T-CESA 1270.1-2023 信息技术开源治理 第1部分：总体框架

ICS35.240CCSL70团准Informationtechnology—Opensour中国电子工业标准化技术协会发布 V VII信息技术开源治理第1部分：总体框架 2规范性引用文件 3术语和定义 4治理原则 5治理框架 附录A（资料性附录）开源治理框架在企业开源治理中的应用 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。本文件是T/CESA1270《信息技术开源治理》的第1部分。T/CESA1270已经发布了以下部分：——第1部分：总体框架；——第4部分：项目评估模型。本文件由华东师范大学提出。本文件由中国电子技术标准化研究院、中国电子工业标准化技术协会归口。本文件起草单位：华东师范大学、中国电子技术标准化研究院、开放原子开源基金会、中兴通讯股份有限公司、浪潮信息电子产业股份有限公司、浪潮云信息技术股份公司、北京百度网讯科技有限公司、普元信息技术股份有限公司、上海计算机软件技术开发中心、阿里云计算有限公司、浙江九州云信息科技有限公司、蚂蚁集团集团股份有限公司、北京华胜天成科技股份有限公司、中移（苏州）软件技术有限公司、苏州棱镜七彩信息科技有限公司、上海交通大学、中国软件评测中心（工业和信息化部软件与集成电路促进中心）、东软集团股份有限公司、中移系统集成有限公司、深圳市金蝶天燕云计算股份有限公司、杭州谐云科技有限公司、中国移动通信研究院、中移雄安信息通信科技有限公司、北京宝兰德软件股份有限公司、北京中电标协信息技术服务有限责任公司。本文件主要起草人：王伟、杨丽蕴、李成双、张百林、王荷舒、于秀明、李响、江燕、黄先芝、马红伟、顾伟、孟庆余、王超、周兆明、周鹏、付钦伟、章津楠、郭智慧、梁钢、钱岭、但吉兵、金耀辉、赵赫、文礼、边思康、王旭、吴涛、龚斌、袁薇、梁大功、杨佳丽、孙康健、林科、邝敏越、郁志强、杨静、孙福洲、储兰芳、刘伟、詹年科、高家祺、黄静、万里鹏飞、黄蕾宇、黄浩东、郭雪雯、赵海玲、张康杰、杨程舒、付辉、彭晋、王耀、王媛媛、魏弋钧、刘紫君、张天、李红平、苏广峰、沈颖、葛建新、周灵依、陈庆帅、饶雪、王连升。为规范开源领域治理活动，提升开源治理能力，系统性地指导开源各组织开展开源治理策略与政策编制，结合开源治理实际情况，制定开源治理系列标准。T/CESAXXXX旨在为开源治理的事项与活动提供参考依据，拟由5个部分构成。——第1部分：总体框架。目的在于为不同开源参与组织确立完善、规范的开源治理框架和组成要素。——第2部分：企业治理评估模型。目的在于规定企业在自身开源治理过程中具备的方法、流程和能力。——第3部分：社区治理框架。目的在于描述了开源社区治理与运营总体框架的利益相关方、治理原则、框架与组成要素、成熟度模型、成熟度评估和数据评价方法。——第4部分：项目评估模型。目的在于确立了建立开源项目多维度指标模型，系统性评价开源项目发展情况。——第5部分：开源贡献者评价模型。目的在于确立了开源贡献者参与开源技术贡献和治理贡献的评价模型。1T/CESA1270.1—2023信息技术开源治理第1部分：总体框架本文件规定了开源治理总体框架，确立了治理原则和治理框架。本文件适用于参与开源活动的各类组织，如政府、企业、基金会、行业协会、高校、科研机构等，指导其对开源治理规范的编制与使用。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。T/CESA1269-2023信息技术开源术语与综述3术语和定义T/CESA1269-2023界定的术语和定义适用于本文件。4治理原则为了促进组织有效、高效、合理地使用开源技术、贡献开源项目、发起并运营开源社区，尽可能在组织的开源战略规划、建设、运营和维护过程中，规定了开源技术相关的治理要求，从而实现战略一致、风险可控、运营合规和绩效提升的目标。组织按本文件建立开源治理体系，形成文件并实施、持续改进，确保开源技术使用、开源项目贡献、开源社区运营的效能和合规性，以达到规避风险、加快发展、提升收益的目标。