CESA-2022-1-011《信息技術(shù) 開源治理 第2部分：企業(yè)治理評估模型》團(tuán)體標(biāo)準(zhǔn)（征求意見稿）編制說明

中國電子工業(yè)標(biāo)準(zhǔn)化技術(shù)協(xié)會

一、工作簡況

1、任務(wù)來源

根據(jù)中國電子工業(yè)標(biāo)準(zhǔn)化技術(shù)協(xié)會2022年第一季度第二批（中電標(biāo)通

[2022]006號）下達(dá)的《信息技術(shù)開源治理第2部分：企業(yè)治理評估模型》團(tuán)體

標(biāo)準(zhǔn)制修訂計(jì)劃，本標(biāo)準(zhǔn)由中國電子技術(shù)標(biāo)準(zhǔn)化研究院負(fù)責(zé)起草，項(xiàng)目計(jì)劃號為

CESA-2022-1-011。

2、起草單位

本標(biāo)準(zhǔn)起草單位：中國電子技術(shù)標(biāo)準(zhǔn)化研究院、中興通訊股份有限公司等。

3、主要工作內(nèi)容

a）調(diào)研階段

2021年9月至2023年1月，中國電子技術(shù)標(biāo)準(zhǔn)化研究院聯(lián)合多單位，對企業(yè)開

源治理開展調(diào)研，2022年2月提交《信息技術(shù)開源治理第2部分：企業(yè)治理評估

模型》標(biāo)準(zhǔn)立項(xiàng)申請并于2022年3月獲批立項(xiàng)。

b）編制組成立階段

2022年3月，中國電子技術(shù)標(biāo)準(zhǔn)化研究院等多家國內(nèi)產(chǎn)學(xué)研用單位共同發(fā)起

本標(biāo)準(zhǔn)研制工作，并組織標(biāo)準(zhǔn)參編單位成立編制小組。

c）標(biāo)準(zhǔn)研制階段

2022年3月形成標(biāo)準(zhǔn)編制小組，并展開標(biāo)準(zhǔn)草案討論。

2022年4月至2023年4月，編制組多次組織標(biāo)準(zhǔn)參與單位對本標(biāo)準(zhǔn)草案開展研

制，經(jīng)過多輪線上及線下會議討論，并根據(jù)專家意見進(jìn)行針對性修改，形成標(biāo)準(zhǔn)

征求意見稿初稿。增加對第三方采購的商業(yè)軟件部件中的開源合規(guī)要求；增加對

企業(yè)內(nèi)部開源治理培訓(xùn)的要求；增加對開源軟件相關(guān)的商標(biāo)的合規(guī)要求；完善安

全專家的職責(zé)范圍；對概念的定義應(yīng)與其他已頒布標(biāo)準(zhǔn)和在研標(biāo)準(zhǔn)保持一致等。

2023年4月-2023年6月，標(biāo)準(zhǔn)牽頭單位針對編制組修改意見進(jìn)行綜合分析，

完善標(biāo)準(zhǔn)征求意見稿，并形成最終征求意見版本。

二、標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題

中國電子工業(yè)標(biāo)準(zhǔn)化技術(shù)協(xié)會

標(biāo)準(zhǔn)的用語、格式按照GB/T1.1-2020給出的規(guī)則起草。

1、標(biāo)準(zhǔn)編制原則

本標(biāo)準(zhǔn)在參考國內(nèi)外現(xiàn)有標(biāo)準(zhǔn)的基礎(chǔ)上，充分調(diào)研國內(nèi)外特別是大型軟件研

發(fā)相關(guān)企業(yè)的開源治理的實(shí)踐經(jīng)驗(yàn)，并收集相關(guān)的標(biāo)準(zhǔn)化需求，采用自主制定的

方式編制。本標(biāo)準(zhǔn)的編制遵循以下原則：

a）普遍適用性：本標(biāo)準(zhǔn)是在對現(xiàn)有開源治理領(lǐng)域進(jìn)行了廣泛的調(diào)查研究、

與國內(nèi)開源領(lǐng)域?qū)＜页浞盅芯坑懻摰幕A(chǔ)上制定的。

b）標(biāo)準(zhǔn)兼容性：與現(xiàn)有的國內(nèi)、國際標(biāo)準(zhǔn)兼容，參考了《信息技術(shù)詞匯》、

《軟件工程術(shù)語》、《信息技術(shù)詞匯第7部分：計(jì)算機(jī)編程》等國家標(biāo)準(zhǔn)內(nèi)容。

c）為多方提供指導(dǎo)：：本標(biāo)準(zhǔn)定位于為企業(yè)的開源治理工作提供指導(dǎo)，為

評價企業(yè)開源治理工作提供依據(jù)。對開源項(xiàng)目從引入、退出和創(chuàng)建的全生命周期

管理，幫助企業(yè)提升開源管理能力，使得企業(yè)在參與開源的時候符合安全合規(guī)要

求，規(guī)避許可證合規(guī)、安全漏洞、知識產(chǎn)權(quán)等各類風(fēng)險

2、確定主要內(nèi)容的依據(jù)

