2024年中國(guó)企業(yè)開源治理全景觀察報(bào)告

2024年中國(guó)企業(yè)開源治理全景觀察第一部分概述 理能力框架，規(guī)定了企業(yè)用戶在使用開源軟件時(shí)應(yīng)遵循的流程及規(guī)范，以及企業(yè)開源治 為了解中國(guó)企業(yè)的開源風(fēng)險(xiǎn)治理舉措和治理水平，中國(guó)信息通信研究院依托金融行業(yè)開通過(guò)問卷調(diào)查的形式針對(duì)多個(gè)行業(yè)開展了開源軟件治理能力成熟度調(diào)研，以明晰開源治OSGMM2024報(bào)告深入分析了來(lái)自七大行業(yè)（包括金融、通信、汽車、能源、互聯(lián)網(wǎng)、軟件和信息服務(wù)業(yè)及制造業(yè)）共121家不同規(guī)模企業(yè)的開源治理活動(dòng)匿名數(shù)據(jù)，涉及的企業(yè)分布可參見圖1和圖2。此外，圖3展示了企業(yè)在開源軟件/組件方面的使用量級(jí)，圖4揭示了企業(yè)在本年度最為關(guān)注的開源風(fēng)險(xiǎn)問題。u金融行業(yè)汽車行業(yè)軟件和信息服務(wù)業(yè)制造行業(yè)u通信行業(yè)能源行業(yè)互聯(lián)網(wǎng)行業(yè)圖1OSGMM參與企業(yè)所處行業(yè)圖2OSGMM參與企業(yè)規(guī)模圖3OSGMM參與企業(yè)開源軟件/組件使用數(shù)量級(jí)運(yùn)維和技術(shù)風(fēng)險(xiǎn)安全風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)運(yùn)維和技術(shù)風(fēng)險(xiǎn)安全風(fēng)險(xiǎn)w合規(guī)和知識(shí)產(chǎn)權(quán)風(fēng)險(xiǎn)圖4OSGMM參與企業(yè)最關(guān)注的開源風(fēng)險(xiǎn)第二部分洞察OSGMM1.0整體框架由開源軟件應(yīng)用治理的3個(gè)能力要素和7個(gè)過(guò)程環(huán)節(jié)組成，包括：組織機(jī)構(gòu)、管理制度、風(fēng)險(xiǎn)管理、軟件測(cè)評(píng)、開發(fā)測(cè)試、運(yùn)維管理、持續(xù)跟蹤、退出管理、存量軟件管理、第三方軟件管理等領(lǐng)域的40余項(xiàng)活動(dòng)。為降低開源軟件應(yīng)用風(fēng)險(xiǎn)，OSGMM活動(dòng)可視為在企業(yè)開展開源軟件治理過(guò)程中所實(shí)施的控制措施，以預(yù)防、檢測(cè)、糾正或控制開源軟件使用所帶來(lái)的系列風(fēng)險(xiǎn)。OSGMM活動(dòng)級(jí)別代表了參與企業(yè)各項(xiàng)能力水準(zhǔn)，具有【基礎(chǔ)執(zhí)行能力】被指定為“基礎(chǔ)級(jí)-第1級(jí)”，具有【統(tǒng)一組織規(guī)劃能力】被指定為“增強(qiáng)級(jí)-第2級(jí)”，具備【自動(dòng)化的執(zhí)行能力】被指定為“先進(jìn)級(jí)-第3級(jí)”。圖5OSGMM1.0模型下表列出了2024開源治理全景觀察數(shù)據(jù)池中觀察到次數(shù)最多的10項(xiàng)活動(dòng)，以下活動(dòng)皆常見于成功的開源治理實(shí)踐中（增強(qiáng)級(jí)及以上）。數(shù)據(jù)表明，如果組織正在制定自己的開源治理計(jì)劃，應(yīng)考慮采取這些活動(dòng)。制定開源軟件的引入、使用、維護(hù)、退出等方在引入開源軟件后，對(duì)開源漏洞、許可證信息進(jìn)行成立全職/兼職開源管理團(tuán)隊(duì)或辦公室，負(fù)責(zé)企業(yè)內(nèi)部的開源治理工作通過(guò)合同義務(wù)確保軟件供應(yīng)商遵循企業(yè)的開源軟件建設(shè)開源管理平臺(tái)，輔助管理和統(tǒng)計(jì)開源軟件信息情況及風(fēng)險(xiǎn)信針對(duì)系統(tǒng)軟件需求編制安裝部署規(guī)范、使用操作手冊(cè)等相關(guān)在引入開源軟件時(shí)，進(jìn)行同類軟件對(duì)比與社區(qū)健康度Q:是否有明確的開源軟件治理規(guī)劃(治理目標(biāo)、年度計(jì)劃等)？