2024年度中國企業(yè)開源治理全景觀察報告

2024年中國企業(yè)開源治理全景觀察第一部分 概

述概

述2020年，中國信息通信研究院制定標準《開源治理能力評價方法

第

3

部分：成熟度模型》(Open

Source

Governance

Maturity

Model，簡稱“OSGMM”)，確立了企業(yè)開源治理能力框架，規(guī)定了企業(yè)用戶在使用開源軟件時應遵循的流程及規(guī)范，以及企業(yè)開源治理能力成熟度的評價方法，有效幫助了眾多企業(yè)構建和提升開源治理能力。為了解中國企業(yè)的開源風險治理舉措和治理水平，中國信息通信研究院依托金融行業(yè)開源技術應用社區(qū)（FINOC）、通信行業(yè)開源社區(qū)（ICTOSC）、汽車行業(yè)開源社區(qū)等組織，通過問卷調查的形式針對多個行業(yè)開展了開源軟件治理能力成熟度調研，以明晰開源治理的行業(yè)現狀以及未來的蓄力方向。OSGMM2.02024年中國企業(yè)開源治理全景觀察OSGMM2024參與者OSGMM2024報告深入分析了來自七大行業(yè)（包括金融、通信、汽車、能源、互聯(lián)網、軟件和信息服務業(yè)及制造業(yè)）共121家不同規(guī)模企業(yè)的開源治理活動匿名數據，涉及的企業(yè)分布可參見圖1和圖2。此外，圖3展示了企業(yè)在開源軟件/組件方面的使用量級，圖4揭示了企業(yè)在本年度最為關注的開源風險問題。30%15%10%4%16%16%9%通信行業(yè)能源行業(yè)互聯(lián)網行業(yè)金融行業(yè)汽車行業(yè)軟件和信息服務業(yè)制造行業(yè)圖1

OSGMM參與企業(yè)所處行業(yè)9%31%36%24%1-1000人10000-100000人1000-10000人100000人以上圖2

OSGMM參與企業(yè)規(guī)模19%23%31%27%1-10001000-100001萬-10萬10萬以上圖3

OSGMM參與企業(yè)開源軟件/組件使用數量級27%10%23%40%運維和技術風險安全風險管理風險合規(guī)和知識產權風險OSGMM2.02024年中國企業(yè)開源治理全景觀察圖4

OSGMM參與企業(yè)最關注的開源風險第二部分 洞察OSGMM框架圖5

OSGMM1.0模型OSGMM2.02024年中國企業(yè)開源治理全景觀察OSGMM1.0整體框架由開源軟件應用治理的3個能力要素和7個過程環(huán)節(jié)組成，包括：組織機構、管理制度、風險管理、軟件測評、開發(fā)測試、運維管理、持續(xù)跟蹤、退出管理、存量軟件管理、第三方軟件管理等領域的40余項活動。為降低開源軟件應用風險，OSGMM活動可視為在企業(yè)開展開源軟件治理過程中所實施的控制措施，以預防、檢測、糾正或控制開源軟件使用所帶來的系列風險。OSGMM活動級別代表了參與企業(yè)各項能力水準，具有【基礎執(zhí)行能力】被指定為“基礎級-第1級”，具有【統(tǒng)一組織規(guī)劃能力】被指定為“增強級-第2級”，具備【自動化的執(zhí)行能力】被指定為“先進級-第3級”。OSGMM開源治理活動TOP10OSGMM2.02024年中國企業(yè)開源治理全景觀察下表列出了2024開源治理全景觀察數據池中觀察到次數最多的10項活動，以下活動皆常見于成功的開源治理實踐中（增強級及以上）。數據表明，如果組織正在制定自己的開源治理計劃，應考慮采取這些活動。OSGMM2024開源治理活動TOP10活動出現頻率活動描述100%制定開源軟件的引入、使用、維護、退出等方面的制度規(guī)定100%在引入開源軟件后，對開源漏洞、許可證信息進行持續(xù)跟蹤100%明確企業(yè)開源治理的目標、原則、范圍和流程，為后續(xù)的開源工作提供指導100%成立全職/兼職開源管理團隊或辦公室，負責企業(yè)內部的開源治理工作98%登記內部所有存量軟件94%定期開展（一年2次及以上）開源相關培訓93%通過合同義務確保軟件供應商遵循企業(yè)的開源軟件治理要求90%建設開源管理平臺，輔助管理和統(tǒng)計開源軟件信息情況及風險信息處置情況89%針對系統(tǒng)軟件需求編制安裝部署規(guī)范、使用操作手冊等相關配套文檔88%在引入開源軟件時，進行同類軟件對比與社區(qū)健康度評估工作OSGMM2024-各領域關鍵活動實踐情況OSGMM2.02024年中國企業(yè)開源治理全景觀察Q:

