1、2023年中国企业开源治理全景观察第一部分概 述3概 述2020年,中国信息通信研究院制定标准开源软件治理能力评价方法 第 3 部分:成熟度模型,确立了企业开源软件治理能力框架,规定了开源用户企业在使用开源软件时应遵循的流程及规范,以及企业开源软件治理能力成熟度的评价方法,有效帮助了众多企业构建和提升开源软件治理能力。为了解中国企业的开源风险治理举措和治理水平,中国信息通信研究院依托金融行业开源技术应用社区(FINOC)、通信行业开源社区(ICTOSC)、汽车行业开源社区等组织,通过问卷调查的形式针对七大行业的105家企业开展了开源软件治理能力成熟度调研,以明晰开源治理的行业现状以及未来的蓄力
2、方向。4调研参与者2023年中国企业开源治理全景观察共研究了来自不同行业的105家企业的开源软件治理能力数据,包括金融行业、通信行业、汽车行业、能源行业、软件和信息服务业、互联网行业和制造行业不同规模的企业。28%15%10%4%20%14%9%金融行业通信行业汽车行业能源行业软件和信息服务业互联网行业制造行业40%15%10%35%1-100人100-500人500-5000人5000人以上47%23%18%12%100-10001000-100001万-10万10万以上40%15%35%10%运维和技术风险管理风险安全风险合规和知识产权风险图1 调研参与企业所处行业图2 调研参与企业规模图
3、3 调研参与企业开源软件使用数量级图4 调研参与企业关注的开源风险5开源治理全景观察框架2023中国企业开源治理全景观察整体调研框架由开源软件治理的7个过程环节和3个能力要素组成,包括:组织机构、管理制度、风险管理、软件测评、开发测试、运维管理、持续跟踪、退出管理、存量软件管理、第三方软件管理等领域的40余项活动。开源治理活动级别代表了参与企业各项能力水平,具有【基础执行能力】被指定为“基础级-第1级”,具有【统一组织规划能力】被指定为“增强级-第2级”,具备【自动化的执行能力】被指定为“先进级-第3级”。图5 OSGMM模型6术语术语表开源开放一类技术或一种产品的源代码,源数据,源资产,可以
4、是各行业的技术或产品,其范畴涵盖文化、产业、法律、技术等多个社会维度。开源软件源代码免费向公众开放,任何团体或个人都可以在其许可证的规定下对其进行使用、复制、传播及修改,并可以将该修改形成的软件的衍生版本再发布。开放软件受适用版权法的保护,使用时应遵循其许可证的各项条件。开源许可证开源软件的版权持有人通过该类许可证,授予用户可以学习、使用、修改开源软件,并向任何人或为任何目的分发开源软件的权利。系统软件能够对硬件资源进行调度和管理、为应用软件提供运行支撑的软件。存量管理对企业开展开源治理工作前已引入企业内部的开源软件进行管理。第三方软件管理通过管理措施确保第三方软件供应商遵循企业的开源代码安全
5、合规要求。第二部分洞 察82023中国企业开源治理活动TOP10下表列出了2023中国企业开源治理全景观察数据池中观察到次数最多的10项活动,以下活动皆常见于非常成功的开源治理实践中。数据表明,如果组织正在制定自己的开源治理计划,应考虑采取这些活动。2023中国企业开源治理活动 TOP10活动出现频率活动描述91%在面临安全问题时及时评估,并有规划进行软件退出操作。88%通过合同义务确保软件供应商遵循企业的开源软件治理要求88%在引入开源软件后,对开源漏洞信息进行持续跟踪87%通过版本升级处理开源组件安全漏洞85%登记内部所有存量软件82%定期开展(一年2次及以上)开源相关培训82%制定企业级