l洞察：部分企業(yè)對(duì)于開源軟件治理戰(zhàn)略重要性認(rèn)識(shí)不足，開源治理缺乏客觀性和系統(tǒng)性，重度依賴過(guò)往經(jīng)驗(yàn)，僅由事件觸發(fā)治理機(jī)制。l超53%的被調(diào)研企業(yè)不具備明確的開源軟件治理規(guī)劃（治理目標(biāo)、年度計(jì)劃等）。Q:貴公司是否具備企業(yè)級(jí)開源軟件管理制度？l洞察：部分企業(yè)開源軟件管理主要依靠相關(guān)人員過(guò)往經(jīng)驗(yàn)，針對(duì)重要開源軟件能夠形成配套管理制度，但未制定企業(yè)級(jí)的開源軟件流程制度規(guī)范，未提出對(duì)開源軟件全生命周期中的風(fēng)險(xiǎn)管理要求。l超38%的被調(diào)研企業(yè)不具備企業(yè)級(jí)開源軟件管理制度。風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理Q:企業(yè)內(nèi)處理開源組件安全漏洞的方式有哪些多選）l洞察：根據(jù)安全漏洞風(fēng)險(xiǎn)等級(jí)的不同，企業(yè)處理開源組件安全漏洞的方式也有所不同；依靠?jī)?nèi)部力量處理開源組件安全漏洞所需投入資源較多，對(duì)運(yùn)維人員能力要求較高，通常并非企業(yè)首選。l約97%的被調(diào)研企業(yè)通過(guò)版本升級(jí)處理開源組件安全漏洞；72%的被調(diào)研企業(yè)通過(guò)手動(dòng)應(yīng)用補(bǔ)丁應(yīng)對(duì)安全漏洞；27%的被調(diào)研企業(yè)視情況替換組件或者刪除該組件，約10%的企業(yè)不做處理。Q:在引入開源軟件時(shí)，會(huì)進(jìn)行哪些評(píng)測(cè)工作多選）l洞察：大部分企業(yè)在引入開源軟件時(shí)進(jìn)行了軟件功能評(píng)估、同類軟件對(duì)比，但在項(xiàng)目活躍度評(píng)估、行業(yè)認(rèn)可度和軟件質(zhì)量評(píng)估以及服務(wù)支持評(píng)估方面仍有改進(jìn)空間。l98%的被調(diào)研企業(yè)在引入開源軟件時(shí)，進(jìn)行軟件功能評(píng)估以及同類軟件對(duì)比工作；53%的企業(yè)進(jìn)行項(xiàng)目活躍度評(píng)估；48%的企業(yè)進(jìn)行行業(yè)認(rèn)可度評(píng)估及軟件質(zhì)量評(píng)估；約23%的企業(yè)會(huì)進(jìn)行服務(wù)支持評(píng)估；2%的企業(yè)不進(jìn)行任何評(píng)估。Q:與外部開源社區(qū)的交互狀態(tài)是？l洞察：當(dāng)前我國(guó)大部分企業(yè)對(duì)于開源軟件還僅停留在使用層面，未進(jìn)行對(duì)外開源貢獻(xiàn)，這與開源軟件在我國(guó)發(fā)展較晚，我國(guó)企業(yè)對(duì)于開源共建共享的意識(shí)不足等因素有關(guān)。l約86%的被調(diào)研企業(yè)僅使用外部開源社區(qū)項(xiàng)目，關(guān)注開源社區(qū)動(dòng)態(tài)；14%的被調(diào)研企業(yè)還會(huì)參與外部開源社區(qū)貢獻(xiàn)和建設(shè)，與外部開源社區(qū)建立起良好的溝通反饋機(jī)制。運(yùn)維管理運(yùn)維管理Q:開源軟件確定對(duì)應(yīng)負(fù)責(zé)管理部門的原則是？l洞察：企業(yè)屬性和內(nèi)部職責(zé)劃分的不同，導(dǎo)致企業(yè)開源軟件維護(hù)主體相關(guān)規(guī)則差異較大。