OpenFGA 成为 CNCF 孵化项目

CNCF 技术监督委员会（TOC）已投票通过，正式接纳 OpenFGA 为 CNCF 孵化项目。

OpenFGA 是一个授权引擎，解决了现代软件中大规模实现复杂访问控制的难题。它受 Google 全球访问控制系统 Zanzibar 启发，采用基于关系的访问控制（ReBAC）模型。开发者可以基于用户与对象之间的关系定义权限（比如谁能查看某个文档）。作为一个带有 API 和多种 SDK 的外部服务，OpenFGA 统一抽象了应用中的授权逻辑。这种职责分离极大提升了开发效率，简化安全实现，并确保所有服务中的访问规则一致、可扩展且易于审计，帮助开发分布式系统的工程师解决关键复杂性问题。

OpenFGA 由一批 Okta 员工开发，是 Auth0 FGA 商业产品的基础。该项目于 2022 年 9 月获接纳为 CNCF Sandbox 项目。此后，已有数百家公司部署并贡献代码。主要里程碑包括：

• 37 家企业公开表示在生产环境中使用 OpenFGA

• Grafana Labs 和 GitPod 的工程师成为官方维护者

• OpenFGA 应邀在 2025 年 KubeCon + CloudNativeCon 欧洲站维护者专场作演讲

• TwinTag 贡献了 MySQL 存储适配器，Grafana Labs 贡献了 SQLite 存储适配器

• 2023 年 4 月开始举办月度社区会议

• 多项开发者体验改进，例如：

  • 新增 Python 和 Java SDK

  • VS Code 和 IntelliJ 集成

  • 支持模型测试的命令行工具（CLI）

  • Maurice Ackel 捐赠了 Terraform Provider

• 过去一年发布了新的缓存实现和多项性能优化

• 新增 ListObjects 和 ListUsers 接口，方便查询用户与资源的具体关系

• 集成多项 CNCF 项目：

  • OpenTelemetry 用于追踪和遥测

  • Helm 用于部署

  • Grafana 仪表盘用于监控

  • Prometheus 用于指标收集

  • ArtifactHub 用于 Helm chart 分发

OpenFGA 本质上是一个数据库，性能优化永远是重点。未来计划包括：

• 简化维护者参与 SDK 贡献流程
• 发布 Ruby、Rust、PHP 新 SDK
• 支持 AuthZen 标准
• 新增可视化选项，开源 OpenFGA playground 工具
• 改善可观测性
• 增加流式 API 端点以提升性能
• 增强错误处理，加入写冲突管理选项

详情可查看：https://www.cncf.io/blog/2025/11/11/openfga-becomes-a-cncf-incubating-project/