2024年中国企业开源治理全景观察报告

2024年中国企业开源治理全景观察第一部分概述 理能力框架，规定了企业用户在使用开源软件时应遵循的流程及规范，以及企业开源治 为了解中国企业的开源风险治理举措和治理水平，中国信息通信研究院依托金融行业开通过问卷调查的形式针对多个行业开展了开源软件治理能力成熟度调研，以明晰开源治OSGMM2024报告深入分析了来自七大行业（包括金融、通信、汽车、能源、互联网、软件和信息服务业及制造业）共121家不同规模企业的开源治理活动匿名数据，涉及的企业分布可参见图1和图2。此外，图3展示了企业在开源软件/组件方面的使用量级，图4揭示了企业在本年度最为关注的开源风险问题。u金融行业汽车行业软件和信息服务业制造行业u通信行业能源行业互联网行业图1OSGMM参与企业所处行业图2OSGMM参与企业规模图3OSGMM参与企业开源软件/组件使用数量级运维和技术风险安全风险管理风险运维和技术风险安全风险w合规和知识产权风险图4OSGMM参与企业最关注的开源风险第二部分洞察OSGMM1.0整体框架由开源软件应用治理的3个能力要素和7个过程环节组成，包括：组织机构、管理制度、风险管理、软件测评、开发测试、运维管理、持续跟踪、退出管理、存量软件管理、第三方软件管理等领域的40余项活动。为降低开源软件应用风险，OSGMM活动可视为在企业开展开源软件治理过程中所实施的控制措施，以预防、检测、纠正或控制开源软件使用所带来的系列风险。OSGMM活动级别代表了参与企业各项能力水准，具有【基础执行能力】被指定为“基础级-第1级”，具有【统一组织规划能力】被指定为“增强级-第2级”，具备【自动化的执行能力】被指定为“先进级-第3级”。图5OSGMM1.0模型下表列出了2024开源治理全景观察数据池中观察到次数最多的10项活动，以下活动皆常见于成功的开源治理实践中（增强级及以上）。数据表明，如果组织正在制定自己的开源治理计划，应考虑采取这些活动。制定开源软件的引入、使用、维护、退出等方在引入开源软件后，对开源漏洞、许可证信息进行成立全职/兼职开源管理团队或办公室，负责企业内部的开源治理工作通过合同义务确保软件供应商遵循企业的开源软件建设开源管理平台，辅助管理和统计开源软件信息情况及风险信针对系统软件需求编制安装部署规范、使用操作手册等相关在引入开源软件时，进行同类软件对比与社区健康度Q:是否有明确的开源软件治理规划(治理目标、年度计划等)？l洞察：部分企业对于开源软件治理战略重要性认识不足，开源治理缺乏客观性和系统性，重度依赖过往经验，仅由事件触发治理机制。l超53%的被调研企业不具备明确的开源软件治理规划（治理目标、年度计划等）。Q:贵公司是否具备企业级开源软件管理制度？l洞察：部分企业开源软件管理主要依靠相关人员过往经验，针对重要开源软件能够形成配套管理制度，但未制定企业级的开源软件流程制度规范，未提出对开源软件全生命周期中的风险管理要求。l超38%的被调研企业不具备企业级开源软件管理制度。风险管理风险管理Q:企业内处理开源组件安全漏洞的方式有哪些多选）l洞察：根据安全漏洞风险等级的不同，企业处理开源组件安全漏洞的方式也有所不同；依靠内部力量处理开源组件安全漏洞所需投入资源较多，对运维人员能力要求较高，通常并非企业首选。l约97%的被调研企业通过版本升级处理开源组件安全漏洞；72%的被调研企业通过手动应用补丁应对安全漏洞；27%的被调研企业视情况替换组件或者删除该组件，约10%的企业不做处理。Q:在引入开源软件时，会进行哪些评测工作多选）l洞察：大部分企业在引入开源软件时进行了软件功能评估、同类软件对比，但在项目活跃度评估、行业认可度和软件质量评估以及服务支持评估方面仍有改进空间。