l45%的被調(diào)研企業(yè)秉持誰(shuí)先引入誰(shuí)負(fù)責(zé)的原則；28%的被調(diào)研企業(yè)按部門職責(zé)進(jìn)行劃分；15%的企業(yè)誰(shuí)使用誰(shuí)負(fù)責(zé)；12%的企業(yè)由技術(shù)委員會(huì)評(píng)估確定。Q:在引入開源軟件后，會(huì)對(duì)哪些信息進(jìn)行持續(xù)跟蹤?（多選）l洞察：開源軟件安全漏洞問題所帶來(lái)的負(fù)面影響更為直接，我國(guó)大部分企業(yè)明顯更重視開源軟件安全，并對(duì)開源漏洞信息和版本進(jìn)行持續(xù)跟蹤。l約100%的被調(diào)研企業(yè)在引入開源軟件后，對(duì)開源漏洞信息進(jìn)行持續(xù)跟蹤；78%的企業(yè)會(huì)進(jìn)行開源許可證跟蹤；75%的企業(yè)進(jìn)行版本跟蹤；21%的企業(yè)進(jìn)行社區(qū)基本情況的跟蹤。Q:決定不再使用某種開源軟件，對(duì)于軟件退出的依據(jù)是多選）l洞察：我國(guó)企業(yè)對(duì)于開源軟件安全風(fēng)險(xiǎn)問題已有較高程度認(rèn)知。l100%的被調(diào)研企業(yè)在面臨嚴(yán)重安全問題時(shí)進(jìn)行軟件退出操作；50%的被調(diào)研企業(yè)在面臨法律合規(guī)紅線時(shí)，進(jìn)行軟件的退出管理；48%的企業(yè)當(dāng)開源軟件不滿足業(yè)務(wù)場(chǎng)景時(shí)會(huì)進(jìn)行退出規(guī)劃；24%的企業(yè)因開源軟件更新頻次過(guò)低或版本過(guò)老而進(jìn)行退出規(guī)劃。Q:針對(duì)內(nèi)部所有存量開源軟件的管理措施是？l洞察：我國(guó)企業(yè)開源治理工作開展較晚，存量開源軟件量級(jí)較大，因此對(duì)于存量軟件的全量、周期性管理存在一定困難。l超過(guò)60%的企業(yè)僅在新增的安全事件、生態(tài)變化等外部因素觸發(fā)時(shí)針對(duì)存量開源軟件進(jìn)行非周期檢查；約28%的企業(yè)對(duì)存量開源軟件的安全合規(guī)性與依賴情況進(jìn)行周期性分析檢查；12%的企業(yè)不針對(duì)存量開源軟件進(jìn)行檢查。第三方管理第三方管理Q:如何確保軟件供應(yīng)商遵循企業(yè)的開源軟件治理要求多選）l洞察：我國(guó)企業(yè)對(duì)于第三方軟件管理的重視程度存在不足，同時(shí)缺乏開源合規(guī)相關(guān)專業(yè)人員，難以規(guī)范審查第三方軟件中專有代碼、開源代碼的交互方式是否合規(guī)。l超過(guò)80%的企業(yè)通過(guò)合同義務(wù)來(lái)規(guī)范軟件供應(yīng)商，以確保其遵循企業(yè)的開源軟件治理要求；23%的企業(yè)通過(guò)交付時(shí)檢查組件清單/分發(fā)說(shuō)明確保供應(yīng)商遵守要求；8%的企業(yè)要求供應(yīng)商提供第三方檢測(cè)報(bào)告。所有企業(yè)0持續(xù)跟蹤開發(fā)開源治理成熟度高水位線圖提供了基線0持續(xù)跟蹤開發(fā)開源治理成熟度高水位線圖提供了基線，用于比較企業(yè)在各項(xiàng)治理指標(biāo)中的實(shí)踐能力和水平。成熟度級(jí)別代表了參與企業(yè)各項(xiàng)能力水準(zhǔn)，具有基礎(chǔ)執(zhí)行能力被指定為“第1級(jí)”，具有統(tǒng)一組織規(guī)劃的執(zhí)行能力被指定為“第2級(jí)”，具備自動(dòng)化的執(zhí)行能力被指定為“第3級(jí)”。水位線通常表示成熟度，如3級(jí)的水位線高，2級(jí)的水位線較低。如上圖所示，所有參與本次調(diào)研的企業(yè)，在“管理制度”、“存量軟件管理”、“開發(fā)測(cè)試”、“軟件測(cè)評(píng)”等指標(biāo)下的能力較之于其他項(xiàng)下的能力稍強(qiáng)一些。圖6OSGMM所有參與企業(yè)各項(xiàng)實(shí)踐能力情況金融行業(yè)和通信行業(yè)存量軟件管理根據(jù)調(diào)研結(jié)果顯示存量軟件管理根據(jù)調(diào)研結(jié)果顯示，金融和通信行業(yè)在開源軟件治理方面存在不同的側(cè)重點(diǎn)和成熟度水平。