CESA-2022-1-011《信息技術(shù) 開(kāi)源治理 第2部分：企業(yè)治理評(píng)估模型》團(tuán)體標(biāo)準(zhǔn)（征求意見(jiàn)稿）編制說(shuō)明

中國(guó)電子工業(yè)標(biāo)準(zhǔn)化技術(shù)協(xié)會(huì)

一、工作簡(jiǎn)況

1、任務(wù)來(lái)源

根據(jù)中國(guó)電子工業(yè)標(biāo)準(zhǔn)化技術(shù)協(xié)會(huì)2022年第一季度第二批（中電標(biāo)通

[2022]006號(hào)）下達(dá)的《信息技術(shù)開(kāi)源治理第2部分：企業(yè)治理評(píng)估模型》團(tuán)體

標(biāo)準(zhǔn)制修訂計(jì)劃，本標(biāo)準(zhǔn)由中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院負(fù)責(zé)起草，項(xiàng)目計(jì)劃號(hào)為

CESA-2022-1-011。

2、起草單位

本標(biāo)準(zhǔn)起草單位：中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院、中興通訊股份有限公司等。

3、主要工作內(nèi)容

a）調(diào)研階段

2021年9月至2023年1月，中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院聯(lián)合多單位，對(duì)企業(yè)開(kāi)

源治理開(kāi)展調(diào)研，2022年2月提交《信息技術(shù)開(kāi)源治理第2部分：企業(yè)治理評(píng)估

模型》標(biāo)準(zhǔn)立項(xiàng)申請(qǐng)并于2022年3月獲批立項(xiàng)。

b）編制組成立階段

2022年3月，中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院等多家國(guó)內(nèi)產(chǎn)學(xué)研用單位共同發(fā)起

本標(biāo)準(zhǔn)研制工作，并組織標(biāo)準(zhǔn)參編單位成立編制小組。

c）標(biāo)準(zhǔn)研制階段

2022年3月形成標(biāo)準(zhǔn)編制小組，并展開(kāi)標(biāo)準(zhǔn)草案討論。

2022年4月至2023年4月，編制組多次組織標(biāo)準(zhǔn)參與單位對(duì)本標(biāo)準(zhǔn)草案開(kāi)展研

制，經(jīng)過(guò)多輪線上及線下會(huì)議討論，并根據(jù)專(zhuān)家意見(jiàn)進(jìn)行針對(duì)性修改，形成標(biāo)準(zhǔn)

征求意見(jiàn)稿初稿。增加對(duì)第三方采購(gòu)的商業(yè)軟件部件中的開(kāi)源合規(guī)要求；增加對(duì)

企業(yè)內(nèi)部開(kāi)源治理培訓(xùn)的要求；增加對(duì)開(kāi)源軟件相關(guān)的商標(biāo)的合規(guī)要求；完善安

全專(zhuān)家的職責(zé)范圍；對(duì)概念的定義應(yīng)與其他已頒布標(biāo)準(zhǔn)和在研標(biāo)準(zhǔn)保持一致等。

2023年4月-2023年6月，標(biāo)準(zhǔn)牽頭單位針對(duì)編制組修改意見(jiàn)進(jìn)行綜合分析，

完善標(biāo)準(zhǔn)征求意見(jiàn)稿，并形成最終征求意見(jiàn)版本。

二、標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問(wèn)題

中國(guó)電子工業(yè)標(biāo)準(zhǔn)化技術(shù)協(xié)會(huì)

標(biāo)準(zhǔn)的用語(yǔ)、格式按照GB/T1.1-2020給出的規(guī)則起草。

1、標(biāo)準(zhǔn)編制原則

本標(biāo)準(zhǔn)在參考國(guó)內(nèi)外現(xiàn)有標(biāo)準(zhǔn)的基礎(chǔ)上，充分調(diào)研國(guó)內(nèi)外特別是大型軟件研

發(fā)相關(guān)企業(yè)的開(kāi)源治理的實(shí)踐經(jīng)驗(yàn)，并收集相關(guān)的標(biāo)準(zhǔn)化需求，采用自主制定的