開源，特別是開源軟件，已經(jīng)成為當(dāng)前軟件開發(fā)領(lǐng)域必不可少的基礎(chǔ)，且是

推動前沿技術(shù)發(fā)展的主要力量和承載方式。大量企業(yè)基于開源項(xiàng)目來構(gòu)建自己的

產(chǎn)品和服務(wù).但是，企業(yè)在使用開源項(xiàng)目的同時，也需要關(guān)注到使用開源項(xiàng)目所

面臨的許可證合規(guī)、安全漏洞、知識產(chǎn)權(quán)等風(fēng)險。為此企業(yè)就需要建立一整套的

對于開源軟件等的治理機(jī)制，確保在享受開源的好處的同時規(guī)避風(fēng)險。

在開源治理這個領(lǐng)域，國際上目前已經(jīng)有Linux基金會牽頭的OpenChain

ISO/IEC5230這個國際標(biāo)準(zhǔn)。OpenChain主要關(guān)注于企業(yè)在使用開源軟件方面的

許可證合規(guī)以及企業(yè)在產(chǎn)品發(fā)布時如何確保和證明自己已經(jīng)合規(guī)。正如

OpenChain標(biāo)準(zhǔn)中自己描述的：“關(guān)注點(diǎn)是合規(guī)計(jì)劃‘做什么’以及‘為什么要

做’，而不是‘如何做’、‘何時做’?！币虼耍琌penChain并不能給企業(yè)具體

的開源治理指引。另外，OpenChain也沒有覆蓋安全漏洞等不可忽視的風(fēng)險的應(yīng)

對。

綜上，目前企業(yè)急需一個可以指引企業(yè)開源治理工作的標(biāo)準(zhǔn)，通過規(guī)范對開

源項(xiàng)目（包括開源軟件、開源硬件、開源數(shù)據(jù)等）的從引入到退出的全生命周期

中國電子工業(yè)標(biāo)準(zhǔn)化技術(shù)協(xié)會

管理，幫助企業(yè)提升開源管理能力，使得企業(yè)在使用開源的時候符合安全合規(guī)要

求，規(guī)避前面所述的各類風(fēng)險。

在標(biāo)準(zhǔn)內(nèi)容編制的過程中，確定本標(biāo)準(zhǔn)的主要內(nèi)容，主要包括如下三個方面

的依據(jù)：

（1）深入開展調(diào)研：自標(biāo)準(zhǔn)編制工作正式開展以來，標(biāo)準(zhǔn)研制單位對國內(nèi)

外軟件研發(fā)企業(yè)，特別是與開源軟件結(jié)合的比較緊密的企業(yè)進(jìn)行了調(diào)研與交流，

對這些企業(yè)內(nèi)部的開源治理機(jī)制進(jìn)行搜集、分析、整理，為標(biāo)準(zhǔn)的編制奠定堅(jiān)實(shí)