组织遵守如下治理原则。a)建立开源治理的战略、制度、文化和创新机制，支撑组织业务模式变革、技术进步和管理提b)确保利益相关方理解预期收益和发展目标，支持开源投入，关注治理成效并及时调整策略；c)明确风险偏好和风险容忍度，明确符合国家安全规范，保证技术中立性，防范因违规造成的重大财务和声誉损失、监管处罚、法律制裁等；d)开源治理的治理主体为开源治理最终结果负责。5治理框架5.1框架治理框架由治理要素以及要素之间的结构组成。开源治理要素包含治理的利益相关方、治理主体、业务需求、治理策略模型、治理事项、审查策略和资源七大要素，要素之间的结构见图1。开源治理框架在企业开源治理中的应用见附录A。2T/CESA1270.1—2023图1开源治理框架5.2治理主体治理主体由最高决策者与开源治理机构组成，应通过开源的战略和方针，建立本组织内外部治理策略与流程，并对开源治理相关的方案和规划进行评估与修正、对开源治理绩效和符合性进行监督，负责略与流程，并对开源治理相关的方案和规划进行评估与修正、对开源治理绩效和符合性进行监督，负责法律合规、安全、运营、内外部协调等事宜。在开源治理实施的过程中，开展自我监督、自我评估和审查工作，并持续改进。5.3治理策略模型治理策略模型是不同组织根据其情况，制定对应的开源策略，包括主动采用、安全合规、社区贡献、生态共建、和战略创新。本模型共包含5层，每层包含5个基本事项。基本事项说明见表1。表1基本事项说明术供应商或开源社区提供的开源解决管理已知漏洞并防止来自软件依赖项识别与管理代码库中使用的软件依赖项源相关的日常管理决策和事务提供信息践3T/CESA1270.1—2023使人力资源部门认识到开源贡献为组提高组织人员对回馈和执行上游优先制定组织层面参与开源项目与社区的与开源生态中的各种组织机构进行互制定与开源技术供应商的高效合作策略5.4治理事项治理事项是在某个具体的开源治理参与策略指导下，解决某一具体的治理问题或主题的行动事项。鼓励与重要的开源技术供应商建立合5.4治理事项治理事项是在某个具体的开源治理参与策略指导下，解决某一具体的治理问题或主题的行动事项。制定有利于开源生态发展的开源采购为组织内部的开源治理设立明确的开将开源融入到整个组织战略和内部工素让开源成为数字化转型的核心推动要素不同的开源策略，对应不同的治理事项。作为开源治理具体操作执行的核心，其事项规范包含以下6项：——事项描述：治理事项涉及的主题和摘要，对完成该治理事项的关键点和流程进行说明；——目标管理：对开源治理的特定目标进行管理，详细说明开展该项治理工作的原因、时间以及需要解决的问题。——过程评估：对具体的治理事项进行进度监控与效果评估，通过定义目标驱动的指标体系，明确评估治理事项所需的验证点，进而支持治理路线图、优先事项、以及绩效评价等工作；——评价方法：提供实现和完成治理事项的手段、技术、数据或工具列表，进而高效的交付治理成果，支撑治理主体科学有效的开展工作；——建议指导：从开源治理各方参与者中广泛收集最佳实践，定期更新用户的反馈意见，以及有助于各个事项管理的建议与指导。5.5审查策略4T/CESA1270.1—2023审查策略是实施执行开源治理的重要方法与工具，是根据治理组织的特点和需求，围绕如何实现高质量开源治理而进行系统设计的策略，组织根据自身需要选择合适的审查策略模型进行实施。5.6资源开源治理的支撑资源能够有效覆盖组织开展治理工作过程中所用到的工具与资源，包括人员、软件工具、基础设施、数据、咨询、培训、文档等方面。5T/CESA1270.1—2023（资料性附录）开源治理框架在企业开源治理中的应用A.1概述在企业治理的应用方面，可以基于本标准制定企业开源治理框架，见图A.1。根据图1中的各个要素，企业作为开源治理主体，根据法律法规、企业章程、监管根据图1中的各个要素，企业作为开源治理主体，根据法律法规、企业章程、监管职责、利益相关方期望、以及业务要求等因素，制定企业开源战略与方针，并选择与之匹配的治理策略模型，进而开展开源引入、对外开源等活动，同时，通过监督、评估、指导的闭环形成不断