方式編制。本標(biāo)準(zhǔn)的編制遵循以下原則：

a）普遍適用性：本標(biāo)準(zhǔn)是在對(duì)現(xiàn)有開(kāi)源治理領(lǐng)域進(jìn)行了廣泛的調(diào)查研究、

與國(guó)內(nèi)開(kāi)源領(lǐng)域?qū)＜页浞盅芯坑懻摰幕A(chǔ)上制定的。

b）標(biāo)準(zhǔn)兼容性：與現(xiàn)有的國(guó)內(nèi)、國(guó)際標(biāo)準(zhǔn)兼容，參考了《信息技術(shù)詞匯》、

《軟件工程術(shù)語(yǔ)》、《信息技術(shù)詞匯第7部分：計(jì)算機(jī)編程》等國(guó)家標(biāo)準(zhǔn)內(nèi)容。

c）為多方提供指導(dǎo)：：本標(biāo)準(zhǔn)定位于為企業(yè)的開(kāi)源治理工作提供指導(dǎo)，為

評(píng)價(jià)企業(yè)開(kāi)源治理工作提供依據(jù)。對(duì)開(kāi)源項(xiàng)目從引入、退出和創(chuàng)建的全生命周期

管理，幫助企業(yè)提升開(kāi)源管理能力，使得企業(yè)在參與開(kāi)源的時(shí)候符合安全合規(guī)要

求，規(guī)避許可證合規(guī)、安全漏洞、知識(shí)產(chǎn)權(quán)等各類(lèi)風(fēng)險(xiǎn)

2、確定主要內(nèi)容的依據(jù)

開(kāi)源，特別是開(kāi)源軟件，已經(jīng)成為當(dāng)前軟件開(kāi)發(fā)領(lǐng)域必不可少的基礎(chǔ)，且是

推動(dòng)前沿技術(shù)發(fā)展的主要力量和承載方式。大量企業(yè)基于開(kāi)源項(xiàng)目來(lái)構(gòu)建自己的

產(chǎn)品和服務(wù).但是，企業(yè)在使用開(kāi)源項(xiàng)目的同時(shí)，也需要關(guān)注到使用開(kāi)源項(xiàng)目所

面臨的許可證合規(guī)、安全漏洞、知識(shí)產(chǎn)權(quán)等風(fēng)險(xiǎn)。為此企業(yè)就需要建立一整套的

對(duì)于開(kāi)源軟件等的治理機(jī)制，確保在享受開(kāi)源的好處的同時(shí)規(guī)避風(fēng)險(xiǎn)。

在開(kāi)源治理這個(gè)領(lǐng)域，國(guó)際上目前已經(jīng)有Linux基金會(huì)牽頭的OpenChain

ISO/IEC5230這個(gè)國(guó)際標(biāo)準(zhǔn)。OpenChain主要關(guān)注于企業(yè)在使用開(kāi)源軟件方面的

許可證合規(guī)以及企業(yè)在產(chǎn)品發(fā)布時(shí)如何確保和證明自己已經(jīng)合規(guī)。正如

OpenChain標(biāo)準(zhǔn)中自己描述的：“關(guān)注點(diǎn)是合規(guī)計(jì)劃‘做什么’以及‘為什么要

做’，而不是‘如何做’、‘何時(shí)做’?！币虼?，OpenChain并不能給企業(yè)具體

的開(kāi)源治理指引。另外，OpenChain也沒(méi)有覆蓋安全漏洞等不可忽視的風(fēng)險(xiǎn)的應(yīng)

對(duì)。

綜上，目前企業(yè)急需一個(gè)可以指引企業(yè)開(kāi)源治理工作的標(biāo)準(zhǔn)，通過(guò)規(guī)范對(duì)開(kāi)

源項(xiàng)目（包括開(kāi)源軟件、開(kāi)源硬件、開(kāi)源數(shù)據(jù)等）的從引入到退出的全生命周期

中國(guó)電子工業(yè)標(biāo)準(zhǔn)化技術(shù)協(xié)會(huì)

管理，幫助企業(yè)提升開(kāi)源管理能力，使得企業(yè)在使用開(kāi)源的時(shí)候符合安全合規(guī)要

求，規(guī)避前面所述的各類(lèi)風(fēng)險(xiǎn)。

在標(biāo)準(zhǔn)內(nèi)容編制的過(guò)程中，確定本標(biāo)準(zhǔn)的主要內(nèi)容，主要包括如下三個(gè)方面

的依據(jù)：

（1）深入開(kāi)展調(diào)研：自標(biāo)準(zhǔn)編制工作正式開(kāi)展以來(lái)，標(biāo)準(zhǔn)研制單位對(duì)國(guó)內(nèi)