由于各自不同的特性和需求，它們?cè)陂_源軟件治理的側(cè)重點(diǎn)和成熟度方面存在差異。l通信行業(yè)強(qiáng)調(diào)供應(yīng)鏈管理和第三方軟件管理。l金融行業(yè)則受到監(jiān)管指引和法規(guī)要求的推動(dòng)，更注重安全性和數(shù)據(jù)保護(hù)。通信行業(yè)通信行業(yè)通常具備更加完善的供應(yīng)鏈管理措施。通信行業(yè)中涉及到硬件設(shè)備和網(wǎng)絡(luò)基礎(chǔ)設(shè)施等復(fù)雜組件的供應(yīng)鏈，促使通信企業(yè)在開源軟件治理中更加重視第三方軟件管理。這使得通信行業(yè)在第三方軟件的評(píng)估、審查和合規(guī)方面表現(xiàn)出更高的成熟度。組織機(jī)制第三方軟件管理管理制度第三方軟件管理管理制度0持續(xù)跟蹤退出管理退出管理開發(fā)測(cè)試開發(fā)測(cè)試運(yùn)維管理圖7OSGMM金融和通信行業(yè)參與企業(yè)各項(xiàng)實(shí)踐能力情況金融行業(yè)通信行業(yè)風(fēng)險(xiǎn)管理軟件測(cè)評(píng)金融行業(yè)和通信行業(yè)金融行業(yè)l監(jiān)管指引和法規(guī)要求金融行業(yè)受到監(jiān)管機(jī)構(gòu)的嚴(yán)格監(jiān)管和法規(guī)要求。例如，人民銀行發(fā)布的《關(guān)于規(guī)范金融業(yè)開源技術(shù)應(yīng)用與發(fā)展的意見》為金融企業(yè)提供了具體的指導(dǎo)和規(guī)范，推動(dòng)金融業(yè)開展開源治理活動(dòng)。這使得金融行業(yè)在風(fēng)險(xiǎn)管理、軟件測(cè)評(píng)和退出管理等方面處于領(lǐng)先地位。l安全性要求和數(shù)據(jù)保護(hù)金融行業(yè)對(duì)安全性和數(shù)據(jù)保護(hù)通常具有更高的要求。金融業(yè)務(wù)涉及敏感客戶數(shù)據(jù)和金融交易信息，故對(duì)于開源軟件的安全性和合規(guī)性關(guān)注度更高?；诖?，金融行業(yè)在開源軟件治理中可能更加注重安全漏洞管理、漏洞修復(fù)和持續(xù)監(jiān)測(cè)。圖8金融行業(yè)部分企業(yè)OSGMM能力（圓圈大小代表企業(yè)規(guī)模）汽車行業(yè)、能源行業(yè)和制造行業(yè)汽車行業(yè)、能源行業(yè)和制造行業(yè)汽車、能源和制造行業(yè)是三類存在上下游產(chǎn)業(yè)供應(yīng)關(guān)系汽車、能源和制造行業(yè)是三類存在上下游產(chǎn)業(yè)供應(yīng)關(guān)系的行業(yè)，但在開源軟件治理方面?zhèn)戎攸c(diǎn)各異，這可以部分歸因于它們各自不同的特性和需求，以及與供應(yīng)鏈、軟件開發(fā)和行業(yè)規(guī)范等相關(guān)因素的關(guān)系。l汽車行業(yè)在管理制度和開發(fā)測(cè)試方面表現(xiàn)較優(yōu)。l能源行業(yè)在第三方軟件管理和運(yùn)維管理方面較為成熟。l制造行業(yè)的開源軟件治理能力整體相對(duì)較弱。能源行業(yè)第三方軟件管理和運(yùn)維管理：能源行業(yè)與第三方軟件的關(guān)系密切，因此在第三方軟件管理和運(yùn)維管理方面表現(xiàn)相對(duì)成熟。能源行業(yè)通常涉及復(fù)雜的系統(tǒng)和設(shè)備，并依賴于多個(gè)供應(yīng)商和合作伙伴提供軟件解決方案。因此，為確保系統(tǒng)的穩(wěn)定性和安全性，對(duì)第三方軟件的管理和運(yùn)維是關(guān)鍵。