2024年企業(yè)開源治理全景觀察報告

2024年中國企業(yè)

開源治理全景觀察第一部分概述2020年，

中國信息通信研究院制定標(biāo)準(zhǔn)《開源治理能力評價方法第

3

部分：成熟度模型》(Open

Source

Governance

Maturity

Model

，簡稱“OSGMM”)，確立了企業(yè)開源治

理能力框架

，規(guī)定了企業(yè)用戶在使用開源軟件時應(yīng)遵循的流程及規(guī)范，

以及企業(yè)開源治

理能力成熟度的評價方法

，有效幫助了眾多企業(yè)構(gòu)建和提升開源治理能力。為了解中國企業(yè)的開源風(fēng)險治理舉措和治理水平，

中國信息通信研究院依托金融行業(yè)開源技術(shù)應(yīng)用社區(qū)（FINOC）

、通信行業(yè)開源社區(qū)（ICTOSC）

、汽車行業(yè)開源社區(qū)等組織，通過問卷調(diào)查的形式針對多個行業(yè)開展了開源軟件治理能力成熟度調(diào)研，

以明晰開源治理的行業(yè)現(xiàn)狀以及未來的蓄力方向。OSGMM2.02024年中國企業(yè)開源治理全景觀察概

述a

1-1000a1000-10000a

1萬-10萬.10萬以上19%27%23%31%OSGMM2024報告深入分析了來自七大行業(yè)（包括金融、通信、汽車、能源、互聯(lián)網(wǎng)、軟件和信息服務(wù)業(yè)及制造業(yè)）共121家不同規(guī)模企業(yè)的開源治理活動匿

名數(shù)據(jù)，涉及的企業(yè)分布可參見圖1和圖2。此外，圖3展示了企業(yè)在開源軟件/組件方面的使用量級，圖4揭示了企業(yè)在本年度最為關(guān)注的開源風(fēng)險問題。9%30%16%16%15%4%27%40%10%23%9%24%31%36%u金融行業(yè)汽車行業(yè)軟件和信息服務(wù)業(yè)

制造行業(yè)u通信行業(yè)能源行業(yè)互聯(lián)網(wǎng)行業(yè)OSGMM2024參與者OSGMM2.02024年中國企業(yè)開源治理全景觀察

1-1000人

1000-10000人

10000-100000人

100000人以上管理風(fēng)險w合規(guī)和知識產(chǎn)權(quán)風(fēng)險圖3OSGMM參與企業(yè)開源軟件/組件使用數(shù)量級運維和技術(shù)風(fēng)險安全風(fēng)險圖4OSGMM參與企業(yè)最關(guān)注的開源風(fēng)險圖1OSGMM參與企業(yè)所處行業(yè)圖2OSGMM參與企業(yè)規(guī)模第二部分洞察OSGMM1.0整體框架由開源軟件應(yīng)用治理的3個能力要素和7個過程環(huán)節(jié)組成，包括：組織機構(gòu)、管理制度、風(fēng)險管理、軟件測評、開發(fā)測試、運維管理、持續(xù)跟

蹤、退出管理、存量軟件管理、第三方軟件管理等領(lǐng)域的40余項活動。為降低開源軟件應(yīng)用風(fēng)險

，

OSGMM活動可視為在企業(yè)開展開源軟件治理過程中所實施的控制措施，以預(yù)防、檢測、糾正或控制開源軟件使用所帶來的系列風(fēng)險。OSGMM活動級別代表了參與企業(yè)各項能力水準(zhǔn)，具有【基礎(chǔ)執(zhí)行能力】

被指定為“基礎(chǔ)級-第1級”，具有【統(tǒng)一組織規(guī)劃能力】

被指定為“增強級-第2級”，具

備【自動化的執(zhí)行能力】被指定為“先進級-第3級”。OSGMM框架OSGMM2.02024年中國企業(yè)開源治理全景觀察圖5OSGMM1.0模型OSGMM2024開源治理活動TOP10活動出現(xiàn)頻率活動描述100%制定開源軟件的引入、使用、維護、退出等方面的制度規(guī)定100%在引入開源軟件后，對開源漏洞、許可證信息進行持續(xù)跟蹤100%明確企業(yè)開源治理的目標(biāo)、原則、范圍和流程，為后續(xù)的開源工作提供指導(dǎo)100%成立全職/兼職開源管理團隊或辦公室，負責(zé)企業(yè)內(nèi)部的開源治理工作98%登記內(nèi)部所有存量軟件94%定期開展（一年2次及以上）開源相關(guān)培訓(xùn)93%通過合同義務(wù)確保軟件供應(yīng)商遵循企業(yè)的開源軟件治理要求90%建設(shè)開源管理平臺，輔助管理和統(tǒng)計開源軟件信息情況及風(fēng)險信息處置情況89%針對系統(tǒng)軟件需求編制安裝部署規(guī)范、使用操作手冊等相關(guān)配套文檔88%在引入開源軟件時，進行同類軟件對比與社區(qū)健康度評估工作下表列出了2024開源治理全景觀察數(shù)據(jù)池中觀察到次數(shù)最多的10項活動，