是否有明確的開源軟件治理規(guī)劃(

治理目標、年度計劃等)

？?

洞察：部分企業(yè)對于開源軟件治理戰(zhàn)略重要性認識不足，開源治理缺乏客觀性和系統(tǒng)性，重度依賴過往經驗，僅由事件觸發(fā)治理機制。?超53%的被調研企業(yè)不具備明確的開源軟件治理規(guī)劃（治理目標、年度計劃等）。組織機制Q:

貴公司是否具備企業(yè)級開源軟件管理制度？?

洞察：部分企業(yè)開源軟件管理主要依靠相關人員過往經驗，針對重要開源軟件能夠形成配套管理制度，但未制定企業(yè)級的開源軟件流程制度規(guī)范，未提出對開源軟件全生命周期中的風險管理要求。?超38%的被調研企業(yè)不具備企業(yè)級開源軟件管理制度。管理制度OSGMM2024-各領域關鍵活動實踐情況OSGMM2.02024年中國企業(yè)開源治理全景觀察Q:

企業(yè)內處理開源組件安全漏洞的方式有哪些？（

多選）?

洞察：根據安全漏洞風險等級的不同，企業(yè)處理開源組件安全漏洞的方式也有所不同；依靠內部力量處理開源組件安全漏洞所需投入資源較多，對運維人員能力要求較高，通常并非企業(yè)首選。?約97%的被調研企業(yè)通過版本升級處理開源組件安全漏洞；72%的被調研企業(yè)通過手動應用補丁應對安全漏洞；27%的被調研企業(yè)視情況替換組件或者刪除該組件，約10%的企業(yè)不做處理。風險管理Q:

在引入開源軟件時，

會進行哪些評測工作？（

多選）?

洞察：大部分企業(yè)在引入開源軟件時進行了軟件功能評估、同類軟件對比，但在項目活躍度評估、行業(yè)認可度和軟件質量評估以及服務支持評估方面仍有改進空間。?98%的被調研企業(yè)在引入開源軟件時，進行軟件功能評估以及同類軟件對比工作；53%的企業(yè)進行項目活躍度評估；48%的企業(yè)進行行業(yè)認可度評估及軟件質量評估；約23%的企業(yè)會進行服務支持評估；2%的企業(yè)不進行任何評估。軟件測評OSGMM2024-各領域關鍵活動實踐情況OSGMM2.02024年中國企業(yè)開源治理全景觀察Q:

與外部開源社區(qū)的交互狀態(tài)是？?

洞察：當前我國大部分企業(yè)對于開源軟件還僅停留在使用層面，未進行對外開源貢獻，這與開源軟件在我國發(fā)展較晚，我國企業(yè)對于開源共建共享的意識不足等因素有關。?約86%的被調研企業(yè)僅使用外部開源社區(qū)項目，關注開源社區(qū)動態(tài)；14%的被調研企業(yè)還會參與外部開源社區(qū)貢獻和建設，與外部開源社區(qū)建立起良好的溝通反饋機制。開發(fā)測試Q:開源軟件確定對應負責管理部門的原則是？?