的基礎(chǔ)。

（2）分析相關(guān)領(lǐng)域的標(biāo)準(zhǔn)和文章：通過研究國際標(biāo)準(zhǔn)的要求，吸收前人的

開源治理研究和實(shí)踐成果，形成企業(yè)開源治理的總體框架以及具體指引和要求。

（3）廣泛征求意見：針對企業(yè)開源治理的要求，標(biāo)準(zhǔn)研制單位在標(biāo)準(zhǔn)編制

組內(nèi)部廣泛征求意見，并多次召開標(biāo)準(zhǔn)研討會，進(jìn)一步對標(biāo)準(zhǔn)內(nèi)容進(jìn)行修改和完

善。

3、編制過程中解決的主要問題

一是與參與編制的各個單位進(jìn)行深入討論，明確企業(yè)開源治理涵蓋的范圍，

確定企業(yè)開源治理框架。

二是明確企業(yè)開源治理框架下的各組成部分，主要包括制度，人員和資源三

大領(lǐng)域，以及每個領(lǐng)域下的主要要求內(nèi)容。

三是仔細(xì)討論上述開源治理領(lǐng)域下的每個要求條目，做到描述清晰，消除歧

義，填補(bǔ)短缺，消除冗余，要求合理，確保企業(yè)可以切實(shí)的將其落地。

三、主要試驗(yàn)[或驗(yàn)證]情況分析

尚未進(jìn)行試驗(yàn)或驗(yàn)證

四、知識產(chǎn)權(quán)情況說明

本標(biāo)準(zhǔn)不涉及專利。

五、產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達(dá)到的經(jīng)濟(jì)效果

1、產(chǎn)業(yè)化情況

開源已經(jīng)成為最新興技術(shù)的主要承載方式，推動和促進(jìn)了技術(shù)發(fā)展。特別是

開源軟件的開發(fā)模式目前已經(jīng)成為軟件開發(fā)的主流趨勢。當(dāng)前在云計(jì)算，人工智

中國電子工業(yè)標(biāo)準(zhǔn)化技術(shù)協(xié)會

能，區(qū)塊鏈等前沿技術(shù)領(lǐng)域，開源已經(jīng)成為推動技術(shù)發(fā)展的主流方式。大量企業(yè)

使用開源項(xiàng)目來構(gòu)建自己的產(chǎn)品和服務(wù)。

開源給企業(yè)帶來的益處是顯而易見的：企業(yè)可以使用業(yè)界最新的研發(fā)成果，

不必重復(fù)做技術(shù)建設(shè)；可以快速研發(fā)和搭建技術(shù)方案，降低成本；可以通過與其

他開發(fā)者共同協(xié)作，緊跟技術(shù)發(fā)展趨勢增強(qiáng)自身研發(fā)能力等等。但是，企業(yè)在使

用開源項(xiàng)目的同時，也需要關(guān)注到使用開源項(xiàng)目所面臨的許可證合規(guī)、安全漏洞、

知識產(chǎn)權(quán)等多方面風(fēng)險。為此企業(yè)就需要建立一整套的對于開源軟件等的治理機(jī)

制，確保在享受開源的好處的同時規(guī)避風(fēng)險。

目前的開源合規(guī)領(lǐng)域的國際標(biāo)準(zhǔn)OpenChainISO/IEC5230缺乏對企業(yè)開源治

理工作的具體要求和指導(dǎo)，是比較粗線條的，不能很好的指引企業(yè)完成開源治理

工作，因此急需一個可以具體指導(dǎo)企業(yè)將開源治理工作落地的指引性標(biāo)準(zhǔn)。

2、預(yù)期達(dá)到效果

企業(yè)可以根據(jù)本標(biāo)準(zhǔn)的要求，在企業(yè)內(nèi)部建立一整套的開源治理機(jī)制，從人

員，制度和資源三大領(lǐng)域去落地實(shí)施。

首先是在企業(yè)內(nèi)部建立開源治理組織，根據(jù)標(biāo)準(zhǔn)要求安排相應(yīng)資質(zhì)的專家和

工作人員擔(dān)任相應(yīng)的崗位，亦即滿足標(biāo)準(zhǔn)中的人員要求。然后由這些專家人才為

公司制定一整套的開源治理規(guī)范，并通過培訓(xùn)，檢查和考核等手段來確保制度的

實(shí)施，從而滿足標(biāo)準(zhǔn)中的制度要求。同時，在具體執(zhí)行開源治理工作時，需要配

備相應(yīng)的資金，材料等物質(zhì)資源來滿足標(biāo)準(zhǔn)中的資源要求。

通過上述工作，企業(yè)確保本標(biāo)準(zhǔn)的要求在企業(yè)內(nèi)全部得到落地，規(guī)范對開源

項(xiàng)目從引入到退出的全生命周期管理，提升自身的開源管理能力，使得在使用開

源的時候符合安全合規(guī)要求，規(guī)避許可證合規(guī)，安全漏洞，知識產(chǎn)權(quán)等各類風(fēng)險。

六、轉(zhuǎn)化國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)情況

本標(biāo)準(zhǔn)為自主制定，未采用相關(guān)國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)。

七、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)調(diào)性

本標(biāo)準(zhǔn)與現(xiàn)有法律法規(guī)、標(biāo)準(zhǔn)、制定中標(biāo)準(zhǔn)協(xié)調(diào)配套。