以下活動皆常見于成功的開源治理實踐中（增強級及以上）

。數(shù)據(jù)表明，如果組織正在制定自己的開源治理計劃

，應(yīng)考慮采取這些活動。OSGMM開源治理活動TOP10OSGMM2.02024年中國企業(yè)開源治理全景觀察Q:貴公司是否具備企業(yè)級開源軟件管理制度？l洞察：部分企業(yè)開源軟件管理主要依靠相關(guān)人員過往經(jīng)驗

，

針對重要開源軟件能夠形成配套管理制度

，

但未制定企業(yè)級的開源軟件流程制度規(guī)

范

，

未提出對開源軟件全生命周期中的風(fēng)險管理要求。l

超38%的被調(diào)研企業(yè)不具備企業(yè)級開源軟件管理制度。Q:是否有明確的開源軟件治理規(guī)劃(治理目標(biāo)、年度計劃等)？l洞察：部分企業(yè)對于開源軟件治理戰(zhàn)略重要性認識不足

，

開源治理缺乏客觀性和系統(tǒng)性

，

重度依賴過往經(jīng)驗

，

僅由事件觸發(fā)治理機制。l

超53%的被調(diào)研企業(yè)不具備明確的開源軟件治理規(guī)劃

（治理目標(biāo)、

年度計劃等）

。OSGMM2024-各領(lǐng)域關(guān)鍵活動實踐情況OSGMM2.02024年中國企業(yè)開源治理全景觀察組織機制管理制度Q:企業(yè)內(nèi)處理開源組件安全漏洞的方式有哪些？

（多選）l洞察：

根據(jù)安全漏洞風(fēng)險等級的不同

，企業(yè)處理開源組件安全漏洞的方式也有所不同；依靠內(nèi)部力量處理開源組件安全漏洞所需投入資源較多

，對運維人

員能力要求較高

，通常并非企業(yè)首選。l

約97%的被調(diào)研企業(yè)通過版本升級處理開源組件安全漏洞；

72%的被調(diào)研企業(yè)通過手動應(yīng)用補丁應(yīng)對安全漏洞；

27%的被調(diào)研企業(yè)視情況替換組件

或者刪除該組件

，約10%的企業(yè)不做處理。Q:在引入開源軟件時，

會進行哪些評測工作？

（多選）l洞察：

大部分企業(yè)在引入開源軟件時進行了軟件功能評估、

同類軟件對比

，但在項目活躍度評估、行業(yè)認可度和軟件質(zhì)量評估以及服務(wù)支持評估方面仍有

改進空間。l

98%的被調(diào)研企業(yè)在引入開源軟件時

，進行軟件功能評估以及同類軟件對比工作；53%的企業(yè)進行項目活躍度評估；

48%的企業(yè)進行行業(yè)認可度

評估及軟件質(zhì)量評估；約23%的企業(yè)會進行服務(wù)支持評估；

2%的企業(yè)不進行任何評估。OSGMM2024-各領(lǐng)域關(guān)鍵活動實踐情況OSGMM2.02024年中國企業(yè)開源治理全景觀察風(fēng)險管理軟件測評Q:與外部開源社區(qū)的交互狀態(tài)是？l洞察：

當(dāng)前我國大部分企業(yè)對于開源軟件還僅停留在使用層面

，未進行對外開源貢獻

，這與開源軟件在我國發(fā)展較晚

，我國企業(yè)對于開源共建共享的意識

不足等因素有關(guān)。l

約86%的被調(diào)研企業(yè)僅使用外部開源社區(qū)項目

，關(guān)注開源社區(qū)動態(tài)；

14%的被調(diào)研企業(yè)還會參與外部開源社區(qū)貢獻和建設(shè)

，與外部開源社區(qū)建立起良好

的溝通反饋機制。Q:開源軟件確定對應(yīng)負責(zé)管理部門的原則是？l洞察：企業(yè)屬性和內(nèi)部職責(zé)劃分的不同

，

導(dǎo)致企業(yè)開源軟件維護主體相關(guān)規(guī)則差異較大。l

45%的被調(diào)研企業(yè)秉持誰先引入誰負責(zé)的原則；

28%的被調(diào)研企業(yè)按部門職責(zé)進行劃分；

15%的企業(yè)誰使用誰負責(zé)；12%的企業(yè)由技術(shù)委

員會評估確定。OSGMM2024-各領(lǐng)域關(guān)鍵活動實踐情況OSGMM2.02024年中國企業(yè)開源治理全景觀察開發(fā)測試運維管理Q:在引入開源軟件后，

會對哪些信息進行持續(xù)跟蹤?