l98%的被调研企业在引入开源软件时，进行软件功能评估以及同类软件对比工作；53%的企业进行项目活跃度评估；48%的企业进行行业认可度评估及软件质量评估；约23%的企业会进行服务支持评估；2%的企业不进行任何评估。Q:与外部开源社区的交互状态是？l洞察：当前我国大部分企业对于开源软件还仅停留在使用层面，未进行对外开源贡献，这与开源软件在我国发展较晚，我国企业对于开源共建共享的意识不足等因素有关。l约86%的被调研企业仅使用外部开源社区项目，关注开源社区动态；14%的被调研企业还会参与外部开源社区贡献和建设，与外部开源社区建立起良好的沟通反馈机制。运维管理运维管理Q:开源软件确定对应负责管理部门的原则是？l洞察：企业属性和内部职责划分的不同，导致企业开源软件维护主体相关规则差异较大。l45%的被调研企业秉持谁先引入谁负责的原则；28%的被调研企业按部门职责进行划分；15%的企业谁使用谁负责；12%的企业由技术委员会评估确定。Q:在引入开源软件后，会对哪些信息进行持续跟踪?（多选）l洞察：开源软件安全漏洞问题所带来的负面影响更为直接，我国大部分企业明显更重视开源软件安全，并对开源漏洞信息和版本进行持续跟踪。l约100%的被调研企业在引入开源软件后，对开源漏洞信息进行持续跟踪；78%的企业会进行开源许可证跟踪；75%的企业进行版本跟踪；21%的企业进行社区基本情况的跟踪。Q:决定不再使用某种开源软件，对于软件退出的依据是多选）l洞察：我国企业对于开源软件安全风险问题已有较高程度认知。l100%的被调研企业在面临严重安全问题时进行软件退出操作；50%的被调研企业在面临法律合规红线时，进行软件的退出管理；48%的企业当开源软件不满足业务场景时会进行退出规划；24%的企业因开源软件更新频次过低或版本过老而进行退出规划。Q:针对内部所有存量开源软件的管理措施是？l洞察：我国企业开源治理工作开展较晚，存量开源软件量级较大，因此对于存量软件的全量、周期性管理存在一定困难。l超过60%的企业仅在新增的安全事件、生态变化等外部因素触发时针对存量开源软件进行非周期检查；约28%的企业对存量开源软件的安全合规性与依赖情况进行周期性分析检查；12%的企业不针对存量开源软件进行检查。第三方管理第三方管理Q:如何确保软件供应商遵循企业的开源软件治理要求多选）l洞察：我国企业对于第三方软件管理的重视程度存在不足，同时缺乏开源合规相关专业人员，难以规范审查第三方软件中专有代码、开源代码的交互方式是否合规。l超过80%的企业通过合同义务来规范软件供应商，以确保其遵循企业的开源软件治理要求；23%的企业通过交付时检查组件清单/分发说明确保供应商遵守要求；8%的企业要求供应商提供第三方检测报告。所有企业0持续跟踪开发开源治理成熟度高水位线图提供了基线0持续跟踪开发开源治理成熟度高水位线图提供了基线，用于比较企业在各项治理指标中的实践能力和水平。成熟度级别代表了参与企业各项能力水准，具有基础执行能力被指定为“第1级”，具有统一组织规划的执行能力被指定为“第2级”，具备自动化的执行能力被指定为“第3级”。水位线通常表示成熟度，如3级的水位线高，2级的水位线较低。如上图所示，所有参与本次调研的企业，在“管理制度”、“存量软件管理”、“开发测试”、“软件测评”等指标下的能力较之于其他项下的能力稍强一些。图6OSGMM所有参与企业各项实践能力情况金融行业和通信行业存量软件管理根据调研结果显示存量软件管理根据调研结果显示，金融和通信行业在开源软件治理方面存在不同的侧重点和成熟度水平。由于各自不同的特性和需求，它们在开源软件治理的侧重点和成熟度方面存在差异。l通信行业强调供应链管理和第三方软件管理。l金融行业则受到监管指引和法规要求的推动，更注重安全性和数据保护。通信行业通信行业通常具备更加完善的供应链管理措施。通信行业中涉及到硬件设备和网络基础设施等复杂组件的供应链，促使通信企业在开源软件治理中更加重视第三方软件管理。