6、/部门级新技术及开源软件管理相关制度和流程79%建设开源管理平台,辅助管理和统计开源软件信息情况及风险信息处置情况77%针对系统软件需求编制安装部署规范、使用操作手册等相关配套文档75%在引入开源软件时,进行软件功能评估以及同类软件对比工作各领域关键活动实践情况9Q:是否有明确的开源软件治理规划(治理目标、年度计划等)?洞察:部分企业对于开源软件治理战略重要性认识不足,开源治理缺乏客观性和系统性,重度依赖过往经验,仅由事件触发治理机制。超60%的被调研企业不具备明确的开源软件治理规划(治理目标、年度计划等)。组织机制Q:贵公司是否具备企业级开源软件管理制度?洞察:部分企业开源软件管理主要依靠相
7、关人员过往经验,针对重要开源软件能够形成配套管理制度,但未制定企业级的开源软件流程制度规范,未提出对开源软件全生命周期中的风险管理要求。超40%的被调研企业不具备企业级开源软件管理制度。管理制度各领域关键活动实践情况10Q:企业内处理开源组件安全漏洞的方式有哪些?(多选)洞察:根据安全漏洞风险等级的不同,企业处理开源组件安全漏洞的方式也有所不同;依靠内部力量处理开源组件安全漏洞所需投入资源较多,对运维人员能力要求较高,通常并非企业首选。约87%的被调研企业通过版本升级处理开源组件安全漏洞;72%的被调研企业通过手动应用补丁应对安全漏洞;77%的被调研企业替换组件或者删除该组件,约10%的企业不
8、做处理。风险管理Q:在引入开源软件时,会进行哪些评测工作?(多选)洞察:大部分企业在引入开源软件时进行了软件功能评估、同类软件对比、项目活跃度评估以及行业认可度和软件质量评估,但在服务支持评估方面仍有改进空间。75%的被调研企业在引入开源软件时,进行软件功能评估以及同类软件对比工作;63%的企业进行项目活跃度评估;60%的企业进行行业认可度评估及软件质量评估;约36%的企业会进行服务支持评估;2%的企业不进行任何评估。软件测评各领域关键活动实践情况11Q:与外部开源社区的交互状态是?洞察:当前我国大部分企业对于开源软件还仅停留在使用层面,未进行对外开源贡献,这与开源软件在我国发展较晚,我国企业
9、对于开源共建共享的意识不足等因素有关。约66%的被调研企业仅使用外部开源社区项目,关注开源社区动态;34%的被调研企业还会参与外部开源社区贡献和建设,与外部开源社区建立起良好的沟通反馈机制。开发测试Q:开源软件确定对应负责管理部门的原则是?洞察:企业属性和内部职责划分的不同,导致企业开源软件维护主体相关规则差异较大。25%的被调研企业秉持谁先引入谁负责的原则;25%的被调研企业按部门职责进行划分;28%的企业谁使用谁负责;22%的企业由技术委员会评估确定。运维管理各领域关键活动实践情况12Q:在引入开源软件后,会对哪些信息进行持续跟踪?(多选)洞察:开源软件安全漏洞问题所带来的负面影响更为直接
10、,我国大部分企业明显更重视开源软件安全,并对开源漏洞信息和版本进行持续跟踪。约88%的被调研企业在引入开源软件后,对开源漏洞信息进行持续跟踪;58%的企业会进行开源许可证跟踪;60%的企业进行版本跟踪;41%的企业进行社区基本情况的跟踪;6%的企业不跟踪。持续跟踪Q:决定不再使用某种开源软件,对于软件退出的依据是?(多选)洞察:我国企业对于开源软件安全风险和合规风险问题已有较高程度认知。91%的被调研企业在面临严重安全问题时进行软件退出操作;70%的被调研企业在面临法律合规红线时,进行软件的退出管理;64%的企业当开源软件不满足业务场景时会进行退出规划;50%的企业因开源软件更新频次过低或版本
11、过老而进行退出规划。退出管理各领域关键活动实践情况13Q:针对内部所有存量开源软件的管理措施是?洞察:我国企业开源治理工作开展较晚,存量开源软件量级较大,因此对于存量软件的全量、周期性管理存在一定困难。超过70%的企业仅在新增的安全事件、生态变化等外部因素触发时针对存量开源软件进行非周期检查;约20%的企业对存量开源软件的安全合规性与依赖情况进行周期性分析检查;10%的企业不针对存量开源软件进行检查。存量管理Q:如何确保软件供应商遵循企业的开源软件治理要求?(多选)洞察:我国企业对于第三方软件管理的重视程度存在不足,同时缺乏开源合规相关专业人员,难以规范审查第三方软件中专有代码、开源代码的交互