洞察：企業(yè)屬性和內部職責劃分的不同，導致企業(yè)開源軟件維護主體相關規(guī)則差異較大。?45%的被調研企業(yè)秉持誰先引入誰負責的原則；28%的被調研企業(yè)按部門職責進行劃分；15%的企業(yè)誰使用誰負責；12%的企業(yè)由技術委員會評估確定。運維管理OSGMM2024-各領域關鍵活動實踐情況OSGMM2.02024年中國企業(yè)開源治理全景觀察Q:在引入開源軟件后，會對哪些信息進行持續(xù)跟蹤?

（

多選）??洞察：開源軟件安全漏洞問題所帶來的負面影響更為直接，我國大部分企業(yè)明顯更重視開源軟件安全，并對開源漏洞信息和版本進行持續(xù)跟蹤。約100%的被調研企業(yè)在引入開源軟件后，對開源漏洞信息進行持續(xù)跟蹤；78%的企業(yè)會進行開源許可證跟蹤；75%的企業(yè)進行版本跟蹤；21%的企業(yè)進行社區(qū)基本情況的跟蹤。持續(xù)跟蹤Q:

決定不再使用某種開源軟件，

對于軟件退出的依據是？（

多選）洞察：我國企業(yè)對于開源軟件安全風險問題已有較高程度認知。100%的被調研企業(yè)在面臨嚴重安全問題時進行軟件退出操作；50%的被調研企業(yè)在面臨法律合規(guī)紅線時，進行軟件的退出管理；48%的企業(yè)當開源軟件不滿足業(yè)務場景時會進行退出規(guī)劃；24%的企業(yè)因開源軟件更新頻次過低或版本過老而進行退出規(guī)劃。退出管理OSGMM2024-各領域關鍵活動實踐情況OSGMM2.02024年中國企業(yè)開源治理全景觀察Q:針對內部所有存量開源軟件的管理措施是？??洞察：我國企業(yè)開源治理工作開展較晚，存量開源軟件量級較大，因此對于存量軟件的全量、周期性管理存在一定困難。超過60%的企業(yè)僅在新增的安全事件、生態(tài)變化等外部因素觸發(fā)時針對存量開源軟件進行非周期檢查；約28%的企業(yè)對存量開源軟件的安全合規(guī)性與依賴情況進行周期性分析檢查；12%的企業(yè)不針對存量開源軟件進行檢查。存量管理Q:

如何確保軟件供應商遵循企業(yè)的開源軟件治理要求？（

多選）?

洞察：我國企業(yè)對于第三方軟件管理的重視程度存在不足，同時缺乏開源合規(guī)相關專業(yè)人員，難以規(guī)范審查第三方軟件中專有代碼、開源代碼的交互方式是否合規(guī)。?超過80%的企業(yè)通過合同義務來規(guī)范軟件供應商，以確保其遵循企業(yè)的開源軟件治理要求；23%的企業(yè)通過交付時檢查組件清單/分發(fā)說明確保供應商遵守要求；8%的企業(yè)要求供應商提供第三方檢測報告。第三方管理圖6

OSGMM所有參與企業(yè)各項實踐能力情況垂直行業(yè)比較開源治理成熟度高水位線圖提供了基線，用于比較企業(yè)在各項治理指標中的實踐能力和水平。成熟度級別代表了參與企業(yè)各項能力水準，具有基礎執(zhí)行能力被指定為“第1級”，具有統(tǒng)一組織規(guī)劃的執(zhí)行能力被指定為“第2級”，具備自動化的執(zhí)行能力被指定為“第3級”。水位線通常表示成熟度，如3級的水位線高，2級的水位線較低。如上圖所示，所有參與本次調研的企業(yè)，在