（多選）l洞察：開源軟件安全漏洞問題所帶來的負面影響更為直接

，

我國大部分企業(yè)明顯更重視開源軟件安全

，

并對開源漏洞信息和版本進行持續(xù)跟蹤。l

約100%的被調(diào)研企業(yè)在引入開源軟件后

，

對開源漏洞信息進行持續(xù)跟蹤；

78%的企業(yè)會進行開源許可證跟蹤；

75%的企業(yè)進行版本跟蹤；

21%的企業(yè)進行社區(qū)基本情況的跟蹤。Q:決定不再使用某種開源軟件，

對于軟件退出的依據(jù)是？

（多選）l洞察：我國企業(yè)對于開源軟件安全風(fēng)險問題已有較高程度認知。l

100%的被調(diào)研企業(yè)在面臨嚴重安全問題時進行軟件退出操作；

50%的被調(diào)研企業(yè)在面臨法律合規(guī)紅線時

，

進行軟件的退出管理；

48%的企

業(yè)當(dāng)開源軟件不滿足業(yè)務(wù)場景時會進行退出規(guī)劃；

24%的企業(yè)因開源軟件更新頻次過低或版本過老而進行退出規(guī)劃。OSGMM2024-各領(lǐng)域關(guān)鍵活動實踐情況OSGMM2.02024年中國企業(yè)開源治理全景觀察持續(xù)跟蹤退出管理Q:如何確保軟件供應(yīng)商遵循企業(yè)的開源軟件治理要求？

（多選）l洞察：我國企業(yè)對于第三方軟件管理的重視程度存在不足，

同時缺乏開源合規(guī)相關(guān)專業(yè)人員

，難以規(guī)范審查第三方軟件中專有代碼、開源代碼的交互方式

是否合規(guī)。l

超過80%的企業(yè)通過合同義務(wù)來規(guī)范軟件供應(yīng)商，

以確保其遵循企業(yè)的開源軟件治理要求；

23%的企業(yè)通過交付時檢查組件清單/分發(fā)說明確保供應(yīng)商

遵守要求；

8%的企業(yè)要求供應(yīng)商提供第三方檢測報告。Q:針對內(nèi)部所有存量開源軟件的管理措施是？l洞察：我國企業(yè)開源治理工作開展較晚

，

存量開源軟件量級較大

，

因此對于存量軟件的全量、

周期性管理存在一定困難。l

超過60%的企業(yè)僅在新增的安全事件

、

生態(tài)變化等外部因素觸發(fā)時針對存量開源軟件進行非周期檢查；約28%的企業(yè)對存量開源軟件的安全

合規(guī)性與依賴情況進行周期性分析檢查；12%的企業(yè)不針對存量開源軟件進行檢查。OSGMM2024-各領(lǐng)域關(guān)鍵活動實踐情況OSGMM2.02024年中國企業(yè)開源治理全景觀察存量管理第三方管理開源治理成熟度高水位線圖提供了基線

，

用于比較企業(yè)在

各項治理指標(biāo)中的實踐能力和水平。成熟度級別代表了參

與企業(yè)各項能力水準(zhǔn)

，具有基礎(chǔ)執(zhí)行能力被指定為

“第1

級”

，具有統(tǒng)一組織規(guī)劃的執(zhí)行能力被指定為

“第2級”

，

具備自動化的執(zhí)行能力被指定為“第3級”。水位線通常表示成熟度

，如3級的水位線高

，

2級的水位線

較低。如上圖所示

，所有參與本次調(diào)研的企業(yè)

，在

“管理

制度”、

“存量軟件管理”、

“開發(fā)測試”、

“軟件測評

”

等指標(biāo)下的能力較之于其他項下的能力稍強一些。

所有企業(yè)風(fēng)險管理軟件測評第三方軟件管理存量軟件管理退出管理垂直行業(yè)比較OSGMM2.02024年中國企業(yè)開源治理全景觀察圖6OSGMM所有參與企業(yè)各項實踐能力情況持續(xù)跟蹤