这使得通信行业在第三方软件的评估、审查和合规方面表现出更高的成熟度。组织机制第三方软件管理管理制度第三方软件管理管理制度0持续跟踪退出管理退出管理开发测试开发测试运维管理图7OSGMM金融和通信行业参与企业各项实践能力情况金融行业通信行业风险管理软件测评金融行业和通信行业金融行业l监管指引和法规要求金融行业受到监管机构的严格监管和法规要求。例如，人民银行发布的《关于规范金融业开源技术应用与发展的意见》为金融企业提供了具体的指导和规范，推动金融业开展开源治理活动。这使得金融行业在风险管理、软件测评和退出管理等方面处于领先地位。l安全性要求和数据保护金融行业对安全性和数据保护通常具有更高的要求。金融业务涉及敏感客户数据和金融交易信息，故对于开源软件的安全性和合规性关注度更高。基于此，金融行业在开源软件治理中可能更加注重安全漏洞管理、漏洞修复和持续监测。图8金融行业部分企业OSGMM能力（圆圈大小代表企业规模）汽车行业、能源行业和制造行业汽车行业、能源行业和制造行业汽车、能源和制造行业是三类存在上下游产业供应关系汽车、能源和制造行业是三类存在上下游产业供应关系的行业，但在开源软件治理方面侧重点各异，这可以部分归因于它们各自不同的特性和需求，以及与供应链、软件开发和行业规范等相关因素的关系。l汽车行业在管理制度和开发测试方面表现较优。l能源行业在第三方软件管理和运维管理方面较为成熟。l制造行业的开源软件治理能力整体相对较弱。能源行业第三方软件管理和运维管理：能源行业与第三方软件的关系密切，因此在第三方软件管理和运维管理方面表现相对成熟。能源行业通常涉及复杂的系统和设备，并依赖于多个供应商和合作伙伴提供软件解决方案。因此，为确保系统的稳定性和安全性，对第三方软件的管理和运维是关键。组织机制管理制度第三方软件管理管理制度存量软件管理 退出管理开发测试持续跟踪开发测试运维管理图9OSGMM汽车、能源和制造行业参与企业各项实践能力情况风险管理软件测评汽车行业能源行业制造行业汽车行业、能源行业和制造行业图10汽车行业部分企业OSGMM能力（圆圈大小代表企业规模）汽车行业汽车行业通常在“管理制度”方面表现出较高的成熟度。由于汽车行业的复杂性和生产流程的高度规范化，汽车制造商和供应商通常都具有严格的管理制度，包括对开源软件的审查、评估和合规性要求。汽车行业对软件的“开发和测试”有较高的要求。汽车中的软件往往更注重安全和功能性要求，例如车辆控制系统和驾驶辅助系统。因此，汽车行业在开源软件的开发测试方面可能投入更多资源，以确保软件质量和安全性。制造行业整体而言，在开源软件治理方面的能力相对较弱。尽管制造行业也涉及供应链和第三方软件，但没有达到汽车行业和能源行业对开源软件的安全合规要求程度。这可能与制造行业注重自主研发和专有技术有关，故对开源软件的使用相对较少或较为有限。组织机制软件行业互联网行业第三方软件管理管理制度存量软件管理风险管理0退出管理软件测评持续跟踪开发测试运维管理图11OSGMM软件和互联网行业参与企业各项实践能力情况软件和信息服务行业与互联网行业的差异可以归因于它们各自不同的特性和运营模式。l软件和信息服务行业相对于互联网行业在开源软件治理能力成熟度方面表现较高。组织机制软件行业互联网行业第三方软件管理管理制度存量软件管理风险管理0退出管理软件测评持续跟踪开发测试运维管理图11OSGMM软件和互联网行业参与企业各项实践能力情况软件和信息服务行业与互联网行业的差异可以归因于它们各自不同的特性和运营模式。l软件和信息服务行业相对于互联网行业在开源软件治理能力成熟度方面表现较高。l软件和信息服务行业更注重存量软件管理、组织机制、软件测评和开发测试等方面的实践活动。l业务快速迭代：互联网行业特点是业务快速迭代和创新。这意味着互联网公司需要快速开发和部署新功能/服务，以满足市场需求。