組織機(jī)制管理制度第三方軟件管理管理制度存量軟件管理 退出管理開發(fā)測(cè)試持續(xù)跟蹤開發(fā)測(cè)試運(yùn)維管理圖9OSGMM汽車、能源和制造行業(yè)參與企業(yè)各項(xiàng)實(shí)踐能力情況風(fēng)險(xiǎn)管理軟件測(cè)評(píng)汽車行業(yè)能源行業(yè)制造行業(yè)汽車行業(yè)、能源行業(yè)和制造行業(yè)圖10汽車行業(yè)部分企業(yè)OSGMM能力（圓圈大小代表企業(yè)規(guī)模）汽車行業(yè)汽車行業(yè)通常在“管理制度”方面表現(xiàn)出較高的成熟度。由于汽車行業(yè)的復(fù)雜性和生產(chǎn)流程的高度規(guī)范化，汽車制造商和供應(yīng)商通常都具有嚴(yán)格的管理制度，包括對(duì)開源軟件的審查、評(píng)估和合規(guī)性要求。汽車行業(yè)對(duì)軟件的“開發(fā)和測(cè)試”有較高的要求。汽車中的軟件往往更注重安全和功能性要求，例如車輛控制系統(tǒng)和駕駛輔助系統(tǒng)。因此，汽車行業(yè)在開源軟件的開發(fā)測(cè)試方面可能投入更多資源，以確保軟件質(zhì)量和安全性。制造行業(yè)整體而言，在開源軟件治理方面的能力相對(duì)較弱。盡管制造行業(yè)也涉及供應(yīng)鏈和第三方軟件，但沒有達(dá)到汽車行業(yè)和能源行業(yè)對(duì)開源軟件的安全合規(guī)要求程度。這可能與制造行業(yè)注重自主研發(fā)和專有技術(shù)有關(guān)，故對(duì)開源軟件的使用相對(duì)較少或較為有限。組織機(jī)制軟件行業(yè)互聯(lián)網(wǎng)行業(yè)第三方軟件管理管理制度存量軟件管理風(fēng)險(xiǎn)管理0退出管理軟件測(cè)評(píng)持續(xù)跟蹤開發(fā)測(cè)試運(yùn)維管理圖11OSGMM軟件和互聯(lián)網(wǎng)行業(yè)參與企業(yè)各項(xiàng)實(shí)踐能力情況軟件和信息服務(wù)行業(yè)與互聯(lián)網(wǎng)行業(yè)的差異可以歸因于它們各自不同的特性和運(yùn)營(yíng)模式。l軟件和信息服務(wù)行業(yè)相對(duì)于互聯(lián)網(wǎng)行業(yè)在開源軟件治理能力成熟度方面表現(xiàn)較高。組織機(jī)制軟件行業(yè)互聯(lián)網(wǎng)行業(yè)第三方軟件管理管理制度存量軟件管理風(fēng)險(xiǎn)管理0退出管理軟件測(cè)評(píng)持續(xù)跟蹤開發(fā)測(cè)試運(yùn)維管理圖11OSGMM軟件和互聯(lián)網(wǎng)行業(yè)參與企業(yè)各項(xiàng)實(shí)踐能力情況軟件和信息服務(wù)行業(yè)與互聯(lián)網(wǎng)行業(yè)的差異可以歸因于它們各自不同的特性和運(yùn)營(yíng)模式。l軟件和信息服務(wù)行業(yè)相對(duì)于互聯(lián)網(wǎng)行業(yè)在開源軟件治理能力成熟度方面表現(xiàn)較高。l軟件和信息服務(wù)行業(yè)更注重存量軟件管理、組織機(jī)制、軟件測(cè)評(píng)和開發(fā)測(cè)試等方面的實(shí)踐活動(dòng)。l業(yè)務(wù)快速迭代：互聯(lián)網(wǎng)行業(yè)特點(diǎn)是業(yè)務(wù)快速迭代和創(chuàng)新。這意味著互聯(lián)網(wǎng)公司需要快速開發(fā)和部署新功能/服務(wù)，以滿足市場(chǎng)需求。這導(dǎo)致開源軟件治理方面投入相對(duì)較少，因?yàn)楦嗟年P(guān)注點(diǎn)可能集中在業(yè)務(wù)創(chuàng)新和快速交付上，而不是嚴(yán)格的治理流程。l開源軟件使用量龐大：由于互聯(lián)網(wǎng)公司的業(yè)務(wù)規(guī)模和復(fù)雜性，它們需要依賴廣泛的開源軟件生態(tài)系統(tǒng)。然而，確保大量開源軟件的合規(guī)性和安全性可能是一個(gè)挑戰(zhàn)，特別是在開源軟件快速發(fā)展和迭代的環(huán)境下。軟件和信息服務(wù)行業(yè)l存量軟件管理：軟件和信息服務(wù)行業(yè)對(duì)于存量軟件的管理能力較高。這一行業(yè)通常積累了大量的軟件資產(chǎn)和技術(shù)棧，對(duì)存量軟件的規(guī)劃、評(píng)估和管理具備較高的成熟度。