“管理制度”、“存量軟件管理”、“開發(fā)測試”、“軟件測評”等指標下的能力較之于其他項下的能力稍強一些。管理制度風險管理軟件測評開發(fā)測試運維管理持續(xù)跟蹤退出管理存量軟件管理第三方軟件管理所有企業(yè)2.00組織機制3.02.51.51.00.5OSGMM2.02024年中國企業(yè)開源治理全景觀察金融行業(yè)和通信行業(yè)根據調研結果顯示，金融和通信行業(yè)在開源軟件治理方面存在不同的側重點和成熟度水平。由于各自不同的特性和需求，它們在開源軟件治理的側重點和成熟度方面存在差異。通信行業(yè)強調供應鏈管理和第三方軟件管理。金融行業(yè)則受到監(jiān)管指引和法規(guī)要求的推動，更注重安全性和數據保護。通信行業(yè)通信行業(yè)通常具備更加完善的供應鏈管理措施。通信行業(yè)中涉及到硬件設備和網絡基礎設施等復雜組件的供應鏈，促使通信企業(yè)在開源軟件治理中更加重視第三方軟件管理。這使得通信行業(yè)在第三方軟件的評估、審查和合規(guī)方面表現出更高的成熟度。圖7

OSGMM金融和通信行業(yè)參與企業(yè)各項實踐能力情況組織機制管理制度風險管理軟件測評開發(fā)測試運維管理持續(xù)跟蹤退出管理存量軟件管理第三方軟件管理金融行業(yè)通信行業(yè)00.51.01.52.02.53.0OSGMM2.02024年中國企業(yè)開源治理全景觀察金融行業(yè)和通信行業(yè)金融行業(yè)監(jiān)管指引和法規(guī)要求金融行業(yè)受到監(jiān)管機構的嚴格監(jiān)管和法規(guī)要求。例如，人民銀行發(fā)布的《關于規(guī)范金融業(yè)開源技術應用與發(fā)展的意見》為金融企業(yè)提供了具體的指導和規(guī)范，推動金融業(yè)開展開源治理活動。這使得金融行業(yè)在風險管理、軟件測評和退出管理等方面處于領先地位。安全性要求和數據保護金融行業(yè)對安全性和數據保護通常具有更高的要求。金融業(yè)務涉及敏感客戶數據和金融交易信息，故對于開源軟件的安全性和合規(guī)性關注度更高。基于此，金融行業(yè)在開源軟件治理中可能更加注重安全漏洞管理、漏洞修復和持續(xù)監(jiān)測。過程維度能力維度平均值 中位數 企業(yè)數值圖8