開發(fā)測試2.52.01.51.0組織機制運維管理管理制度0.503.0根據(jù)調(diào)研結(jié)果顯示

，

金融和通信行業(yè)在開源軟件治理方

面存在不同的側(cè)重點和成熟度水平

。

由于各自不同的特

性和需求

，

它們在開源軟件治理的側(cè)重點和成熟度方面

存在差異。l通信行業(yè)強調(diào)供應(yīng)鏈管理和第三方軟件管理。l金融行業(yè)則受到監(jiān)管指引和法規(guī)要求的推動

，

更注重

安全性和數(shù)據(jù)保護。通信行業(yè)通信行業(yè)通常具備更加完善的供應(yīng)鏈管理措施

。

通信行

業(yè)中涉及到硬件設(shè)備和網(wǎng)絡(luò)基礎(chǔ)設(shè)施等復(fù)雜組件的供應(yīng)

鏈

，

促使通信企業(yè)在開源軟件治理中更加重視第三方軟

件管理。

這使得通信行業(yè)在第三方軟件的評估

、

審查和

合規(guī)方面表現(xiàn)出更高的成熟度。2.52.01.51.00.50持續(xù)跟蹤

金融行業(yè)

通信行業(yè)風(fēng)險管理軟件測評第三方軟件管理存量軟件管理退出管理運維管理圖7OSGMM金融和通信行業(yè)參與企業(yè)各項實踐能力情況金融行業(yè)和通信行業(yè)OSGMM2.02024年中國企業(yè)開源治理全景觀察組織機制管理制度開發(fā)測試3.0金融行業(yè)l監(jiān)管指引和法規(guī)要求金融行業(yè)受到監(jiān)管機構(gòu)的嚴格監(jiān)管和法規(guī)要求

。

例如

，

人民銀行發(fā)布的《關(guān)于規(guī)范金融業(yè)開源技術(shù)應(yīng)用與發(fā)展

的意見》

為金融企業(yè)提供了具體的指導(dǎo)和規(guī)范

，

推動金

融業(yè)開展開源治理活動

。

這使得金融行業(yè)在風(fēng)險管理

、

軟件測評和退出管理等方面處于領(lǐng)先地位。l安全性要求和數(shù)據(jù)保護金融行業(yè)對安全性和數(shù)據(jù)保護通常具有更高的要求

。

金

融業(yè)務(wù)涉及敏感客戶數(shù)據(jù)和金融交易信息

，

故對于開源

軟件的安全性和合規(guī)性關(guān)注度更高

。

基于此

，

金融行業(yè)

在開源軟件治理中可能更加注重安全漏洞管理

、

漏洞修

復(fù)和持續(xù)監(jiān)測。能力維度

平均值

中位數(shù)

企業(yè)數(shù)值圖8金融行業(yè)部分企業(yè)OSGMM能力（圓圈大小代表企業(yè)規(guī)模）金融行業(yè)和通信行業(yè)OSGMM2.02024年中國企業(yè)開源治理全景觀察基礎(chǔ)級

增強級

先進級過程維度汽車、

能源和制造行業(yè)是三類存在上下游產(chǎn)業(yè)供應(yīng)關(guān)系的行

業(yè)

，但在開源軟件治理方面?zhèn)戎攸c各異

，這可以部分歸因于

它們各自不同的特性和需求

，

以及與供應(yīng)鏈、

軟件開發(fā)和行

業(yè)規(guī)范等相關(guān)因素的關(guān)系。l汽車行業(yè)在管理制度和開發(fā)測試方面表現(xiàn)較優(yōu)。l能源行業(yè)在第三方軟件管理和運維管理方面較為成熟。l制造行業(yè)的開源軟件治理能力整體相對較弱。能源行業(yè)第三方軟件管理和運維管理：能源行業(yè)與第三方軟件的關(guān)系

密切

，

因此在第三方軟件管理和運維管理方面表現(xiàn)相對成熟。

能源行業(yè)通常涉及復(fù)雜的系統(tǒng)和設(shè)備

，

并依賴于多個供應(yīng)商

和合作伙伴提供軟件解決方案。

因此

，

為確保系統(tǒng)的穩(wěn)定性

和安全性

，對第三方軟件的管理和運維是關(guān)鍵。運維管理圖9OSGMM汽車、能源和制造行業(yè)參與企業(yè)各項實踐能力情況汽車行業(yè)、能源行業(yè)和制造行業(yè)存量軟件管理退出管理OSGMM2.02024年中國企業(yè)開源治理全景觀察風(fēng)險管理軟件測評

汽車行業(yè)

能源行業(yè)