目前國內(nèi)在研開源標(biāo)準(zhǔn)包括《開源許可證框架》（20213301-T-469）、《信息

技術(shù)開源綜述與術(shù)語》（CESA-2021-3-021）、《信息技術(shù)開源治理第1部分：

總體框架》（CESA-2021-3-022）、《信息技術(shù)開源元數(shù)據(jù)通用要求》

中國電子工業(yè)標(biāo)準(zhǔn)化技術(shù)協(xié)會

（CESA-2022-1-010）、《信息技術(shù)開源治理第3部分：項(xiàng)目評估模型》

（CESA-2021-3-023）、《信息技術(shù)開源治理第4部分：社區(qū)治理與運(yùn)營》

（CESA-2022-1-012）、《信息技術(shù)開源治理第5部分：開發(fā)者貢獻(xiàn)度評價模型》

（CESA-2022-1-013），本標(biāo)準(zhǔn)與以上在研標(biāo)準(zhǔn)協(xié)調(diào)一致。

八、重大分歧意見的處理經(jīng)過和依據(jù)

本標(biāo)準(zhǔn)在制定過程中，未發(fā)生重大分歧。

九、貫徹標(biāo)準(zhǔn)的要求和措施建議

本標(biāo)準(zhǔn)適用于指導(dǎo)企業(yè)建立開源治理機(jī)制，在使用開源的時候符合安全合規(guī)

要求，規(guī)避許可證合規(guī)，安全漏洞，知識產(chǎn)權(quán)等各類風(fēng)險。建議企業(yè)單位采用和

實(shí)施。由于本標(biāo)準(zhǔn)并不區(qū)分行業(yè)差異，因此對于團(tuán)體之外的普通用戶，這個標(biāo)準(zhǔn)

也具備同樣的指導(dǎo)意義，可以采納實(shí)施。

十、替代或廢止現(xiàn)行相關(guān)標(biāo)準(zhǔn)的建議

無。

十一、其它應(yīng)予說明的事項(xiàng)

無。

《信息技術(shù)開源治理第2部分：企業(yè)治理評估模型》

團(tuán)體標(biāo)準(zhǔn)編制工作組

2023-6-8

中國電子工業(yè)標(biāo)準(zhǔn)化技術(shù)協(xié)會

中國電子工業(yè)標(biāo)準(zhǔn)化技術(shù)協(xié)會

一、工作簡況

1、任務(wù)來源

根據(jù)中國電子工業(yè)標(biāo)準(zhǔn)化技術(shù)協(xié)會2022年第一季度第二批（中電標(biāo)通

[2022]006號）下達(dá)的《信息技術(shù)開源治理第2部分：企業(yè)治理評估模型》團(tuán)體

標(biāo)準(zhǔn)制修訂計(jì)劃，本標(biāo)準(zhǔn)由中國電子技術(shù)標(biāo)準(zhǔn)化研究院負(fù)責(zé)起草，項(xiàng)目計(jì)劃號為

CESA-2022-1-011。

2、起草單位

本標(biāo)準(zhǔn)起草單位：中國電子技術(shù)標(biāo)準(zhǔn)化研究院、中興通訊股份有限公司等。

3、主要工作內(nèi)容

a）調(diào)研階段

2021年9月至2023年1月，中國電子技術(shù)標(biāo)準(zhǔn)化研究院聯(lián)合多單位，對企業(yè)開

源治理開展調(diào)研，2022年2月提交《信息技術(shù)開源治理第2部分：企業(yè)治理評估

模型》標(biāo)準(zhǔn)立項(xiàng)申請并于2022年3月獲批立項(xiàng)。

b）編制組成立階段

2022年3月，中國電子技術(shù)標(biāo)準(zhǔn)化研究院等多家國內(nèi)產(chǎn)學(xué)研用單位共同發(fā)起

本標(biāo)準(zhǔn)研制工作，并組織標(biāo)準(zhǔn)參編單位成立編制小組。

c）標(biāo)準(zhǔn)研制階段

2022年3月形成標(biāo)準(zhǔn)編制小組，并展開標(biāo)準(zhǔn)草案討論。

2022年4月至2023年4月，編制組多次組織標(biāo)準(zhǔn)參與單位對本標(biāo)準(zhǔn)草案開展研

制，經(jīng)過多輪線上及線下會議討論，并根據(jù)專家意見進(jìn)行針對性修改，形成標(biāo)準(zhǔn)