由于軟件和信息服務(wù)公司的業(yè)務(wù)主要依賴于軟件開發(fā)和交付，因此存量軟件管理往往是軟件行業(yè)重點(diǎn)關(guān)注的領(lǐng)域。l組織機(jī)制：軟件和信息服務(wù)行業(yè)通常具備完善的組織機(jī)制來(lái)支持開源軟件治理。這些公司往往有明確的開源軟件治理團(tuán)隊(duì)或部門，負(fù)責(zé)制定治理策略、管理流程和規(guī)范，以確保軟件的合規(guī)性和安全性。l軟件測(cè)評(píng)和開發(fā)測(cè)試：軟件和信息服務(wù)行業(yè)在軟件測(cè)評(píng)和開發(fā)測(cè)試方面表現(xiàn)出較高的成熟度。由于軟件和信息服務(wù)公司的核心業(yè)務(wù)是軟件開發(fā)和交付，因此它們通常投入大量資源來(lái)進(jìn)行軟件測(cè)試、質(zhì)量保證和漏洞修復(fù)等方面的工作。圖12軟件和信息服務(wù)行業(yè)部分企業(yè)OSGMM能力（圓圈大小代表企業(yè)規(guī)模）根據(jù)調(diào)研結(jié)果，被調(diào)研企業(yè)在開源治理能力成熟度各指標(biāo)項(xiàng)下，待提設(shè)置明確的規(guī)劃/制度？在組織機(jī)制方面，部分企業(yè)在開源治理戰(zhàn)略、人在參與調(diào)研的企業(yè)中，約45%的企業(yè)缺乏專門負(fù)責(zé)開源戰(zhàn)略和治理的組織。另外，超過(guò)設(shè)置明確的規(guī)劃/制度？在管理制度方面，部分企業(yè)開源軟件管控力度有待提高。超過(guò)38%的被調(diào)研企業(yè)在開源軟件方面沒有進(jìn)行任何事前管控，項(xiàng)目組可以按需自行使用開源軟件。此外，超過(guò)60%的被調(diào)研企業(yè)沒有進(jìn)行周期性的制度評(píng)審，也未根據(jù)實(shí)際情況持續(xù)優(yōu)化制度內(nèi)容。這些結(jié)果表明，這些企業(yè)的開源軟件管理制度存在較大的缺針對(duì)!在風(fēng)險(xiǎn)管理方面，大部分企業(yè)在風(fēng)險(xiǎn)管理工具、合規(guī)風(fēng)險(xiǎn)管理等方面能力存在不足。根據(jù)調(diào)研結(jié)果，超過(guò)57%的企業(yè)缺乏軟件成分分析（SCA）工具，且尚未建立SBOM（軟件物料清單）的生成與管理機(jī)制。與此同時(shí)，開源合規(guī)管理機(jī)制相對(duì)薄弱，超過(guò)針對(duì)!GPL類許可證，卻未建立嚴(yán)格的開源合規(guī)評(píng)估流程。上述缺陷可能加劇潛在軟件測(cè)評(píng)方面，部分企業(yè)需加強(qiáng)對(duì)開源軟件各個(gè)版本的評(píng)審和管控。超過(guò)63%的企業(yè)缺乏統(tǒng)一的開源軟件引入評(píng)估模型。此外，超過(guò)70%的企業(yè)僅對(duì)軟件的大版本進(jìn)行管控，對(duì)小版本的使用采用相對(duì)簡(jiǎn)化的引入評(píng)估流程，且主要關(guān)注安全漏洞情況。缺乏企業(yè)級(jí)統(tǒng)一的評(píng)估模型和對(duì)各個(gè)版本的全面管控可能導(dǎo)致潛在的安全風(fēng)險(xiǎn)和合規(guī)問題。軟件設(shè)置清晰從存量管理層面來(lái)看，大部分企業(yè)未形成清晰的存量軟件治理規(guī)劃。超過(guò)65%的企業(yè)缺乏存量開源軟件治理規(guī)劃，包括年度目標(biāo)、計(jì)劃等。此外，超過(guò)60%的企業(yè)僅在新增的安全事件、生態(tài)變化等外軟件設(shè)置清晰在第三方軟件管理方面，企業(yè)對(duì)于第三方軟件的管理存在一定不足。超過(guò)80%的企業(yè)通過(guò)合同義務(wù)來(lái)規(guī)范軟件供應(yīng)商，以確保其遵循企業(yè)的開源軟件治理要求。然而，較少公司通過(guò)交付時(shí)檢查組件清單/分發(fā)說(shuō)明、要求供應(yīng)商提供第三方檢測(cè)報(bào)告等方式來(lái)確保軟件的合規(guī)性。