12、方式是否合规。超过80%的企业通过合同义务来规范软件供应商,以确保其遵循企业的开源软件治理要求;40%的企业通过交付时检查组件清单/分发说明确保供应商遵守要求;27%的企业要求供应商提供第三方检测报告。第三方管理图6 所有参与企业各项开源治理能力关注度情况垂直行业比较开源治理成熟度高水位线图提供了基线,用于比较企业对各项治理指标的关注度(主要指企业期望达到的能力水平)。成熟度级别代表了调研参与企业各项能力的关注度水 平,具有基础执行能力被指定为“第1级”,具有统一组织规划的执行能力被指定为“第2级”,具备自动化的执行能力被指定为“第3级”。水位线通常表示成熟度,如3级的水位线高,2级的水位线较
13、低。如上图所示,所有参与本次调研的企业,在“管理制度”、“存量软件管理”、“开发测试”、“软件测评”等指标下的能力较之于其他项下的能力稍强一些。14组织机制管理制度风险管理软件测评开发测试运维管理持续跟踪退出管理存量软件管理第三方软件管理所有企业2.003.02.51.51.00.5金融行业和通信行业根据调研结果显示,金融和通信行业在开源软件治理方面存在不同的侧重点和成熟度水平。由于各自不同的特性和需求,它们在开源软件治理的侧重点和成熟度方面存在差异。通信行业强调供应链管理和第三方软件管理。金融行业则受到监管指引和法规要求的推动,更注重风险管理,确保安全合规。通信行业通信行业通常更关注完善的供
14、应链管理措施。通信行业中涉及到硬件设备和网络基础设施的“软硬协同”,供应链相对复杂,促使通信企业在开源软件治理中更加重视第三方软件管理。这使得通信行业在第三方软件的评估、审查和合规方面表现出更高的成熟度。图7 金融和通信行业参与企业各项开源治理能力关注度情况15组织机制管理制度风险管理软件测评开发测试运维管理持续跟踪退出管理存量软件管理第三方软件管理金融行业通信行业00.51.01.52.02.53.0金融行业和通信行业金融行业监管指引和法规要求金融行业受到监管机构的严格监管和法规要求。例如,人民银行发布的关于规范金融业开源技术应用与发展的意见为金融企业提供了具体的指导和规范,推动金融业开展开
15、源治理活动。这使得金融行业在风险管理、软件测评和退出管理等方面投入更多关注度。安全性要求和数据保护金融行业对安全性和数据保护通常具有更高的要求。金融业务涉及敏感客户数据和金融交易信息,故对于开源软件的安全性和合规性关注度更高。基于此,金融行业在开源软件治理中可能更加注重安全漏洞管理、漏洞修复和持续监测。16过程维度能力维度图8 金融行业部分企业开源治理能力关注度情况(圆圈大小代表企业规模)平均值中位数企业数值基础级增强级先进级汽车行业、能源行业和制造行业图9 汽车、能源和制造行业参与企业各项开源治理能力关注度情况17组织机制管理制度风险管理软件测评开发测试运维管理持续跟踪退出管理存量软件管理第
16、三方软件管理汽车行业能源行业传统制造行业00.51.01.52.02.53.0汽车、能源和传统制造行业是三类存在上下游产业供应关系的行业,但在开源软件治理方面侧重点各异,这可以部分归因于它们各自不同的特性和需求,以及与供应链、软件开发和行业规范等相关因素的关系。汽车行业在管理制度和开发测试方面关注度更高。能源行业在第三方软件管理和运维管理方面投入更多。制造行业的开源软件治理能力关注度整体较低。能源行业第三方软件管理和运维管理:能源行业与第三方软件的关系密切,因此在第三方软件管理和运维管理方面表现出较高关注度。能源行业通常涉及复杂的系统和设备,并依赖于多个供应商和合作伙伴提供软件解决方案。因此,