征求意見稿初稿。增加對第三方采購的商業(yè)軟件部件中的開源合規(guī)要求；增加對

企業(yè)內(nèi)部開源治理培訓(xùn)的要求；增加對開源軟件相關(guān)的商標(biāo)的合規(guī)要求；完善安

全專家的職責(zé)范圍；對概念的定義應(yīng)與其他已頒布標(biāo)準(zhǔn)和在研標(biāo)準(zhǔn)保持一致等。

2023年4月-2023年6月，標(biāo)準(zhǔn)牽頭單位針對編制組修改意見進(jìn)行綜合分析，

完善標(biāo)準(zhǔn)征求意見稿，并形成最終征求意見版本。

二、標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題

中國電子工業(yè)標(biāo)準(zhǔn)化技術(shù)協(xié)會

標(biāo)準(zhǔn)的用語、格式按照GB/T1.1-2020給出的規(guī)則起草。

1、標(biāo)準(zhǔn)編制原則

本標(biāo)準(zhǔn)在參考國內(nèi)外現(xiàn)有標(biāo)準(zhǔn)的基礎(chǔ)上，充分調(diào)研國內(nèi)外特別是大型軟件研

發(fā)相關(guān)企業(yè)的開源治理的實(shí)踐經(jīng)驗(yàn)，并收集相關(guān)的標(biāo)準(zhǔn)化需求，采用自主制定的

方式編制。本標(biāo)準(zhǔn)的編制遵循以下原則：

a）普遍適用性：本標(biāo)準(zhǔn)是在對現(xiàn)有開源治理領(lǐng)域進(jìn)行了廣泛的調(diào)查研究、

與國內(nèi)開源領(lǐng)域?qū)＜页浞盅芯坑懻摰幕A(chǔ)上制定的。

b）標(biāo)準(zhǔn)兼容性：與現(xiàn)有的國內(nèi)、國際標(biāo)準(zhǔn)兼容，參考了《信息技術(shù)詞匯》、

《軟件工程術(shù)語》、《信息技術(shù)詞匯第7部分：計(jì)算機(jī)編程》等國家標(biāo)準(zhǔn)內(nèi)容。

c）為多方提供指導(dǎo)：：本標(biāo)準(zhǔn)定位于為企業(yè)的開源治理工作提供指導(dǎo)，為

評價企業(yè)開源治理工作提供依據(jù)。對開源項(xiàng)目從引入、退出和創(chuàng)建的全生命周期

管理，幫助企業(yè)提升開源管理能力，使得企業(yè)在參與開源的時候符合安全合規(guī)要

求，規(guī)避許可證合規(guī)、安全漏洞、知識產(chǎn)權(quán)等各類風(fēng)險

2、確定主要內(nèi)容的依據(jù)

開源，特別是開源軟件，已經(jīng)成為當(dāng)前軟件開發(fā)領(lǐng)域必不可少的基礎(chǔ)，且是

推動前沿技術(shù)發(fā)展的主要力量和承載方式。大量企業(yè)基于開源項(xiàng)目來構(gòu)建自己的

產(chǎn)品和服務(wù).但是，企業(yè)在使用開源項(xiàng)目的同時，也需要關(guān)注到使用開源項(xiàng)目所

面臨的許可證合規(guī)、安全漏洞、知識產(chǎn)權(quán)等風(fēng)險。為此企業(yè)就需要建立一整套的

對于開源軟件等的治理機(jī)制，確保在享受開源的好處的同時規(guī)避風(fēng)險。

在開源治理這個領(lǐng)域，國際上目前已經(jīng)有Linux基金會牽頭的OpenChain

ISO/IEC5230這個國際標(biāo)準(zhǔn)。OpenChain主要關(guān)注于企業(yè)在使用開源軟件方面的

許可證合規(guī)以及企業(yè)在產(chǎn)品發(fā)布時如何確保和證明自己已經(jīng)合規(guī)。正如

OpenChain標(biāo)準(zhǔn)中自己描述的：“關(guān)注點(diǎn)是合規(guī)計(jì)劃‘做什么’以及‘為什么要

做’，而不是‘如何做’、‘何時做’?！币虼耍琌penChain并不能給企業(yè)具體

的開源治理指引。另外，OpenChain也沒有覆蓋安全漏洞等不可忽視的風(fēng)險的應(yīng)

對。

綜上，目前企業(yè)急需一個可以指引企業(yè)開源治理工作的標(biāo)準(zhǔn)，通過規(guī)范對開

源項(xiàng)目（包括開源軟件、開源硬件、開源數(shù)據(jù)等）的從引入到退出的全生命周期

中國電子工業(yè)標(biāo)準(zhǔn)化技術(shù)協(xié)會