雖然通過(guò)合同規(guī)范能夠在一定程度上轉(zhuǎn)嫁第三方違規(guī)使用開源軟件的風(fēng)險(xiǎn)，但缺乏對(duì)軟件供應(yīng)商交付物的實(shí)際檢查和驗(yàn)證，不足以規(guī)避供應(yīng)商軟件中的安全合規(guī)風(fēng)險(xiǎn)。無(wú)論貴公司是正在制定開源軟件治理計(jì)劃，還是已經(jīng)開始維護(hù)成熟的開源軟件治理體系，都應(yīng)該已經(jīng)實(shí)施或正在考慮實(shí)施以下關(guān)鍵舉措：構(gòu)建開源治理的專業(yè)化團(tuán)隊(duì)，團(tuán)隊(duì)成員應(yīng)包括在開源軟件使用全生命周期中所涉及的來(lái)自于架構(gòu)、開發(fā)、運(yùn)維、安全、法務(wù)等部門的負(fù)責(zé)人員。將開源治理要求嵌入到現(xiàn)有規(guī)章、辦法、手冊(cè)或信息系統(tǒng)中的流程制度。建立一套適合于企業(yè)業(yè)務(wù)和管理特點(diǎn)的開源軟件評(píng)估評(píng)價(jià)方法，用于指導(dǎo)開源軟件的引入和選型。構(gòu)建開源治理支撐平臺(tái)。用于支撐開源軟件治理的平臺(tái)系統(tǒng)，是整個(gè)開源治理工作高效運(yùn)行的技術(shù)保障。在使用開源軟件過(guò)程中，必須嚴(yán)格遵從開源軟件許可證的規(guī)定，避免開源法律風(fēng)險(xiǎn)；同時(shí)企業(yè)需通過(guò)內(nèi)外部運(yùn)維支撐力量快速、及時(shí)地修復(fù)開源軟件漏洞，降低產(chǎn)品被攻擊的可能性。如果貴公司還未制定開源軟件治理計(jì)劃，您可以采用可信開源治理能力成熟度評(píng)估（OSGMM）對(duì)公司當(dāng)前開源軟件治理水平進(jìn)行評(píng)估、確定貴公司想要實(shí)現(xiàn)的狀態(tài)和目標(biāo)，并明晰二者之前的差距。最后，將全景觀察結(jié)果作為基線來(lái)考量同行開展的主要開源治理活動(dòng)，并據(jù)此制定貴公司的開源軟件治理能力構(gòu)建計(jì)劃。OSGMMOSGMM評(píng)估意義何在？1.規(guī)范企業(yè)合理應(yīng)用開源技術(shù)，提高企業(yè)應(yīng)用水平和自主可控能力，促進(jìn)開源技術(shù)健康可2.有效提升企業(yè)開源風(fēng)險(xiǎn)控制能力，針對(duì)開源風(fēng)險(xiǎn)從被動(dòng)應(yīng)對(duì)到主動(dòng)防御，更有效的控制3.推動(dòng)企業(yè)開源治理流程落地，通過(guò)一系列管第三部分可信開源治理服務(wù)可信開源治理“三位一體”服務(wù)是一個(gè)綜合性的解決方案，涵蓋了企業(yè)級(jí)開源治理標(biāo)準(zhǔn)、企業(yè)級(jí)開源治理咨詢服務(wù)和開源治理公共知識(shí)庫(kù)，通過(guò)閉企業(yè)級(jí)開源治理標(biāo)準(zhǔn)為企業(yè)提供一套規(guī)范和流程，指導(dǎo)和規(guī)范開企業(yè)級(jí)開源治理賦能服務(wù)為企業(yè)提供定制化的解決方案和咨詢服務(wù)，幫助企業(yè)根據(jù)自身需求和實(shí)際情況建立和完善開源治理體系。開源治理公共知識(shí)庫(kù)開源治理公共知識(shí)庫(kù)提供開源治理的基礎(chǔ)知識(shí)和指南括開源治理體系、許可證類型解釋、開源軟件安全性評(píng)估圖：“企業(yè)開源治理能力成熟度評(píng)估”框架開源治理成熟度水位線圖和開源治理成熟度象限圖為企業(yè)提供了有價(jià)值的工具來(lái)評(píng)估和比較其在開源治理方面的實(shí)踐能力和水平。水位線圖通過(guò)設(shè)定基線，幫助企業(yè)比較其在各項(xiàng)治理指標(biāo)上的表現(xiàn)，并確定相對(duì)成熟度水平。