www.iresearch.com.cn 基础软件开源界限划分 操作系统、数据库、中间件、AI框架底层代码按规范进行共享与协作 本篇报告研究的基础软件开源范围，是指研究“开源”中“基础软件”板块的情况。开源过程中，参与者可以共享、协作完成开发， 正好与基础软件庞大的开发量需求相契合。这种契合性促进了基础软件 来源：根据专家访谈、公开资料，由艾瑞咨询研究院自主研究及绘制。 对于这四类基础软件（操作系统、数据库、AI框架、中间件），其编写者将实现功能的代码按照一定的开源规范 开放，任何人可以查看、使用、贡献，同时，使用者也要遵循一定的开源规范。 基础软件开源范畴界定 国内基础软件开源界定 基础软件 具备能衍生出并支撑 多个技术簇的一类根 技术软件，拥有技术 门槛高、衍生场景复 杂等特点 中间件：不同系统和应用程序之间交互 www.iresearch.com.cn 软件开源规范 不同许可证对软件再发行是否需要开源有不同要求，企业需根据自身商业 需求谨慎选择开源代码使用 来源：参考可信开源合规计划，根据专家访谈、公开资料，由艾瑞咨询研究院自主研究及绘制。 使用开源许可证需注意的风险点

企业、高校、协会之间的交流与合作有望加深，成立更多的本土开源基金会。 开源概念铺陈：软件的“源”即其源代码，“开源”的核心概念是软件的编写者将源代码免 费提供给使用者，同时要求使用者遵循一定的开源规范。开源的发起者可以是个人、企业等 各种主体，聚焦企业开源领域，企业开源与商业化并不矛盾，开源软件的“引流”作用能够 帮助企业实现周边产品的增收、市场影响力的提升以及产业生态的协同构建。 3 开源软件概念铺陈 开放源代码为基本内涵，还需符合修改、传播等方面的规范 软件的“源”即其源代码，“开源”的核心概念是软件的编写者将源代码（通常）免费提供给使用者。然而，软件行业内 所谓的“开源”概念还包含其他诸多基本要求和限制，需要作者和使用者共同遵循一些规范。OSI（Open Source Initiative）组织是全球范围内开源软件标准的权威发布机构，在该机构的界定中，规范的开源项目和软件除了在开放源代 码这一基本要求之外，其开源许可（open 性、中立性等方面的诸多要求，这些要求加强了开源产业的规范性，构建了诸多开源商业模式的基础。 来源：OSI，艾瑞咨询研究院根据公开资料研究及绘制。 OSI组织对“开源”核心概念和要求的界定 关于开源软件的内容（代码） • 开源软件必须包含可理解与运用的源代码，或提供简便的获取 源代码的方式；且开源代码必须允许以源码或编辑后文件的形 式传播 • 开源许可须允许源码修改及其他衍生工作 关于开源软件传播的规范 • 开源许可不

编程工具主要针对的是个人开发者。但随着探索不断深入，我们发现，在结合团 59 / 111 队或组织的力量后，AI 编程工具出现了以下趋势：多样的 AI 工具正在融入自己的开发流程中； AI 工具开始融入内部的一系列规范；不断结合内部知识库，提升内容生成的质量；开始构建自 己的场景化能力。 故而，从个体到团队，再到组织，都在思考如何扩大 AI 的应用范围。 在设计团队 AI 助手时，我们需要考虑到团队的拓扑结构，以及团队的工作流程。在一个组 AI IDE 到领域特定的智能代码生成 与通用性的 AI 辅助相比，领域特定的 AI 辅助效果更好，因为它更了解领域的特点，更容易 生成符合领域规范的代码。从智能代码生成的角度来看，由于过去包含大量的语料知识，生成的 代码质量更高，更符合领域规范。 在前面，我们已经看到了 AI 辅助研发中心的概念，即在一个组织中，AI 辅助研发中心可以 为不同团队提供 AI 能力，以提升整体的研发效率。需要注意的是，AI 算法存在 困难而无法落地。 79 / 111 2.2 AI 设计芯片 AI 设计芯片已成为近年来的热点，各类工作层出不穷，大家的理解也各有不同。在这里， 本文将“AI 设计芯片”定义为从设计规范（specification）到 GDS 文件的整个芯片设计流 程中，存在一个或多个环节使用 AI 技术参与设计，将一个格式的输入转换为另一种格式的输 出。在这个定义下，AI 设计芯片的智能化的