制造行業(yè)第三方軟件管理組織機制持續(xù)跟蹤管理制度開發(fā)測試

0

2.51.02.01.53.00.5汽車行業(yè)汽車行業(yè)通常在“管理制度

”方面表現(xiàn)出較高的成熟度。

由

于汽車行業(yè)的復(fù)雜性和生產(chǎn)流程的高度規(guī)范化

，汽車制造商

和供應(yīng)商通常都具有嚴格的管理制度

，包括對開源軟件的審

查、評估和合規(guī)性要求。汽車行業(yè)對軟件的“開發(fā)和測試”有較高的要求。汽車中的

軟件往往更注重安全和功能性要求

，例如車輛控制系統(tǒng)和駕

駛輔助系統(tǒng)。

因此

，汽車行業(yè)在開源軟件的開發(fā)測試方面可

能投入更多資源

，

以確保軟件質(zhì)量和安全性。制造行業(yè)制造行業(yè)整體而言

，在開源軟件治理方面的能力相對較弱。

盡管制造行業(yè)也涉及供應(yīng)鏈和第三方軟件

，但沒有達到汽車

行業(yè)和能源行業(yè)對開源軟件的安全合規(guī)要求程度。這可能與

制造行業(yè)注重自主研發(fā)和專有技術(shù)有關(guān)

，故對開源軟件的使

用相對較少或較為有限?；A(chǔ)級

增強級

先進級能力維度。

平均值

e中位值

o

企業(yè)值圖10汽車行業(yè)部分企業(yè)OSGMM能力

（圓圈大小代表企業(yè)規(guī)模）汽車行業(yè)、能源行業(yè)和制造行業(yè)OSGMM2.02024年中國企業(yè)開源治理全景觀察過程維度軟件和信息服務(wù)行業(yè)與互聯(lián)網(wǎng)行業(yè)的差異可以歸因于它們各自不

同的特性和運營模式。l軟件和信息服務(wù)行業(yè)相對于互聯(lián)網(wǎng)行業(yè)在開源軟件治理能力

成熟度方面表現(xiàn)較高。l軟件和信息服務(wù)行業(yè)更注重存量軟件管理、

組織機制、

軟件

測評和開發(fā)測試等方面的實踐活動?；ヂ?lián)網(wǎng)行業(yè)l業(yè)務(wù)快速迭代：

互聯(lián)網(wǎng)行業(yè)特點是業(yè)務(wù)快速迭代和創(chuàng)新。這

意味著互聯(lián)網(wǎng)公司需要快速開發(fā)和部署新功能/服務(wù)

，

以滿

足市場需求。

這導(dǎo)致開源軟件治理方面投入相對較少

，

因為

更多的關(guān)注點可能集中在業(yè)務(wù)創(chuàng)新和快速交付上

，

而不是嚴

格的治理流程。l開源軟件使用量龐大：

由于互聯(lián)網(wǎng)公司的業(yè)務(wù)規(guī)模和復(fù)雜性

，

它們需要依賴廣泛的開源軟件生態(tài)系統(tǒng)。然而

，確保大量開

源軟件的合規(guī)性和安全性可能是一個挑戰(zhàn)

，特別是在開源軟

件快速發(fā)展和迭代的環(huán)境下。

軟件行業(yè)

互聯(lián)網(wǎng)行業(yè)風(fēng)險管理軟件測評第三方軟件管理存量軟件管理退出管理軟件行業(yè)和互聯(lián)網(wǎng)行業(yè)OSGMM2.02024年中國企業(yè)開源治理全景觀察圖11OSGMM軟件和互聯(lián)網(wǎng)行業(yè)參與企業(yè)各項實踐能力情況組織機制運維管理持續(xù)跟蹤管理制度開發(fā)測試2.500.51.01.52.03.0軟件和信息服務(wù)行業(yè)l存量軟件管理：

軟件和信息服務(wù)行業(yè)對于存量軟件的管理能力

較高。

這一行業(yè)通常積累了大量的軟件資產(chǎn)和技術(shù)棧

，

對存量

軟件的規(guī)劃、

評估和管理具備較高的成熟度。

由于軟件和信息

服務(wù)公司的業(yè)務(wù)主要依賴于軟件開發(fā)和交付

，

因此存量軟件管

理往往是軟件行業(yè)重點關(guān)注的領(lǐng)域。l組織機制：

軟件和信息服務(wù)行業(yè)通常具備完善的組織機制來支

持開源軟件治理。

這些公司往往有明確的開源軟件治理團隊或

部門

，

負責(zé)制定治理策略、

管理流程和規(guī)范

，

以確保軟件的合

規(guī)性和安全性。l軟件測評和開發(fā)測試：

軟件和信息服務(wù)行業(yè)在軟件測評和開發(fā)