外軟件研發(fā)企業(yè)，特別是與開(kāi)源軟件結(jié)合的比較緊密的企業(yè)進(jìn)行了調(diào)研與交流，

對(duì)這些企業(yè)內(nèi)部的開(kāi)源治理機(jī)制進(jìn)行搜集、分析、整理，為標(biāo)準(zhǔn)的編制奠定堅(jiān)實(shí)

的基礎(chǔ)。

（2）分析相關(guān)領(lǐng)域的標(biāo)準(zhǔn)和文章：通過(guò)研究國(guó)際標(biāo)準(zhǔn)的要求，吸收前人的

開(kāi)源治理研究和實(shí)踐成果，形成企業(yè)開(kāi)源治理的總體框架以及具體指引和要求。

（3）廣泛征求意見(jiàn)：針對(duì)企業(yè)開(kāi)源治理的要求，標(biāo)準(zhǔn)研制單位在標(biāo)準(zhǔn)編制

組內(nèi)部廣泛征求意見(jiàn)，并多次召開(kāi)標(biāo)準(zhǔn)研討會(huì)，進(jìn)一步對(duì)標(biāo)準(zhǔn)內(nèi)容進(jìn)行修改和完

善。

3、編制過(guò)程中解決的主要問(wèn)題

一是與參與編制的各個(gè)單位進(jìn)行深入討論，明確企業(yè)開(kāi)源治理涵蓋的范圍，

確定企業(yè)開(kāi)源治理框架。

二是明確企業(yè)開(kāi)源治理框架下的各組成部分，主要包括制度，人員和資源三

大領(lǐng)域，以及每個(gè)領(lǐng)域下的主要要求內(nèi)容。

三是仔細(xì)討論上述開(kāi)源治理領(lǐng)域下的每個(gè)要求條目，做到描述清晰，消除歧

義，填補(bǔ)短缺，消除冗余，要求合理，確保企業(yè)可以切實(shí)的將其落地。

三、主要試驗(yàn)[或驗(yàn)證]情況分析

尚未進(jìn)行試驗(yàn)或驗(yàn)證

四、知識(shí)產(chǎn)權(quán)情況說(shuō)明

本標(biāo)準(zhǔn)不涉及專(zhuān)利。

五、產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達(dá)到的經(jīng)濟(jì)效果

1、產(chǎn)業(yè)化情況

開(kāi)源已經(jīng)成為最新興技術(shù)的主要承載方式，推動(dòng)和促進(jìn)了技術(shù)發(fā)展。特別是

開(kāi)源軟件的開(kāi)發(fā)模式目前已經(jīng)成為軟件開(kāi)發(fā)的主流趨勢(shì)。當(dāng)前在云計(jì)算，人工智

中國(guó)電子工業(yè)標(biāo)準(zhǔn)化技術(shù)協(xié)會(huì)

能，區(qū)塊鏈等前沿技術(shù)領(lǐng)域，開(kāi)源已經(jīng)成為推動(dòng)技術(shù)發(fā)展的主流方式。大量企業(yè)

使用開(kāi)源項(xiàng)目來(lái)構(gòu)建自己的產(chǎn)品和服務(wù)。

開(kāi)源給企業(yè)帶來(lái)的益處是顯而易見(jiàn)的：企業(yè)可以使用業(yè)界最新的研發(fā)成果，

不必重復(fù)做技術(shù)建設(shè)；可以快速研發(fā)和搭建技術(shù)方案，降低成本；可以通過(guò)與其

他開(kāi)發(fā)者共同協(xié)作，緊跟技術(shù)發(fā)展趨勢(shì)增強(qiáng)自身研發(fā)能力等等。但是，企業(yè)在使

用開(kāi)源項(xiàng)目的同時(shí)，也需要關(guān)注到使用開(kāi)源項(xiàng)目所面臨的許可證合規(guī)、安全漏洞、

知識(shí)產(chǎn)權(quán)等多方面風(fēng)險(xiǎn)。為此企業(yè)就需要建立一整套的對(duì)于開(kāi)源軟件等的治理機(jī)

制，確保在享受開(kāi)源的好處的同時(shí)規(guī)避風(fēng)險(xiǎn)。

目前的開(kāi)源合規(guī)領(lǐng)域的國(guó)際標(biāo)準(zhǔn)OpenChainISO/IEC5230缺乏對(duì)企業(yè)開(kāi)源治