可视化构建实体、数据结构、枚举等低 代码数据模型，自动生成数据库表和页 面交互。 支持企业集成 能够通过 API 集成企业内部的服务，实 现应用组装。 业务与流程融合 流程引擎基于 BPMN2.0 规范，可视化 流程开发，可支持如请假、入职、离职等 企业内常用流程场景。 支持软件资产多层次复用 应用、页面、基础组件、扩展组件、接口 等不同粒度软件资产，均支持复用。 零成本部署运维 产出应用支持自动化部署在云原生平台 异常基线报警处理，辅助任务 运维人员完成工作。 数据资产360 建立集安全、价值、成本、质 量、标准于一体的健康评估指 标体系和优化工具，打造360° 无死角数据资产治理体系。 指标建设流程规范化，消除指 标口径二义性，帮助企业进行 指标规范化管理，提高数据输 出效率。 数据安全保障 内置细粒度权限管控和一体 化权限申请，帮助企业提升数 据风险防御能力，保障数据安 全。 生产测试集群隔离 基于数据沙箱实现测试、开 中心 支付 中心 风险 中心 运营 中心 ... 零售业务群 互联网业务群 查询引擎 消息队列 云原生 PaaS 中间件 业务前台 API网关 CI/ CD 分布式储存 ESB 体系 规范 方法 技术 工具 SOLUTIONS 融合网易互联网技术与金融行业服务经验，帮助金融客户构建安全、稳定、高效、敏捷的现代化金融系统。提供微 服务治理、容器云、云原生 PaaS 中间件、API

Authorization 安全审计 Auditing 账号管理 Accounting 远程应⽤ 堡垒机 堡垒机需要具备的四个核⼼能⼒ 身份鉴别 账号管理 授权控制 安全审计 - 运维安全审计的 4A 规范 - Authentication Accounting Authorization Auditing 追溯保障、事故分 析的依据 防⽌ 身份冒⽤和复⽤ ⼈员账号和资产账 号的统⼀⾼效管理 全等级保护定级指南》GB/T22240、 《信息安全技术-信息系统安全等级保 护基本要求》GB/T22239-2008）相关 标准发布实施。 《中华⼈⺠共和国⽹络安全法》发 布，这是⽹络安全的“基本法”，具有 强制性规范作⽤。 《信息安全技术⽹络安全等级保护 2.0 标准》正式实施，等级保护正式 进⼊ 2.0 时代。 堡垒机助⼒企业满⾜等保三级技术要求 安全物理环境 安全通信⽹络 安全区域边界 安全审计 - 堡垒机 安全计算环境 身份鉴别 访问控制 安全审计 系统管理 审计管理 安全管理 安全管理中⼼ 堡垒机的典型⾏业应⽤场景 ⾦融 银⾏、证券、基⾦、保险等⾦融机构⻓期遵循着严格的安全审计规范，堡垒机已经成为其企业 IT 系统建设的必备组件。 制造 制造业已经完成了从集中式制造向分布式制造的演进，⼤型制造企业往往在境内外拥有多个⽣产基地，需要借助堡垒机实现 分布式 IT 资产的统⼀运维安全审计。

人放弃商标，继而造成商标所有人失去商标权ii。 在通常情况下，许可过程中的“质量控制”可以通过制定技术标准或技术手段等来实施，但在开 源项目中，“质量控制”的实施是复杂的，如果没有商标许可使用的专门规范，商标所有权人很 少有机会严格控制根据开源许可协议所修改和分发的软件的质量。鉴于OSI批准的许可证中有部 分许可证并未对明确排除任何商标使用（如只禁止背书、广告或其他特定行为），因此可以考虑 采取一 采取一些措施来规避这类风险，例如在开源许可证中添加条款，以标明商标并声明未授予任何许 可；如果不适合在开源许可证中添加条款，可另行添加商标声明，例如OpenJDK商标声明；也可 在社区网站上发布商标使用指南，规范商标授权使用的场景和方式等等 。在Neo4j公司诉Pure- Think公司的开源争议案件中，被告曾以裸许可商标失权作为其抗辩理由之一，但被法院驳回iv。 3、不合规使用开源软件的后果。对原告未来

和开发板布局数据。并且硬件设计的源代码的特定的格式可以为其他人获得，以方便对其进行修改。以 CPU 处理器为例，开源芯片的开源通常包括三个层次，首先是指令集（ISA）开源，例如 RISC-V 指 令集规范是开源的 ；其次是微架构的设计开源 ；第三层是开源 RTL 源码乃至 GDSII，例如 Berkeley 的 Rocket Chip、剑桥大学的 lowRISC、芯来蜂鸟 E203 等都开源了 RTL

材料清单和开发板布局数据。并且硬件设计的源代码的特定的格式可以为其他人获得，以方便 对其进行修改。以 CPU 处理器为例，开源芯片的开源通常包括三个层次，首先是指令集（ISA） 开源，例如 RISC-V 指令集规范是开源的；其次是微架构的设计开源；第三层是开源 RTL 源 码乃至 GDSII，例如 Berkeley 的 Rocket Chip、剑桥大学的 lowRISC、芯来蜂鸟 E203 等 都开源了 RTL