这导致开源软件治理方面投入相对较少，因为更多的关注点可能集中在业务创新和快速交付上，而不是严格的治理流程。l开源软件使用量庞大：由于互联网公司的业务规模和复杂性，它们需要依赖广泛的开源软件生态系统。然而，确保大量开源软件的合规性和安全性可能是一个挑战，特别是在开源软件快速发展和迭代的环境下。软件和信息服务行业l存量软件管理：软件和信息服务行业对于存量软件的管理能力较高。这一行业通常积累了大量的软件资产和技术栈，对存量软件的规划、评估和管理具备较高的成熟度。由于软件和信息服务公司的业务主要依赖于软件开发和交付，因此存量软件管理往往是软件行业重点关注的领域。l组织机制：软件和信息服务行业通常具备完善的组织机制来支持开源软件治理。这些公司往往有明确的开源软件治理团队或部门，负责制定治理策略、管理流程和规范，以确保软件的合规性和安全性。l软件测评和开发测试：软件和信息服务行业在软件测评和开发测试方面表现出较高的成熟度。由于软件和信息服务公司的核心业务是软件开发和交付，因此它们通常投入大量资源来进行软件测试、质量保证和漏洞修复等方面的工作。图12软件和信息服务行业部分企业OSGMM能力（圆圈大小代表企业规模）根据调研结果，被调研企业在开源治理能力成熟度各指标项下，待提设置明确的规划/制度？在组织机制方面，部分企业在开源治理战略、人在参与调研的企业中，约45%的企业缺乏专门负责开源战略和治理的组织。另外，超过设置明确的规划/制度？在管理制度方面，部分企业开源软件管控力度有待提高。超过38%的被调研企业在开源软件方面没有进行任何事前管控，项目组可以按需自行使用开源软件。此外，超过60%的被调研企业没有进行周期性的制度评审，也未根据实际情况持续优化制度内容。这些结果表明，这些企业的开源软件管理制度存在较大的缺针对!在风险管理方面，大部分企业在风险管理工具、合规风险管理等方面能力存在不足。根据调研结果，超过57%的企业缺乏软件成分分析（SCA）工具，且尚未建立SBOM（软件物料清单）的生成与管理机制。与此同时，开源合规管理机制相对薄弱，超过针对!GPL类许可证，却未建立严格的开源合规评估流程。上述缺陷可能加剧潜在软件测评方面，部分企业需加强对开源软件各个版本的评审和管控。超过63%的企业缺乏统一的开源软件引入评估模型。此外，超过70%的企业仅对软件的大版本进行管控，对小版本的使用采用相对简化的引入评估流程，且主要关注安全漏洞情况。缺乏企业级统一的评估模型和对各个版本的全面管控可能导致潜在的安全风险和合规问题。软件设置清晰从存量管理层面来看，大部分企业未形成清晰的存量软件治理规划。超过65%的企业缺乏存量开源软件治理规划，包括年度目标、计划等。此外，超过60%的企业仅在新增的安全事件、生态变化等外软件设置清晰在第三方软件管理方面，企业对于第三方软件的管理存在一定不足。超过80%的企业通过合同义务来规范软件供应商，以确保其遵循企业的开源软件治理要求。然而，较少公司通过交付时检查组件清单/分发说明、要求供应商提供第三方检测报告等方式来确保软件的合规性。虽然通过合同规范能够在一定程度上转嫁第三方违规使用开源软件的风险，但缺乏对软件供应商交付物的实际检查和验证，不足以规避供应商软件中的安全合规风险。无论贵公司是正在制定开源软件治理计划，还是已经开始维护成熟的开源软件治理体系，都应该已经实施或正在考虑实施以下关键举措：构建开源治理的专业化团队，团队成员应包括在开源软件使用全生命周期中所涉及的来自于架构、开发、运维、安全、法务等部门的负责人员。将开源治理要求嵌入到现有规章、办法、手册或信息系统中的流程制度。建立一套适合于企业业务和管理特点的开源软件评估评价方法，用于指导开源软件的引入和选型。构建开源治理支撑平台。用于支撑开源软件治理的平台系统，是整个开源治理工作高效运行的技术保障。