測試方面表現(xiàn)出較高的成熟度。

由于軟件和信息服務(wù)公司的核

心業(yè)務(wù)是軟件開發(fā)和交付

，

因此它們通常投入大量資源來進行

軟件測試、質(zhì)量保證和漏洞修復(fù)等方面的工作。。

平均值

o中位值

o

企業(yè)值圖12軟件和信息服務(wù)行業(yè)部分企業(yè)OSGMM能力（圓圈大小代表企業(yè)規(guī)模）軟件行業(yè)和互聯(lián)網(wǎng)行業(yè)OSGMM2.02024年中國企業(yè)開源治理全景觀察基礎(chǔ)級

增強級

先進級能力維度過程維度根據(jù)調(diào)研結(jié)果

，被調(diào)研企業(yè)在開源治理能力成熟度各指標(biāo)項下

，待提升能力如下：在組織機制方面

，部分企業(yè)在開源治理戰(zhàn)略、人力投入方面有所欠缺。在參與調(diào)研的企業(yè)中

，約45%的企業(yè)缺乏專門負責(zé)開源戰(zhàn)略和

治理的組織。另外

，超過80%的企業(yè)無全職人力資源分配給開

源戰(zhàn)略和治理工作。這些結(jié)果表明

，我國企業(yè)開源軟件治理機制存在著一定程度的缺失和不完善。在管理制度方面

，部分企業(yè)開源軟件管控力度有待提高。超過38%

的被調(diào)研企業(yè)在開源軟件方面沒有進行任何事前管控

，項目組可

以按需自行使用開源軟件。此外

，超過60%的被調(diào)研企業(yè)沒有進行

周期性的制度評審

，也未根據(jù)實際情況持續(xù)優(yōu)化制度內(nèi)容。這些結(jié)果表明

，這些企業(yè)的開源軟件管理制度存在較大的缺陷

，使用和評估

開源軟件缺乏規(guī)范性和持續(xù)性

，可能導(dǎo)致不可控風(fēng)險加劇。是否設(shè)置明確的

開源軟件治理

規(guī)劃/制度？待提升領(lǐng)域OSGMM2.02024年中國企業(yè)開源治理全景觀察在風(fēng)險管理方面

，大部分企業(yè)在風(fēng)險管理工具、合規(guī)風(fēng)險管理等方面能力

存在不足。根據(jù)調(diào)研結(jié)果

，超過57%的企業(yè)缺乏軟件成分分析（SCA）

工具

，且尚未建立SBOM（軟件物料清單）

的生成與管理機制。與此同

時

，開源合規(guī)管理機制相對薄弱

，超過76%的企業(yè)允許引入AGPL、GPL類許可證

，卻未建立嚴格的開源合規(guī)評估流程。上述缺陷可能加劇潛在的法律和合規(guī)風(fēng)險

，并會對企業(yè)的知識產(chǎn)權(quán)和商業(yè)模式產(chǎn)生不利影響。在軟件測評方面

，部分企業(yè)需加強對開源軟件各個版本的評審和管控。超

過63%的企業(yè)缺乏統(tǒng)一的開源軟件引入評估模型。此外

，超過70%

的企業(yè)僅對軟件的大版本進行管控

，對小版本的使用采用相對簡化的引

入評估流程

，且主要關(guān)注安全漏洞情況。缺乏企業(yè)級統(tǒng)一的評估模型和對各個版本的全面管控可能導(dǎo)致潛在的安全風(fēng)險和合規(guī)問題。針對!開源軟件設(shè)置明確的風(fēng)險紅線待提升領(lǐng)域OSGMM2.02024年中國企業(yè)開源治理全景觀察從存量管理層面來看

，大部分企業(yè)未形成清晰的存量軟件治理規(guī)劃。超

過65%的企業(yè)缺乏存量開源軟件治理規(guī)劃

，包括年度目標(biāo)、計劃等。

此外

，超過60%的企業(yè)僅在新增的安全事件、生態(tài)變化等外部因素觸發(fā)

時針對存量開源軟件進行非周期檢查

，而未針對開源許可證、開源社區(qū)健康度等進行持續(xù)跟蹤。上述情況將導(dǎo)致潛在的安全風(fēng)險和合規(guī)問題。在第三方軟件管理方面

，企業(yè)對于第三方軟件的管理存在一定不足。超

過80%的企業(yè)通過合同義務(wù)來規(guī)范軟件供應(yīng)商

，以確保其遵循企業(yè)的開

源軟件治理要求。然而

，較少公司通過交付時檢查組件清單/分發(fā)

說明、

要求供應(yīng)商提供第三方檢測報告等方式來確保軟件的合規(guī)

