安势信息受邀参加COSCon‘25 第十届中国开源年会｜「4D开源组件评估模型+清源SCA」，精准锁定权威组件，守护软件供应链！ - 实践

图1来源开源社

COSCon'25 第十届中国开源年会于2025年12月7日圆满收官！作为中国开源领域极具行业影响力的年度盛会，本届年会恰逢COSCon十周年里程碑节点 ，既是对过往十年中国开源生态从萌芽到蓬勃的沉淀与致敬，更是凝聚全球开源力量、共探产业未来的全新起点！

此次盛会，安势信息创始人&CEO薛植元先生以及联合创始人&SVP高琨先生受邀就对开源安全领域最新洞察和行业研究分别在OpenChain论坛和汽车智能化开源创新论坛进行了精彩的分享。

图2来源开源社：安势信息 创始人&CEO 薛植元先生在OpenChain论坛分享

图3来源开源：安势信息 联合创始人&SVP高琨先生在汽车智能化开源创新论坛分享

在GitHub仓库数量突破8亿的今天，我们正面临前所未有的“开源迷雾”。

图4：GitHub仓库数量增长趋势

当你面对成千上万个名为pytorch或react时，你如何判断哪一个是“正版”，哪一个是无人维护的Fork？ 当你看到一个项目拥有5万Stars，你是否会默认它代码质量高、维护稳定？

安势信息创始人&CEO薛植元先生分享了一项颠覆性的研究成果——《基于总人力投入程度的开源组件权威度量》，揭开了开源繁荣背后的真实“工程图谱”。

图5：GitHub仓库数量增长趋势

❌误区：Star数=代码质量？

开发者评估开源项目的核心指标。但薛植元指出，这些指标正变得越来越失真：就是长期以来，“Star数”和“下载量”

• Star本质是“关注度”它更多反映了方案的营销能力和社会热度，而非工程成熟度。
• 长尾效应与噪音： 在8亿仓库中，55%已经“死亡”，大量仓库只是核心项目的简便镜像或分叉。

如果大家只盯着Star数，很容易陷入“高热度=高质量”的陷阱。

✅ 破局：回归第一性原理——总人力投入

软件是由人写出来的。衡量一个开源工程是否权威、是否可持续，最诚实的指标是：有多少人、花了多少精力、在多么深入地贡献代码？

一、4D开源组件评估模型

安势信息独创了4D开源组件评估模型，通过算法量化了四个维度：

图6：4D开源组件评估模型图示

1、维度一：参与规模/ Contribution Breadt

是几个人在维护，还是由于社区在推动？

围绕组件发生的多类型人力贡献数量，如Issue、Commit、PR、Review、Discussion等事件的总量，是最直观的“人力涌入度”指标，反映有多少不同的人力动作在推动项目向前。

它描述了开源组件的人力基础盘，而非容易的关注度，从源头捕捉真实的工程投入。

2、维度二：参与深度/Human Contribution Depth

贡献者是提交完就跑，还是持续修复、Code Review？

否真正深入”，将浅尝即止与深度投入清晰区分。就是衡量贡献者在各类事件中的投入强度，比如，同一贡献者对同一事件类型的多轮跟进。它衡量“贡献

深度贡献往往意味着“真实劳动量”“复杂度承担”和“责任感”，是工程成熟度的重要信号。

3、维度三：参与多样性/Human Contribution Diversity

社区结构是否健康？避免“单点故障”。

衡量贡献者群体的人力结构是否健康，而不是依赖个别核心维护者撑起整个工程。避免出现：“一个核心维护者+一群沉默围观者”的畸形结构；少数人承担绝大部分人力劳动而导致项目脆弱。

一个参与者多、分布均衡的社区意味着：更强的外部人力吸附力；更稳定的维护能力；更高的可持续性。人力来源越广，项目越不易崩溃。

4、维度四：关键工程行为强度​​​​​​​/Key Engineering Intensity

识别真正的高价值贡献者。

衡量每位贡献者对该组件的人力投入“专注度”或“稀有度”。例如：贡献者若参与过1万个仓库，则在某仓库的一次贡献价值相对较低。反之，高专注型贡献者的活动反映更强的人力密度与工程承诺。

该维度识别“高价值人力”——那些对项目具有关键推动作用的贡献者。它反映的不是数量，而是贡献的人力质量与稀缺度。

二、材料对比结果：VSCode vs DeepSeek

基于这套模型，我们对GitHub全量（2.3亿个开源组件，已过滤1.5亿明确Fork项）数据进行了跑分，结果令人惊讶的是：

DeepSeek-R1：Star数排名Top100，但总人力贡献分却并不高。

安势解读：但这并不能否认DeepSeek的伟大，从软件工程角度看，该仓库更多是“模型权重下载页”和“说明书”，而非成千上万开发者共同协作的工程项目。

VSCode (Microsoft)：总人力贡献排名第1，Star数排名第25。

安势解读：这才是真正的“工程巨兽”。极高的协作强度、长期的人力投入，使其成为开源界当之无愧的基石。

图7：TOP-100个stars数值降序排名与该组件总人力贡献分数对比

结论很残酷也很真实：Stars Top 100的名单，与总人力投入Top 100的名单，重合度极低。 真正的“权威组件”，往往是那些默默吞噬了海量工程师工时、持续迭代的基础设施。

图8：千分之一stars与千分之一人力贡献重叠度分析

三、识别出了“权威组件”，我们能做什么？

落地：清源SCA——用算法守护软件供应链

安势信息将这套算法应用于软件成分分析（SCA）领域，致力于解决SCA最大的痛点：误报多、噪音大、修复难。

通过将依赖项归并至“权威上游”，大家能精准剔除Fork版本干扰，帮助企业精准定位实际使用的组件。为了让更多开发者受益，我们正式推出了：

清源SCA开源版 (CleanSource SCA Community Edition)（https://github.com/sectrend-cn/build-scan） 。

这是一款面向个人开发者和中小团队的免费轻量化器具，它不仅集成了安势企业级的核心算法能力，更带来了：

1、核心功能​​​​​​​

包括多模态用户管理、全流程任务管理。在全流程任务管理方面，支持Web端上传/拉取仓库，CLI工具还支持二次开发。同时具备智能结果分析及Excel导出功能，依托先进算法与企业级标准，可转化隐性风险、简化修复、辅助合规。

2、独家漏洞披露

清源SCA社区版的一大特色，能早于官方漏洞披露数十天获悉软件中的相关风险并预警风险，使相关人员可以提前采取措施，高效降低软件因漏洞带来的安全隐患。就是CSSA独家漏洞披露

3、分级风险展示

按漏洞等级、可达性等将风险分为四级，强烈建议修复至无风险。组件列表按风险分类，还协助多维度筛选，方便用户清晰了解不同风险等级的组件情况，从而有针对性地进行处理。

4、深度修复指引

对于EOL组件，设备建议替换；遇到强互惠型许可证会提示法律风险并建议更换；对于漏洞，会提供升级版本及详情，包括CVE等信息，甚至可达漏洞定位代码行，帮助用户更精准地修复困难。

5、权威去重

依托权威组件库，告别海量误报，只关注真正重要的风险。

开源安全，0门槛，立即开启！

立即体验【清源SCA开源版】：https://github.com/sectrend-cn/build-scan

立即体验【清源SCA社区版】：https://cleansource-ce.sectrend.com.cn/login