理工作的具體要求和指導(dǎo)，是比較粗線條的，不能很好的指引企業(yè)完成開(kāi)源治理

工作，因此急需一個(gè)可以具體指導(dǎo)企業(yè)將開(kāi)源治理工作落地的指引性標(biāo)準(zhǔn)。

2、預(yù)期達(dá)到效果

企業(yè)可以根據(jù)本標(biāo)準(zhǔn)的要求，在企業(yè)內(nèi)部建立一整套的開(kāi)源治理機(jī)制，從人

員，制度和資源三大領(lǐng)域去落地實(shí)施。

首先是在企業(yè)內(nèi)部建立開(kāi)源治理組織，根據(jù)標(biāo)準(zhǔn)要求安排相應(yīng)資質(zhì)的專(zhuān)家和

工作人員擔(dān)任相應(yīng)的崗位，亦即滿足標(biāo)準(zhǔn)中的人員要求。然后由這些專(zhuān)家人才為

公司制定一整套的開(kāi)源治理規(guī)范，并通過(guò)培訓(xùn)，檢查和考核等手段來(lái)確保制度的

實(shí)施，從而滿足標(biāo)準(zhǔn)中的制度要求。同時(shí)，在具體執(zhí)行開(kāi)源治理工作時(shí)，需要配

備相應(yīng)的資金，材料等物質(zhì)資源來(lái)滿足標(biāo)準(zhǔn)中的資源要求。

通過(guò)上述工作，企業(yè)確保本標(biāo)準(zhǔn)的要求在企業(yè)內(nèi)全部得到落地，規(guī)范對(duì)開(kāi)源

項(xiàng)目從引入到退出的全生命周期管理，提升自身的開(kāi)源管理能力，使得在使用開(kāi)

源的時(shí)候符合安全合規(guī)要求，規(guī)避許可證合規(guī)，安全漏洞，知識(shí)產(chǎn)權(quán)等各類(lèi)風(fēng)險(xiǎn)。

六、轉(zhuǎn)化國(guó)際標(biāo)準(zhǔn)和國(guó)外先進(jìn)標(biāo)準(zhǔn)情況

本標(biāo)準(zhǔn)為自主制定，未采用相關(guān)國(guó)際標(biāo)準(zhǔn)和國(guó)外先進(jìn)標(biāo)準(zhǔn)。

七、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)調(diào)性

本標(biāo)準(zhǔn)與現(xiàn)有法律法規(guī)、標(biāo)準(zhǔn)、制定中標(biāo)準(zhǔn)協(xié)調(diào)配套。

目前國(guó)內(nèi)在研開(kāi)源標(biāo)準(zhǔn)包括《開(kāi)源許可證框架》（20213301-T-469）、《信息

技術(shù)開(kāi)源綜述與術(shù)語(yǔ)》（CESA-2021-3-021）、《信息技術(shù)開(kāi)源治理第1部分：

總體框架》（CESA-2021-3-022）、《信息技術(shù)開(kāi)源元數(shù)據(jù)通用要求》

中國(guó)電子工業(yè)標(biāo)準(zhǔn)化技術(shù)協(xié)會(huì)

（CESA-2022-1-010）、《信息技術(shù)開(kāi)源治理第3部分：項(xiàng)目評(píng)估模型》

（CESA-2021-3-023）、《信息技術(shù)開(kāi)源治理第4部分：社區(qū)治理與運(yùn)營(yíng)》

（CESA-2022-1-012）、《信息技術(shù)開(kāi)源治理第5部分：開(kāi)發(fā)者貢獻(xiàn)度評(píng)價(jià)模型》

（CESA-2022-1-013），本標(biāo)準(zhǔn)與以上在研標(biāo)準(zhǔn)協(xié)調(diào)一致。

八、重大分歧意見(jiàn)的處理經(jīng)過(guò)和依據(jù)

本標(biāo)準(zhǔn)在制定過(guò)程中，未發(fā)生重大分歧。

九、貫徹標(biāo)準(zhǔn)的要求和措施建議

本標(biāo)準(zhǔn)適用于指導(dǎo)企業(yè)建立開(kāi)源治理機(jī)制，在使用開(kāi)源的時(shí)候符合安全合規(guī)

要求，規(guī)避許可證合規(guī)，安全漏洞，知識(shí)產(chǎn)權(quán)等各類(lèi)風(fēng)險(xiǎn)。建議企業(yè)單位采用和