性。雖然通過合同規(guī)范能夠在一定程度上轉(zhuǎn)嫁第三方違規(guī)使用開源軟件的風(fēng)險

，但缺乏對軟件供應(yīng)商交付物的實際檢查和驗證

，不足以規(guī)避供應(yīng)商軟件中的安全合規(guī)風(fēng)險。針對存量軟件/第三方

軟件設(shè)置清晰的治理規(guī)劃？待提升領(lǐng)域OSGMM2.02024年中國企業(yè)開源治理全景觀察無論貴公司是正在制定開源軟件治理計劃

，還是已經(jīng)開始維護成熟的開源

軟件治理體系

，都應(yīng)該已經(jīng)實施或正在考慮實施以下關(guān)鍵舉措：

構(gòu)建開源治理的專業(yè)化團隊

，

團隊成員應(yīng)包括在開源軟件使用全生命周期中所涉及的來自于架構(gòu)、開發(fā)、運維、安全、法務(wù)等部門的負責(zé)人員。

將開源治理要求嵌入到現(xiàn)有規(guī)章、辦法、手冊或信息系統(tǒng)中的流程制度。

建立一套適合于企業(yè)業(yè)務(wù)和管理特點的開源軟件評估評價方法

，用于指導(dǎo)

開源軟件的引入和選型。

構(gòu)建開源治理支撐平臺。用于支撐開源軟件治理的平臺系統(tǒng)

，是整個開源

治理工作高效運行的技術(shù)保障。

在使用開源軟件過程中

，必須嚴格遵從開源軟件許可證的規(guī)定

，避免開源

法律風(fēng)險；

同時企業(yè)需通過內(nèi)外部運維支撐力量快速、及時地修復(fù)開源軟

件漏洞

，降低產(chǎn)品被攻擊的可能性。

如果貴公司還未制定開源軟件治理計劃

，您可以采用可信開源治理能力

成熟度評估（OSGMM）

對公司當(dāng)前開源軟件治理水平進行評估、確

定貴公司想要實現(xiàn)的狀態(tài)和目標(biāo)

，并明晰二者之前的差距。最后

，將

全景

觀察

結(jié)果作為基線來考量同行開展的主要開源治理活動

，并據(jù)此制定貴公

司的開源軟件治理能力構(gòu)建計劃。OSGMM評估意義何在？1.

規(guī)范企業(yè)合理應(yīng)用開源技術(shù)

，提高企業(yè)應(yīng)用水平和自主可控能力

，促進開源技術(shù)健康可

持續(xù)發(fā)展。2.

有效提升企業(yè)開源風(fēng)險控制能力

，針對開源風(fēng)險從被動應(yīng)對到主動防御

，更有效的控制

開源風(fēng)險。3.

推動企業(yè)開源治理流程落地

，通過一系列管理規(guī)程及平臺建設(shè)落地開源軟件管理機制。結(jié)論和建議OSGMM2.02024年中國企業(yè)開源治理全景觀察第三部分可信開源治理服務(wù)Tencent騰訊開源治理公共知識庫開源治理公共知識庫提供開源治理的基礎(chǔ)知識和指南，包括開源治理體系、許可證類型解釋、開源軟件安全性評估方法等，幫助企業(yè)建立起對開源軟件的全面理解和認知。企業(yè)級開源治理標(biāo)準(zhǔn)為企業(yè)提供一套規(guī)范和流程，指導(dǎo)和規(guī)范開源軟件的使用和管理。企業(yè)級開源治理賦能服務(wù)為企業(yè)提供定制化的解決方案和咨詢服務(wù)，幫助企業(yè)根據(jù)自身需求和實際情況建立和完善開源治理體系?？尚砰_源治理“三位一體”服務(wù)是一個綜合性的解決方案，涵蓋了企業(yè)級開源治理標(biāo)準(zhǔn)、企業(yè)級開源治理咨詢服務(wù)和開源治理公共知識庫，通過閉環(huán)機制，企業(yè)能夠不斷優(yōu)化和完善自身的開源治理體系，提高開源軟件的使用效率和安全性，同時也為整個行業(yè)的開源治理能力提升做出貢獻。中國信通院可信開源治理“三位一體”服務(wù)OSGMM2.02024年中國企業(yè)開源治理全景觀察服務(wù)客戶（部分）確保咨詢服務(wù)的

有效性和可行性持續(xù)優(yōu)化企業(yè)級

開源治理標(biāo)準(zhǔn)為知識庫提供最佳方法論收集和整理企業(yè)