在使用开源软件过程中，必须严格遵从开源软件许可证的规定，避免开源法律风险；同时企业需通过内外部运维支撑力量快速、及时地修复开源软件漏洞，降低产品被攻击的可能性。如果贵公司还未制定开源软件治理计划，您可以采用可信开源治理能力成熟度评估（OSGMM）对公司当前开源软件治理水平进行评估、确定贵公司想要实现的状态和目标，并明晰二者之前的差距。最后，将全景观察结果作为基线来考量同行开展的主要开源治理活动，并据此制定贵公司的开源软件治理能力构建计划。OSGMMOSGMM评估意义何在？1.规范企业合理应用开源技术，提高企业应用水平和自主可控能力，促进开源技术健康可2.有效提升企业开源风险控制能力，针对开源风险从被动应对到主动防御，更有效的控制3.推动企业开源治理流程落地，通过一系列管第三部分可信开源治理服务可信开源治理“三位一体”服务是一个综合性的解决方案，涵盖了企业级开源治理标准、企业级开源治理咨询服务和开源治理公共知识库，通过闭企业级开源治理标准为企业提供一套规范和流程，指导和规范开企业级开源治理赋能服务为企业提供定制化的解决方案和咨询服务，帮助企业根据自身需求和实际情况建立和完善开源治理体系。开源治理公共知识库开源治理公共知识库提供开源治理的基础知识和指南括开源治理体系、许可证类型解释、开源软件安全性评估图：“企业开源治理能力成熟度评估”框架开源治理成熟度水位线图和开源治理成熟度象限图为企业提供了有价值的工具来评估和比较其在开源治理方面的实践能力和水平。水位线图通过设定基线，帮助企业比较其在各项治理指标上的表现，并确定相对成熟度水平。而象限图则通过可视化的方式，清晰地展示了企业在行业内的开源治理水平，帮助企业了组织机制第三方管理管理制度第三方管理管理制度0持续跟踪存量管理风险管理退出管理软件测评开发测试管理存量管理风险管理退出管理软件测评开发测试管理所有企业A企业运维管理所有企业成熟度水位线图：调研企业在各项开源治理实践中达到的平均高位标记基础级基础级增强级成熟度象限图：调研企业开源治理能力在行业内排位情况通过OSGMM评估实现开源治理工作从松散管理，到统一管控，再到统一治理的能力跨越中国联通软件研究院于2015年7月成立，经历了7年多的时间，从CB1.0到CB2.0上线，从启动云化架构到全面云原生架构，持续构建平台化、生态化、全栈云平台——联通云，使用开源、商业及自主研发的软件300多种，开源组件20000多个，支撑中国联通1300多个生产业务系统。自2021年，中国联通软件研究院启动了开源治理工作，并在联通软研院内部建立开源治理组织保障机制，包括决策团队、专家团队、运营团队、专业团队、法务团队及安全团队，为开源软件治理工作奠定基础。由于中国联通软件研究院在开源软件治理方面，起步较晚，治理工作还不成熟。2022年9月，中国联通软件研究院参与OSGMM评估工作。该评估帮助软研院梳理和整合了其在开源治理相关资源和机制，并帮助其实现了开源治理工作从松散管理，到统一管控，再到统一治理的能力跨越，规范了软研院各业务侧安全合规使用开源软件，降低了使用开源软件带来的技术风险及运维风险。同时开源治理工作受到院领导及集团领导的高度重视，加快推动了开源治理工作从管理、管控到向治理阶段迈进。OSGMMOSGMM评估意义何在？1.规范企业合理应用开源技术，提高企业应用水平和自主可控能力，促进开源技术健康可2.有效提升企业开源风险控制能力，针对开源风险从被动应对到主动防御，更有效的控制3.推动企业开源治理流程落地，通过一系列管中国信通院企业级服务-“企业开源赋能计划”使用开源使用开源拥抱开源融合开源引领开源企业开源赋能计划更有效的理论实践更深入的现状调研更完善的流程规划更充足的资源与工具更权威的能力洞察企业咨询企业咨询订阅服务开源通识预评估+正式评估差距分析生态建设风险策略管理制度数据支持公共平台风险治理开源战略现场访谈场景测试人天服务问卷调研培训