實(shí)施。由于本標(biāo)準(zhǔn)并不區(qū)分行業(yè)差異，因此對(duì)于團(tuán)體之外的普通用戶，這個(gè)標(biāo)準(zhǔn)

也具備同樣的指導(dǎo)意義，可以采納實(shí)施。

十、替代或廢止現(xiàn)行相關(guān)標(biāo)準(zhǔn)的建議

無(wú)。

十一、其它應(yīng)予說(shuō)明的事項(xiàng)

無(wú)。

《信息技術(shù)開(kāi)源治理第2部分：企業(yè)治理評(píng)估模型》

團(tuán)體標(biāo)準(zhǔn)編制工作組

2023-6-8

中國(guó)電子工業(yè)標(biāo)準(zhǔn)化技術(shù)協(xié)會(huì)

中國(guó)電子工業(yè)標(biāo)準(zhǔn)化技術(shù)協(xié)會(huì)

一、工作簡(jiǎn)況

1、任務(wù)來(lái)源

根據(jù)中國(guó)電子工業(yè)標(biāo)準(zhǔn)化技術(shù)協(xié)會(huì)2022年第一季度第二批（中電標(biāo)通

[2022]006號(hào)）下達(dá)的《信息技術(shù)開(kāi)源治理第2部分：企業(yè)治理評(píng)估模型》團(tuán)體

標(biāo)準(zhǔn)制修訂計(jì)劃，本標(biāo)準(zhǔn)由中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院負(fù)責(zé)起草，項(xiàng)目計(jì)劃號(hào)為

CESA-2022-1-011。

2、起草單位

本標(biāo)準(zhǔn)起草單位：中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院、中興通訊股份有限公司等。

3、主要工作內(nèi)容

a）調(diào)研階段

2021年9月至2023年1月，中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院聯(lián)合多單位，對(duì)企業(yè)開(kāi)

源治理開(kāi)展調(diào)研，2022年2月提交《信息技術(shù)開(kāi)源治理第2部分：企業(yè)治理評(píng)估

模型》標(biāo)準(zhǔn)立項(xiàng)申請(qǐng)并于2022年3月獲批立項(xiàng)。

b）編制組成立階段

2022年3月，中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院等多家國(guó)內(nèi)產(chǎn)學(xué)研用單位共同發(fā)起

本標(biāo)準(zhǔn)研制工作，并組織標(biāo)準(zhǔn)參編單位成立編制小組。

c）標(biāo)準(zhǔn)研制階段

2022年3月形成標(biāo)準(zhǔn)編制小組，并展開(kāi)標(biāo)準(zhǔn)草案討論。

2022年4月至2023年4月，編制組多次組織標(biāo)準(zhǔn)參與單位對(duì)本標(biāo)準(zhǔn)草案開(kāi)展研

制，經(jīng)過(guò)多輪線上及線下會(huì)議討論，并根據(jù)專(zhuān)家意見(jiàn)進(jìn)行針對(duì)性修改，形成標(biāo)準(zhǔn)

征求意見(jiàn)稿初稿。增加對(duì)第三方采購(gòu)的商業(yè)軟件部件中的開(kāi)源合規(guī)要求；增加對(duì)

企業(yè)內(nèi)部開(kāi)源治理培訓(xùn)的要求；增加對(duì)開(kāi)源軟件相關(guān)的商標(biāo)的合規(guī)要求；完善安

全專(zhuān)家的職責(zé)范圍；對(duì)概念的定義應(yīng)與其他已頒布標(biāo)準(zhǔn)和在研標(biāo)準(zhǔn)保持一致等。

2023年4月-2023年6月，標(biāo)準(zhǔn)牽頭單位針對(duì)編制組修改意見(jiàn)進(jìn)行綜合分析，

完善標(biāo)準(zhǔn)征求意見(jiàn)稿，并形成最終征求意見(jiàn)版本。

二、標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問(wèn)題

中國(guó)電子工業(yè)標(biāo)準(zhǔn)化技術(shù)協(xié)會(huì)

標(biāo)準(zhǔn)的用語(yǔ)、格式按照GB/T1.1-2020給出的規(guī)則起草。

1、標(biāo)準(zhǔn)編制原則

本標(biāo)準(zhǔn)在參考國(guó)內(nèi)外現(xiàn)有標(biāo)準(zhǔn)的基礎(chǔ)上，充分調(diào)研國(guó)內(nèi)外特別是大型軟件研