的反饋和需求收集總結(jié)企業(yè)通

用的實踐經(jīng)驗提供基礎(chǔ)和參考n

適用對象：面向開源使用企業(yè)；n

使用范圍：適用于評估和提升企業(yè)在開源軟件治理方面的成熟度

，幫助企業(yè)了解當(dāng)前的治理狀況、識別存在的挑戰(zhàn)和問題

，并提供指導(dǎo)和建議來改進和加強開源軟件治理能力。OSGMM-《開源軟件治理能力成熟度模型》OSGMM2.02024年中國企業(yè)開源治理全景觀察評估通過情況（部分）圖：“企業(yè)開源治理能力成熟度評估”框架基礎(chǔ)級

增強級

先進級能力維度開源治理成熟度水位線圖和開源治理成熟度象限圖為企業(yè)提供了有價值的工具來評估和比較其在開源治理方面的實踐能力和水平。水位線圖通過設(shè)定基線，

幫助企業(yè)比較其

在各項治理指標(biāo)上的表現(xiàn)，并確定相對成熟度水平。而象限圖則通過可視化的方式，清晰地展示了企業(yè)在行業(yè)內(nèi)的開源治理水平，幫助企業(yè)了解自身的位置和相對優(yōu)劣。2.52.01.51.00.50持續(xù)跟蹤第三方管理存量管理退出管理風(fēng)險管理軟件測評開發(fā)測試管理OSGMM評估增值服務(wù)-成熟度水位線圖/象限圖

平均值

中位值

企業(yè)值成熟度象限圖：調(diào)研企業(yè)開源治理能力在行業(yè)內(nèi)排位情況OSGMM2.02024年中國企業(yè)開源治理全景觀察成熟度水位線圖：調(diào)研企業(yè)在各項開源治理實踐中達到的平均高位標(biāo)記

A企業(yè)運維管理

所有企業(yè)組織機制管理制度過程維度3.0通過OSGMM評估實現(xiàn)開源治理工作從松散管理

，到統(tǒng)一管控

，再到統(tǒng)一治

理的能力跨越中國聯(lián)通軟件研究院于2015年7月成立

，經(jīng)歷了7年多的時間

，從CB1.0到CB2.0上線

，從啟動云化架構(gòu)到全面云原生架構(gòu)

，持續(xù)構(gòu)建平臺化、生態(tài)化、全棧云平臺

——聯(lián)通云

，使用開源、商業(yè)及自主研發(fā)的軟件300多種

，開源組件20000多個

，

支撐中國聯(lián)通1300多個生產(chǎn)業(yè)務(wù)系統(tǒng)。自2021年

，

中國聯(lián)通軟件研究院啟動了開源治理工作

，并在聯(lián)通軟研院內(nèi)部建立開源治理組織保障機制

，包括決策團隊、專家團隊、運營團隊、專業(yè)團隊、法務(wù)團

隊及安全團隊

，為開源軟件治理工作奠定基礎(chǔ)。由于中國聯(lián)通軟件研究院在開源軟件治理方面

，起步較晚

，治理工作還不成熟。2022年9月

，中國聯(lián)通軟件研究院參與OSGMM評估工作。該評估幫助軟研院梳

理和整合了其在開源治理相關(guān)資源和機制

，并幫助其實現(xiàn)了開源治理工作從松散管

理

，到統(tǒng)一管控

，再到統(tǒng)一治理的能力跨越

，規(guī)范了軟研院各業(yè)務(wù)側(cè)安全合規(guī)使用開源軟件

，降低了使用開源軟件帶來的技術(shù)風(fēng)險及運維風(fēng)險。

同時開源治理工作受

到院領(lǐng)導(dǎo)及集團領(lǐng)導(dǎo)的高度重視

，加快推動了開源治理工作從管理、管控到向治理

階段邁進。OSGMM評估意義何在？1.

規(guī)范企業(yè)合理應(yīng)用開源技術(shù)

，提高企業(yè)應(yīng)用水平和自主可控能力

，促進開源技術(shù)健康可

持續(xù)發(fā)展。2.

有效提升企業(yè)開源風(fēng)險控制能力

，針對開源風(fēng)險從被動應(yīng)對到主動防御

，更有效的控制

開源風(fēng)險。3.

推動企業(yè)開源治理流程落地

，通過一系列管理規(guī)程及平臺建設(shè)落地開源軟件管理機制。OSGMM評估案例OSGMM2.02024年中國企業(yè)開源治理全景觀察企業(yè)咨詢訂閱服務(wù)

評估體系開源通識預(yù)評估

+

正式評估差距分析生態(tài)建設(shè)培訓(xùn)診斷咨詢訂閱

評估通過項目咨詢等形式為企業(yè)提供關(guān)于開源技術(shù)、策略、合規(guī)性和最佳實踐的專業(yè)建議。使用開源擁抱開源