17、为确保系统的稳定性和安全性,对第三方软件的管理和运维是关键。汽车行业、能源行业和制造行业汽车行业汽车行业在“管理制度”方面更加关注。由于汽车行业的复杂性和生产流程的高度规范化,汽车制造商和供应商通常都具有严格的管理制度,包括对开源软件的审查、评估和合规性要求。汽车行业对软件的“开发和测试”有较高的要求。汽车中的软件往往更注重安全和功能性要求,例如车辆控制系统和驾驶辅助系统。因此,汽车行业在开源软件的开发测试方面可能投入更多资源,以确保软件质量和安全性。传统制造行业传统制造行业整体而言,在开源软件治理方面的要求相对较低。尽管制造行业也涉及供应链和第三方软件,但没有达到汽车行业和能源行业对开源软件
18、的安全合规要求程度。这可能与传统制造行业注重自主研发和专有技术有关,故对开源软件的使用相对较少或较为有限。18过程维度能力维度图10 汽车行业部分企业开源治理能力关注度情况(圆圈大小代表企业规模)平均值中位值企业值基础级增强级先进级软件行业和互联网行业图11 软件和互联网行业参与企业各项开源治理能力关注度情况19组织机制管理制度风险管理软件测评开发测试运维管理持续跟踪退出管理存量软件管理第三方软件管理软件行业互联网行业00.51.01.52.02.53.0软件和信息服务行业与互联网行业的差异可以归因于它们各自不同的特性和运营模式。软件和信息服务行业更注重存量软件管理、组织机制、软件测评和开发测
19、试等方面的实践活动,相对于互联网行业在开源软件治理能力成熟度方面关注度更高。互联网行业业务快速迭代:互联网行业特点是业务快速迭代和创新。这意味着互联网公司需要快速开发和部署新功能/服务,以满足市场需求。这导致开源软件治理方面投入相对较少,因为更多的关注点可能集中在业务创新和快速交付上,而不是严格的治理流程。开源软件使用量庞大:互联网行业通常使用大量开源软件来支撑业务。由于互联网公司的业务规模和复杂性,它们需要依赖广泛的开源软件生态系统。然而,确保大量开源软件的合规性和安全性可能是一个挑战,特别是在开源软件快速发展和迭代的环境下。软件行业和互联网行业软件和信息服务行业存量软件管理:软件和信息服务
20、行业对于存量软件的管理能力关注度较高。这一行业通常积累了大量的软件资产和技术栈,对存量软件的规划、评估和管理较为敏感。由于软件和信息服务公司的业务主要依赖于软件开发和交付,因此存量软件管理是软件行业重点关注的领域。组织机制:在面临海内外企业用户更加严格的政策下,软件和信息服务行业需要完善的组织机制来支持开源软件治理。这些公司更加注重组建明确的开源软件治理团队或部门,负责制定治理策略、管理流程和规范,以确保软件的合规性和安全性。软件测评和开发测试:软件和信息服务行业在软件测评和开发测试方面表现出较高的关注度。由于软件和信息服务公司的核心业务是软件开发和交付,因此它们通常投入大量资源来进行软件测试
21、、质量保证和漏洞修复等方面的工作。20过程维度能力维度图12 软件和信息服务行业部分企业开源治理能力关注度情况(圆圈大小代表企业规模)平均值中位值企业值基础级增强级先进级根据调研结果,被调研企业在开源治理能力成熟度各指标项下,待提升能力如下:在组织机制方面,部分企业在开源治理战略、人力投入方面有所欠缺。在参与调研的企业中,约35%的企业缺乏专门负责开源战略和治理的组织。另外,超过40%的企业无全职人力资源分配给开源战略和治理工作。这些结果表明,我国企业开源软件治理机制存在着一定程度的缺失和不完善。在管理制度方面,部分企业开源软件管控力度有待提高。超过30%的被调研企业在开源软件方面没有进行任何
22、事前管控,项目组可以按需自行使用开源软件。此外,超过40%的被调研企业没有进行周期性的制度评审,也未根据实际情况持续优化制度内容。这些结果表明,这些企业的开源软件管理制度存在较大的缺陷,使用和评估开源软件缺乏规范性和持续性,可能导致不可控风险加剧。待提升领域21是否设置明确的开源软件治理规划/制度?在风险管理方面,大部分企业在风险管理工具、合规风险管理等方面能力存在不足。根据调研结果,超过50%的企业缺乏软件成分分析(SCA)工具,且尚未建立SBOM(软件物料清单)的生成与管理机制。与此同时,开源合规管理机制相对薄弱,超过60%的企业允许引入AGPL、GPL类许可证,却未建立严格的开源合规评估