金融行業(yè)部分企業(yè)OSGMM能力（圓圈大小代表企業(yè)規(guī)模）基礎級OSGMM2.02024年中國企業(yè)開源治理全景觀察增強級先進級汽車行業(yè)、能源行業(yè)和制造行業(yè)圖9OSGMM汽車、能源和制造行業(yè)參與企業(yè)各項實踐能力情況組織機制管理制度風險管理軟件測評開發(fā)測試運維管理持續(xù)跟蹤退出管理存量軟件管理第三方軟件管理汽車行業(yè)能源行業(yè)制造行業(yè)00.51.01.52.02.53.0汽車、能源和制造行業(yè)是三類存在上下游產業(yè)供應關系的行業(yè)，但在開源軟件治理方面?zhèn)戎攸c各異，這可以部分歸因于它們各自不同的特性和需求，以及與供應鏈、軟件開發(fā)和行業(yè)規(guī)范等相關因素的關系。汽車行業(yè)在管理制度和開發(fā)測試方面表現較優(yōu)。能源行業(yè)在第三方軟件管理和運維管理方面較為成熟。制造行業(yè)的開源軟件治理能力整體相對較弱。能源行業(yè)第三方軟件管理和運維管理：能源行業(yè)與第三方軟件的關系密切，因此在第三方軟件管理和運維管理方面表現相對成熟。能源行業(yè)通常涉及復雜的系統(tǒng)和設備，并依賴于多個供應商和合作伙伴提供軟件解決方案。因此，為確保系統(tǒng)的穩(wěn)定性和安全性，對第三方軟件的管理和運維是關鍵。OSGMM2.02024年中國企業(yè)開源治理全景觀察汽車行業(yè)、能源行業(yè)和制造行業(yè)汽車行業(yè)汽車行業(yè)通常在“管理制度”方面表現出較高的成熟度。由于汽車行業(yè)的復雜性和生產流程的高度規(guī)范化，汽車制造商和供應商通常都具有嚴格的管理制度，包括對開源軟件的審查、評估和合規(guī)性要求。汽車行業(yè)對軟件的“開發(fā)和測試”有較高的要求。汽車中的軟件往往更注重安全和功能性要求，例如車輛控制系統(tǒng)和駕駛輔助系統(tǒng)。因此，汽車行業(yè)在開源軟件的開發(fā)測試方面可能投入更多資源，以確保軟件質量和安全性。制造行業(yè)制造行業(yè)整體而言，在開源軟件治理方面的能力相對較弱。盡管制造行業(yè)也涉及供應鏈和第三方軟件，但沒有達到汽車行業(yè)和能源行業(yè)對開源軟件的安全合規(guī)要求程度。這可能與制造行業(yè)注重自主研發(fā)和專有技術有關，故對開源軟件的使用相對較少或較為有限。過程維度能力維度平均值 中位值 企業(yè)值圖10

汽車行業(yè)部分企業(yè)OSGMM能力（圓圈大小代表企業(yè)規(guī)模）基礎級OSGMM2.02024年中國企業(yè)開源治理全景觀察增強級先進級軟件行業(yè)和互聯(lián)網行業(yè)圖11OSGMM軟件和互聯(lián)網行業(yè)參與企業(yè)各項實踐能力情況組織機制管理制度風險管理軟件測評開發(fā)測試運維管理持續(xù)跟蹤退出管理存量軟件管理第三方軟件管理軟件行業(yè)互聯(lián)網行業(yè)00.51.01.52.02.53.0軟件和信息服務行業(yè)與互聯(lián)網行業(yè)的差異可以歸因于它們各自不同的特性和運營模式。軟件和信息服務行業(yè)相對于互聯(lián)網行業(yè)在開源軟件治理能力成熟度方面表現較高。軟件和信息服務行業(yè)更注重存量軟件管理、組織機制、軟件測評和開發(fā)測試等方面的實踐活動。OSGMM2.02024年中國企業(yè)開源治理全景觀察互聯(lián)網行業(yè)業(yè)務快速迭代：互聯(lián)網行業(yè)特點是業(yè)務快速迭代和創(chuàng)新。這意味著互聯(lián)網公司需要快速開發(fā)和部署新功能/服務，以滿足市場需求。這導致開源軟件治理方面投入相對較少，因為更多的關注點可能集中在業(yè)務創(chuàng)新和快速交付上，而不是嚴格的治理流程。開源軟件使用量龐大：由于互聯(lián)網公司的業(yè)務規(guī)模和復雜性，

它們需要依賴廣泛的開源軟件生態(tài)系統(tǒng)。然而，確保大量開源軟件的合規(guī)性和安全性可能是一個挑戰(zhàn)，特別是在開源軟件快速發(fā)展和迭代的環(huán)境下。軟件行業(yè)和互聯(lián)網行業(yè)軟件和信息服務行業(yè)存量軟件管理：軟件和信息服務行業(yè)對于存量軟件的管理能力較高。這一行業(yè)通常積累了大量的軟件資產和技術棧，對存量軟件的規(guī)劃、評估和管理具備較高的成熟度。由于軟件和信息服務公司的業(yè)務主要依賴于軟件開發(fā)和交付，因此存量軟件管理往往是軟件行業(yè)重點關注的領域。組織機制：軟件和信息服務行業(yè)通常具備完善的組織機制來支持開源軟件治理。這些公司往往有明確的開源軟件治理團隊或部門，負責制定治理策略、管理流程和規(guī)范，以確保軟件的合規(guī)性和安全性。軟件測評和開發(fā)測試：軟件和信息服務行業(yè)在軟件測評和開發(fā)測試方面表現出較高的成熟度。由于軟件和信息服務公司的核心業(yè)務是軟件開發(fā)和交付，因此它們通常投入大量資源來進行軟件測試、質量保證和漏洞修復等方面的工作。過程維度能力維度平均值 中位值 企業(yè)值圖12

