心相关联。软件和技术标准是技术基础设施的核心，因此也是备受追捧的数字主权核心。创建“全球数字共享的开放和共享的软件和硬件基础设施”被称为欧洲技术主权项目的第四个支柱，另外三个支柱是网络空间安全、数字市场的法律和经济监管以及欧洲的创新能力。数字主权应该允许欧洲在面对美中之间日益紧张的局势和可能的技术脱钩时，确保其自主性，同时避免被迫和无条件的结盟。因此，欧洲尤为追求和推广开源软件和硬件解决方案，并确保其网络安全和融资生态系统，以应对技术贸易制裁。

应竞争委员会于2018年5月29日的邀请，欧洲研究基础设施战略论坛（ESFRI）成立评估工作组（WG），旨在制定关键绩效指标（KPI）以监测科研基础设施（RI）运行情况的通用方法。在第71届ESFRI论坛会议（2019年12月17日至18日）上对工作组的成果进行了介绍。 拟定KPI应提供一个涵盖从投入到产出等一系列指标的全面框架，这些指标将用于ESFRI地标（Landmark）及其他设施的定期审查中，并可能进一步被更多的RI、资助机构和相关方所采用。 制定KPI解决泛欧洲RI常见任务的评估问题是必要的，KPI应与大部分RI相关，并且适用于大部分RI。目前已经在RACER标准上进行了测试，即必须是相关、可接受、可信、易于监测且功能强大。一些新颖的方法，例如基于替代计量学的方法可能会在将来大大改变监测的方法,然而它们目前还不符合RACER标准，因此在制定KPI过程中并未考虑。 1.所有KPI均应与RI的任务保持一致，并符合RACER标准：相关、可接受、可信、易于监测且功能强大。每个KPI都应附有一份参考表，表中给出了定义、数据源、计算方法以及其他与计算或适用性有关的信息。 2.考虑到RI及其任务、发展状况的多样性，以及每个RI的特定KPI的不同相关性，KPI并不适合用于比较RI的性能。 3.尽管目标是希望KPI能与大多数RI相关，但目前还有很多KPI不能被全部RI所使用。可能需要进行修改才能使某些KPI适用于各个RI，同时RI还应为每个定量KPI提供一个简短的说明。制定框架也需要考虑RI的开发阶段。 4.收集数据的具体方法或工具需要得到RI的同意，以便能够可靠地上报指标。工作组建议ESFRI应该促进这些工具方法的开发。 5.建议ESFRI建立监测小组，负责实施KPI以及监测泛欧洲RI，从而帮助开展开发和实施KPI，确保欧洲RI及其相关方能够共享这些经验。 6.建议每个RI所使用的KPI应由RI、ESFRI（策略工作小组、执行小组、监控执行小组）以及其他相关方协商决定。然后，RI应收集数据并定期计算KPI，其方式应在ESFRI进行定期评估时提供给评估人员。建议将这些数据用于咨询。 7.建议RI及其相关方考虑将提出的任务和KPI应用于监测中。