23、流程。上述缺陷可能加剧潜在的法律和合规风险,并会对企业的知识产权和商业模式产生不利影响。在软件测评方面,部分企业需加强对开源软件各个版本的评审和管控。超过53%的企业缺乏统一的开源软件引入评估模型。此外,超过60%的企业仅对软件的大版本进行管控,对小版本的使用采用相对简化的引入评估流程,且主要关注安全漏洞情况。缺乏企业级统一的评估模型和对各个版本的全面管控可能导致潜在的安全风险和合规问题。针对开源软件设置明确的风险红线待提升领域22从存量管理层面来看,大部分企业未形成清晰的存量软件治理规划。超过45%的企业缺乏存量开源软件治理规划,包括年度目标、计划等。此外,超过70%的企业仅在新增的安全事件
24、、生态变化等外部因素触发时针对存量开源软件进行非周期检查,而未针对开源许可证、开源社区健康度等进行持续跟踪。上述情况将导致潜在的安全风险和合规问题。在第三方软件管理方面,企业对于第三方软件的管理存在一定不足。超过80%的企业通过合同义务来规范软件供应商,以确保其遵循企业的开源软件治理要求。然而,较少公司通过交付时检查组件清单/分发说明、要求供应商提供第三方检测报告等方式来确保软件的合规性。虽然通过合同规范能够在一定程度上转嫁第三方违规使用开源软件的风险,但缺乏对软件供应商交付物的实际检查和验证,不足以规避供应商软件中的安全合规风险。待提升领域针对存量软件/第三方软件设置清晰的治理规划?23无论
25、贵公司是正在制定开源软件治理计划,还是已经开始维护成熟的开源软件治理体系,都应该已经实施或正在考虑实施以下关键举措:构建开源治理的专业化团队,团队成员应包括在开源软件使用全生命周期中所涉及的来自于架构、开发、运维、安全、法务等部门的负责人员。将开源治理要求嵌入到现有规章、办法、手册或信息系统中的流程制度。建立一套适合于企业业务和管理特点的开源软件评估评价方法,用于指导开源软件的引入和选型。构建开源治理支撑平台。用于支撑开源软件治理的平台系统,是整个开源治理工作高效运行的技术保障。在使用开源软件过程中,必须严格遵从开源软件许可证的规定,避免开源法律风险;同时企业需通过内外部运维支撑力量快速、及时
26、地修复开源软件漏洞,降低产品被攻击的可能性。如果贵公司还未制定开源软件治理计划,您可以采用可信开源治理能力成熟度评估(OSGMM)对公司当前开源软件治理水平进行评估、确定贵公司想要实现的状态和目标,并明晰二者之前的差距。最后,将全景观察结果作为基线来考量同行开展的主要开源治理活动,并据此制定贵公司的开源软件治理能力构建计划。结论和建议可信开源治理能力成熟度评估意义何在?1.规范企业合理应用开源技术,提高企业应用水平和自主可控能力,促进开源技术健康可持续发展。2.有效提升企业开源风险控制能力,针对开源风险从被动应对到主动防御,更有效的控制开源风险。3.推动企业开源治理流程落地,通过一系列管理规程
27、及平台建设落地开源软件管理机制。24第三部分可信开源治理服务中国信通院可信开源治理“三位一体”服务26企业级开源治理标准为企业提供一套规范和流程,指导和规范开源软件的使用和管理。提供基础和参考企业级开源治理赋能服务开源治理公共知识库提供开源治理的基础知识和指南,包括开源治理体系、许可证类型解释、开源软件安全性评估方法等,帮助企业建立起对开源软件的全面理解和认知。开源治理公共知识库服务客户(部分)确保咨询服务的有效性和可行性收集总结企业通用的实践经验为知识库提供最佳方法论为企业提供定制化的解决方案和咨询服务,帮助企业根据自身需求和实际情况建立和完善开源治理体系。收集和整理企业的反馈和需求持续优化