軟件和信息服務行業(yè)部分企業(yè)OSGMM能力（圓圈大小代表企業(yè)規(guī)模）基礎級OSGMM2.02024年中國企業(yè)開源治理全景觀察增強級先進級是否設置明確的開源軟件治理規(guī)劃/制度？OSGMM2.02024年中國企業(yè)開源治理全景觀察待提升領域根據調研結果，被調研企業(yè)在開源治理能力成熟度各指標項下，待提升能力如下：在組織機制方面，部分企業(yè)在開源治理戰(zhàn)略、人力投入方面有所欠缺。在參與調研的企業(yè)中，約45%的企業(yè)缺乏專門負責開源戰(zhàn)略和治理的組織。另外，超過80%的企業(yè)無全職人力資源分配給開源戰(zhàn)略和治理工作。這些結果表明，我國企業(yè)開源軟件治理機制存在著一定程度的缺失和不完善。在管理制度方面，部分企業(yè)開源軟件管控力度有待提高。超過38%的被調研企業(yè)在開源軟件方面沒有進行任何事前管控，項目組可以按需自行使用開源軟件。此外，超過60%的被調研企業(yè)沒有進行周期性的制度評審，也未根據實際情況持續(xù)優(yōu)化制度內容。這些結果表明，這些企業(yè)的開源軟件管理制度存在較大的缺陷，使用和評估開源軟件缺乏規(guī)范性和持續(xù)性，可能導致不可控風險加劇。針對開源軟件設置明確的風險紅線待提升領域OSGMM2.02024年中國企業(yè)開源治理全景觀察在風險管理方面，大部分企業(yè)在風險管理工具、合規(guī)風險管理等方面能力存在不足。根據調研結果，超過57%的企業(yè)缺乏軟件成分分析（SCA）工具，且尚未建立SBOM（軟件物料清單）的生成與管理機制。與此同時，開源合規(guī)管理機制相對薄弱，超過76%的企業(yè)允許引入AGPL、GPL類許可證，卻未建立嚴格的開源合規(guī)評估流程。上述缺陷可能加劇潛在的法律和合規(guī)風險，并會對企業(yè)的知識產權和商業(yè)模式產生不利影響。在軟件測評方面，部分企業(yè)需加強對開源軟件各個版本的評審和管控。超過63%的企業(yè)缺乏統(tǒng)一的開源軟件引入評估模型。此外，超過70%的企業(yè)僅對軟件的大版本進行管控，對小版本的使用采用相對簡化的引入評估流程，且主要關注安全漏洞情況。缺乏企業(yè)級統(tǒng)一的評估模型和對各個版本的全面管控可能導致潛在的安全風險和合規(guī)問題。待提升領域針對存量軟件/第三方軟件設置清晰的治理規(guī)劃？OSGMM2.02024年中國企業(yè)開源治理全景觀察從存量管理層面來看，大部分企業(yè)未形成清晰的存量軟件治理規(guī)劃。超過65%的企業(yè)缺乏存量開源軟件治理規(guī)劃，包括年度目標、計劃等。此外，超過60%的企業(yè)僅在新增的安全事件、生態(tài)變化等外部因素觸發(fā)時針對存量開源軟件進行非周期檢查，而未針對開源許可證、開源社區(qū)健康度等進行持續(xù)跟蹤。上述情況將導致潛在的安全風險和合規(guī)問題。在第三方軟件管理方面，企業(yè)對于第三方軟件的管理存在一定不足。超過80%的企業(yè)通過合同義務來規(guī)范軟件供應商，以確保其遵循企業(yè)的開源軟件治理要求。然而，較少公司通過交付時檢查組件清單/分發(fā)說明、要求供應商提供第三方檢測報告等方式來確保軟件的合規(guī)性。雖然通過合同規(guī)范能夠在一定程度上轉嫁第三方違規(guī)使用開源軟件的風險，但缺乏對軟件供應商交付物的實際檢查和驗證，不足以規(guī)避供應商軟件中的安全合規(guī)風險。結論和建議OSGMM評估意義何在