發(fā)相關(guān)企業(yè)的開(kāi)源治理的實(shí)踐經(jīng)驗(yàn)，并收集相關(guān)的標(biāo)準(zhǔn)化需求，采用自主制定的

方式編制。本標(biāo)準(zhǔn)的編制遵循以下原則：

a）普遍適用性：本標(biāo)準(zhǔn)是在對(duì)現(xiàn)有開(kāi)源治理領(lǐng)域進(jìn)行了廣泛的調(diào)查研究、

與國(guó)內(nèi)開(kāi)源領(lǐng)域?qū)＜页浞盅芯坑懻摰幕A(chǔ)上制定的。

b）標(biāo)準(zhǔn)兼容性：與現(xiàn)有的國(guó)內(nèi)、國(guó)際標(biāo)準(zhǔn)兼容，參考了《信息技術(shù)詞匯》、

《軟件工程術(shù)語(yǔ)》、《信息技術(shù)詞匯第7部分：計(jì)算機(jī)編程》等國(guó)家標(biāo)準(zhǔn)內(nèi)容。

c）為多方提供指導(dǎo)：：本標(biāo)準(zhǔn)定位于為企業(yè)的開(kāi)源治理工作提供指導(dǎo)，為

評(píng)價(jià)企業(yè)開(kāi)源治理工作提供依據(jù)。對(duì)開(kāi)源項(xiàng)目從引入、退出和創(chuàng)建的全生命周期

管理，幫助企業(yè)提升開(kāi)源管理能力，使得企業(yè)在參與開(kāi)源的時(shí)候符合安全合規(guī)要

求，規(guī)避許可證合規(guī)、安全漏洞、知識(shí)產(chǎn)權(quán)等各類(lèi)風(fēng)險(xiǎn)

2、確定主要內(nèi)容的依據(jù)

開(kāi)源，特別是開(kāi)源軟件，已經(jīng)成為當(dāng)前軟件開(kāi)發(fā)領(lǐng)域必不可少的基礎(chǔ)，且是

推動(dòng)前沿技術(shù)發(fā)展的主要力量和承載方式。大量企業(yè)基于開(kāi)源項(xiàng)目來(lái)構(gòu)建自己的

產(chǎn)品和服務(wù).但是，企業(yè)在使用開(kāi)源項(xiàng)目的同時(shí)，也需要關(guān)注到使用開(kāi)源項(xiàng)目所

面臨的許可證合規(guī)、安全漏洞、知識(shí)產(chǎn)權(quán)等風(fēng)險(xiǎn)。為此企業(yè)就需要建立一整套的

對(duì)于開(kāi)源軟件等的治理機(jī)制，確保在享受開(kāi)源的好處的同時(shí)規(guī)避風(fēng)險(xiǎn)。

在開(kāi)源治理這個(gè)領(lǐng)域，國(guó)際上目前已經(jīng)有Linux基金會(huì)牽頭的OpenChain

ISO/IEC5230這個(gè)國(guó)際標(biāo)準(zhǔn)。OpenChain主要關(guān)注于企業(yè)在使用開(kāi)源軟件方面的

許可證合規(guī)以及企業(yè)在產(chǎn)品發(fā)布時(shí)如何確保和證明自己已經(jīng)合規(guī)。正如

OpenChain標(biāo)準(zhǔn)中自己描述的：“關(guān)注點(diǎn)是合規(guī)計(jì)劃‘做什么’以及‘為什么要

做’，而不是‘如何做’、‘何時(shí)做’?！币虼耍琌penChain并不能給企業(yè)具體

的開(kāi)源治理指引。另外，OpenChain也沒(méi)有覆蓋安全漏洞等不可忽視的風(fēng)險(xiǎn)的應(yīng)

對(duì)。

綜上，目前企業(yè)急需一個(gè)可以指引企業(yè)開(kāi)源治理工作的標(biāo)準(zhǔn)，通過(guò)規(guī)范對(duì)開(kāi)

源項(xiàng)目（包括開(kāi)源軟件、開(kāi)源硬件、開(kāi)源數(shù)據(jù)等）的從引入到退出的全生命周期

中國(guó)電子工業(yè)標(biāo)準(zhǔn)化技術(shù)協(xié)會(huì)