圖1來源開源社

COSCon'25 第十屆中國開源年會於2025年12月7日圓滿收官！作為中國開源領域極具行業影響力的年度盛會，本屆年會恰逢COSCon十週年里程碑節點 ，既是對過往十年中國開源生態從萌芽到蓬勃的沉澱與致敬，更是凝聚全球開源力量、共探產業未來的全新起點！

此次盛會，安勢信息創始人&CEO薛植元先生以及聯合創始人&SVP高琨先生受邀就對開源安全領域最新洞察和行業研究分別在OpenChain論壇和汽車智能化開源創新論壇進行了精彩的分享。

圖2來源開源社：安勢信息 創始人&CEO 薛植元先生在OpenChain論壇分享

圖3來源開源：安勢信息 聯合創始人&SVP高琨先生在汽車智能化開源創新論壇分享

在GitHub倉庫數量突破8億的今天，我們正面臨前所未有的“開源迷霧”。

圖4：GitHub倉庫數量增長趨勢

當你面對成千上萬個名為pytorch或react時，你如何判斷哪一個是“正版”，哪一個是無人維護的Fork？ 當你看到一個項目擁有5萬Stars，你是否會默認它代碼質量高、維護穩定？

安勢信息創始人&CEO薛植元先生分享了一項顛覆性的研究成果——《基於總人力投入程度的開源組件權威度量》，揭開了開源繁榮背後的真實“工程圖譜”。

圖5：GitHub倉庫數量增長趨勢

❌ 誤區：Star數=代碼質量？長期以來，“Star數”和“下載量”是開發者評估開源項目的核心指標。但薛植元指出，這些指標正變得越來越失真：Star本質是“關注度”它更多反映了項目的營銷能力和社會熱度，而非工程成熟度。長尾效應與噪音： 在8億倉庫中，55%已經“死亡”，大量倉庫只是核心項目的簡單鏡像或分叉。
如果我們只盯着Star數，很容易陷入“高熱度=高質量”的陷阱。

✅ 破局：迴歸第一性原理——總人力投入軟件是由人寫出來的。衡量一個開源項目是否權威、是否可持續，最誠實的指標是：有多少人、花了多少精力、在多麼深入地貢獻代碼？

一、4D開源組件評估模型

安勢信息獨創了4D開源組件評估模型，通過算法量化了四個維度：

圖6：4D開源組件評估模型圖示

1、維度一：參與規模/ Contribution Breadt
是幾個人在維護，還是由於社區在推動？

圍繞組件發生的多類型人力貢獻數量，如Issue、Commit、PR、Review、Discussion等事件的總量，是最直觀的“人力涌入度”指標，反映有多少不同的人力動作在推動項目向前。

它描述了開源組件的人力基礎盤，而非簡單的關注度，從源頭捕捉真實的工程投入。

2、維度二：參與深度/Human Contribution Depth
貢獻者是提交完就跑，還是持續修復、Code Review？

衡量貢獻者在各類事件中的投入強度，比如，同一貢獻者對同一事件類型的多輪跟進。它衡量“貢獻是否真正深入”，將淺嘗即止與深度投入清晰區分。

深度貢獻往往意味着“真實勞動量”“複雜度承擔”和“責任感”，是工程成熟度的重要信號。

3、維度三：參與多樣性/Human Contribution Diversity
 社區結構是否健康？避免“單點故障”。

衡量貢獻者羣體的人力結構是否健康，而不是依賴個別核心維護者撐起整個項目。避免出現：“一個核心維護者+一羣沉默圍觀者”的畸形結構；少數人承擔絕大部分人力勞動而導致項目脆弱。

一個參與者多、分佈均衡的社區意味着：更強的外部人力吸附力；更穩定的維護能力；更高的可持續性。人力來源越廣，項目越不易崩潰。

4、維度四：關鍵工程行為強度/Key Engineering Intensity
識別真正的高價值貢獻者。

衡量每位貢獻者對該組件的人力投入“專注度”或“稀有度”。例如：貢獻者若參與過1萬個倉庫，則在某倉庫的一次貢獻價值相對較低。反之，高專注型貢獻者的活動反映更強的人力密度與工程承諾。

該維度識別“高價值人力”——那些對項目具有關鍵推動作用的貢獻者。它反映的不是數量，而是貢獻的人力質量與稀缺度。

二、數據對比結果：VSCode vs DeepSeek

基於這套模型，我們對GitHub全量（2.3億個開源組件，已過濾1.5億明確Fork項）數據進行了跑分，結果令人驚訝的是：
DeepSeek-R1：Star數排名Top100，但總人力貢獻分卻並不高。安勢解讀：但這並不能否認DeepSeek的偉大，從軟件工程角度看，該倉庫更多是“模型權重下載頁”和“説明書”，而非成千上萬開發者共同協作的工程項目。
VSCode (Microsoft)：總人力貢獻排名第1，Star數排名第25。安勢解讀：這才是真正的“工程巨獸”。極高的協作強度、長期的人力投入，使其成為開源界當之無愧的基石。

圖7：TOP-100個stars數值降序排名與該組件總人力貢獻分數對比

結論很殘酷也很真實：Stars Top 100的名單，與總人力投入Top 100的名單，重合度極低。 真正的“權威組件”，往往是那些默默吞噬了海量工程師工時、持續迭代的基礎設施。

圖8：千分之一stars與千分之一人力貢獻重疊度分析

三、識別出了“權威組件”，我們能做什麼？

落地：清源SCA——用算法守護軟件供應鏈
安勢信息將這套算法應用於軟件成分分析（SCA）領域，致力於解決SCA最大的痛點：誤報多、噪音大、修復難。
通過將依賴項歸併至“權威上游”，我們能精準剔除Fork版本干擾，幫助企業精準定位實際使用的組件。為了讓更多開發者受益，我們正式推出了：清源SCA開源版 (CleanSource SCA Community Edition)（https://github.com/sectrend-cn/build-scan） 。
這是一款面向個人開發者和中小團隊的免費輕量化工具，它不僅集成了安勢企業級的核心算法能力，更帶來了：
1、核心功能
包括多模態用户管理、全流程任務管理。在全流程任務管理方面，支持Web端上傳/拉取倉庫，CLI工具還支持二次開發。同時具備智能結果分析及Excel導出功能，依託先進算法與企業級標準，可轉化隱性風險、簡化修復、輔助合規。
2、獨家漏洞披露
CSSA獨家漏洞披露是清源SCA社區版的一大特色，能早於官方漏洞披露數十天獲悉軟件中的相關風險並預警風險，使相關人員可以提前採取措施，有效降低軟件因漏洞帶來的安全隱患。
3、分級風險展示
按漏洞等級、可達性等將風險分為四級，強烈建議修復至無風險。組件列表按風險分類，還支持多維度篩選，方便用户清晰瞭解不同風險等級的組件情況，從而有針對性地進行處理。
4、深度修復指引
對於EOL組件，工具建議替換；遇到強互惠型許可證會提示法律風險並建議更換；對於漏洞，會提供升級版本及詳情，包括CVE等信息，甚至可達漏洞定位代碼行，幫助用户更精準地修復問題。
5、權威去重
依託權威組件庫，告別海量誤報，只關注真正重要的風險。

開源安全，0門檻，立即開啓！立即體驗【清源SCA開源版】：https://github.com/sectrend-cn/build-scan
立即體驗【清源SCA社區版】：https://cleansource-ce.sectrend.com.cn/login