28、企业级开源治理标准可信开源治理“三位一体”服务是一个综合性的解决方案,涵盖了企业级开源治理标准、企业级开源治理咨询服务和开源治理公共知识库,通过闭环机制,企业能够不断优化和完善自身的开源治理体系,提高开源软件的使用效率和安全性,同时也为整个行业的开源治理能力提升做出贡献。27开源软件治理能力成熟度模型适用对象:面向开源使用企业适用范围:适用于评估和提升企业在开源软件治理方面的成熟度,帮助企业了解当前的治理状况、识别存在的挑战和问题,并提供指导和建议来改进和加强开源软件治理能力。开源软件治理策略和规划:评估企业对开源软件治理的策略和规划程度,包括治理目标的设定、治理策略的制定以及治理规划的实施情
29、况。开源软件许可证合规性管理:评估企业对开源软件许可证的合规性管理程度,包括许可证的识别、合规性审查、许可证合规政策的制定和执行等。开源软件安全管理:评估企业对开源软件安全管理的能力,包括安全漏洞的监测和修复、漏洞管理流程的建立、安全风险评估等。28评估增值服务-成熟度水位线图/象限图组织机制管理制度风险管理软件测评开发测试管理运维管理持续跟踪退出管理存量管理第三方管理所有企业A企业00.51.01.52.02.53.0成熟度水位线图:调研企业在各项开源治理实践中达到的平均高位标记过程维度能力维度平均值中位值企业值基础级增强级先进级成熟度象限图:调研企业开源治理能力在行业内排位情况开源治理成熟
30、度水位线图和开源治理成熟度象限图为企业提供了有价值的工具来评估和比较其在开源治理方面的关注情况。水位线图通过设定基线,帮助企业比较其在各项治理指标上的表现,并确定相对成熟度水平。而象限图则通过可视化的方式,清晰地展示了企业在行业内的开源治理水平,帮助企业了解自身的位置和相对优劣。通过可信开源治理能力成熟度评估实现开源治理工作从松散管理,到统一管控,再到统一治理的能力跨越中国联通软件研究院于2015年7月成立,经历了7年多的时间,从CB1.0到CB2.0上线,从启动云化架构到全面云原生架构,持续构建平台化、生态化、全栈云平台联通云,使用开源、商业及自主研发的软件300多种,开源组件20000多个
31、支撑中国联通1700多个生产业务系统。自2021年,中国联通软件研究院启动了开源治理工作,并在联通软研院内部建立开源治理组织保障机制,包括决策团队、专家团队、运营团队、专业团队、法务团队及安全团队,为开源软件治理工作奠定基础。由于中国联通软件研究院在开源软件治理方面,起步较晚,治理工作还不成熟。2022年9月,中国联通软件研究院参与可信开源治理能力成熟度评估工作。该评估帮助软研院梳理和整合了其在开源治理相关资源和机制,并帮助其实现了开源治理工作从松散管理,到统一管控,再到统一治理的能力跨越,规范了软研院各业务侧安全合规使用开源软件,降低了使用开源软件带来的技术风险及运维风险。同时开源治理工作受
32、到院领导及集团领导的高度重视,加快推动了开源治理工作从管理、管控到向治理阶段迈进。可信开源治理能力成熟度评估意义何在?1.规范企业合理应用开源技术,提高企业应用水平和自主可控能力,促进开源技术健康可持续发展。2.有效提升企业开源风险控制能力,针对开源风险从被动应对到主动防御,更有效的控制开源风险。3.推动企业开源治理流程落地,通过一系列管理规程及平台建设落地开源软件管理机制。评估案例2930企业开源赋能计划赋能前企业状态134开源软件扫描工具建立:开源体系建设将自动化检测融入研发和交付环节定制化赋能思路:先梳理、再治理全量系统开源软件使用情况梳理,开展开源组件漏洞修复52组织职责分工与流程制定:开源治理细则梳理重点系统开源软件使用情况,完善开源组件资产清单组织层:无开源治理团队,开源治理处于权责不清的状态制度层:无开源治理相关制度手册,未制定相关开源治理制度通过部分通过不通过某银行基础级8/80/80/8增强级22/231/230/23运维层:对开源软件引入数量及风险无认知,开源软件在银行引入到退出的全生命周期管理手段缺失31某企业案例经过赋能计划服务后,该企业已达开源治理成熟度评估增强级水平
浙ICP备2021020529号-1 | 浙B2-20240490 