而象限圖則通過(guò)可視化的方式，清晰地展示了企業(yè)在行業(yè)內(nèi)的開源治理水平，幫助企業(yè)了組織機(jī)制第三方管理管理制度第三方管理管理制度0持續(xù)跟蹤存量管理風(fēng)險(xiǎn)管理退出管理軟件測(cè)評(píng)開發(fā)測(cè)試管理存量管理風(fēng)險(xiǎn)管理退出管理軟件測(cè)評(píng)開發(fā)測(cè)試管理所有企業(yè)A企業(yè)運(yùn)維管理所有企業(yè)成熟度水位線圖：調(diào)研企業(yè)在各項(xiàng)開源治理實(shí)踐中達(dá)到的平均高位標(biāo)記基礎(chǔ)級(jí)基礎(chǔ)級(jí)增強(qiáng)級(jí)成熟度象限圖：調(diào)研企業(yè)開源治理能力在行業(yè)內(nèi)排位情況通過(guò)OSGMM評(píng)估實(shí)現(xiàn)開源治理工作從松散管理，到統(tǒng)一管控，再到統(tǒng)一治理的能力跨越中國(guó)聯(lián)通軟件研究院于2015年7月成立，經(jīng)歷了7年多的時(shí)間，從CB1.0到CB2.0上線，從啟動(dòng)云化架構(gòu)到全面云原生架構(gòu)，持續(xù)構(gòu)建平臺(tái)化、生態(tài)化、全棧云平臺(tái)——聯(lián)通云，使用開源、商業(yè)及自主研發(fā)的軟件300多種，開源組件20000多個(gè)，支撐中國(guó)聯(lián)通1300多個(gè)生產(chǎn)業(yè)務(wù)系統(tǒng)。自2021年，中國(guó)聯(lián)通軟件研究院?jiǎn)?dòng)了開源治理工作，并在聯(lián)通軟研院內(nèi)部建立開源治理組織保障機(jī)制，包括決策團(tuán)隊(duì)、專家團(tuán)隊(duì)、運(yùn)營(yíng)團(tuán)隊(duì)、專業(yè)團(tuán)隊(duì)、法務(wù)團(tuán)隊(duì)及安全團(tuán)隊(duì)，為開源軟件治理工作奠定基礎(chǔ)。由于中國(guó)聯(lián)通軟件研究院在開源軟件治理方面，起步較晚，治理工作還不成熟。2022年9月，中國(guó)聯(lián)通軟件研究院參與OSGMM評(píng)估工作。該評(píng)估幫助軟研院梳理和整合了其在開源治理相關(guān)資源和機(jī)制，并幫助其實(shí)現(xiàn)了開源治理工作從松散管理，到統(tǒng)一管控，再到統(tǒng)一治理的能力跨越，規(guī)范了軟研院各業(yè)務(wù)側(cè)安全合規(guī)使用開源軟件，降低了使用開源軟件帶來(lái)的技術(shù)風(fēng)險(xiǎn)及運(yùn)維風(fēng)險(xiǎn)。同時(shí)開源治理工作受到院領(lǐng)導(dǎo)及集團(tuán)領(lǐng)導(dǎo)的高度重視，加快推動(dòng)了開源治理工作從管理、管控到向治理階段邁進(jìn)。OSGMMOSGMM評(píng)估意義何在？1.規(guī)范企業(yè)合理應(yīng)用開源技術(shù)，提高企業(yè)應(yīng)用水平和自主可控能力，促進(jìn)開源技術(shù)健康可2.有效提升企業(yè)開源風(fēng)險(xiǎn)控制能力，針對(duì)開源風(fēng)險(xiǎn)從被動(dòng)應(yīng)對(duì)到主動(dòng)防御，更有效的控制3.推動(dòng)企業(yè)開源治理流程落地，通過(guò)一系列管中國(guó)信通院企業(yè)級(jí)服務(wù)-“企業(yè)開源賦能計(jì)劃”使用開源使用開源擁抱開源融合開源引領(lǐng)開源企業(yè)開源賦能計(jì)劃更有效的理論實(shí)踐更深入的現(xiàn)狀調(diào)研更完善的流程規(guī)劃更充足的資源與工具更權(quán)威的能力洞察企業(yè)咨詢企業(yè)咨詢訂閱服務(wù)開源通識(shí)預(yù)評(píng)估+正式評(píng)估差距分析生態(tài)建設(shè)風(fēng)險(xiǎn)策略管理制度數(shù)據(jù)支持公共平臺(tái)風(fēng)險(xiǎn)治理開源戰(zhàn)略現(xiàn)場(chǎng)訪談場(chǎng)景測(cè)試人天服務(wù)問卷調(diào)研培訓(xùn)