？OSGMM2.02024年中國企業(yè)開源治理全景觀察規(guī)范企業(yè)合理應用開源技術，提高企業(yè)應用水平和自主可控能力，促進開源技術健康可持續(xù)發(fā)展。有效提升企業(yè)開源風險控制能力，針對開源風險從被動應對到主動防御，更有效的控制開源風險。推動企業(yè)開源治理流程落地，通過一系列管理規(guī)程及平臺建設落地開源軟件管理機制。無論貴公司是正在制定開源軟件治理計劃，還是已經開始維護成熟的開源軟件治理體系，都應該已經實施或正在考慮實施以下關鍵舉措：構建開源治理的專業(yè)化團隊，團隊成員應包括在開源軟件使用全生命周期中所涉及的來自于架構、開發(fā)、運維、安全、法務等部門的負責人員。將開源治理要求嵌入到現有規(guī)章、辦法、手冊或信息系統(tǒng)中的流程制度。建立一套適合于企業(yè)業(yè)務和管理特點的開源軟件評估評價方法，用于指導開源軟件的引入和選型。構建開源治理支撐平臺。用于支撐開源軟件治理的平臺系統(tǒng)，是整個開源治理工作高效運行的技術保障。在使用開源軟件過程中，必須嚴格遵從開源軟件許可證的規(guī)定，避免開源法律風險；同時企業(yè)需通過內外部運維支撐力量快速、及時地修復開源軟件漏洞，降低產品被攻擊的可能性。如果貴公司還未制定開源軟件治理計劃，您可以采用可信開源治理能力成熟度評估（OSGMM）對公司當前開源軟件治理水平進行評估、確定貴公司想要實現的狀態(tài)和目標，并明晰二者之前的差距。最后，將全景觀察結果作為基線來考量同行開展的主要開源治理活動，并據此制定貴公司的開源軟件治理能力構建計劃。第三部分可信開源治理服務中國信通院可信開源治理“三位一體”服務企業(yè)級開源治理標準為企業(yè)提供一套規(guī)范和流程，指導和規(guī)范開源軟件的使用和管理。提供基礎和參考開源治理公共知識庫開源治理公共知識庫提供開源治理的基礎知識和指南，包括開源治理體系、許可證類型解釋、開源軟件安全性評估方法等，幫助企業(yè)建立起對開源軟件的全面理解和認知。確保咨詢服務的有效性和可行性OSGMM2.02024年中國企業(yè)開源治理全景觀察收集總結企業(yè)通用的實踐經驗為知識庫提供最佳方法論企業(yè)級開源治理賦能服務為企業(yè)提供定制化的解決方案和咨詢服務，幫助企業(yè)根據自身需求和實際情況建立和完善開源治理體系。收集和整理企業(yè)的反饋和需求持續(xù)優(yōu)化企業(yè)級開源治理標準可信開源治理“三位一體”服務是一個綜合性的解決方案，涵蓋了企業(yè)級開源治理標準、企業(yè)級開源治理咨詢服務和開源治理公共知識庫，通過閉環(huán)機制，企業(yè)能夠不斷優(yōu)化和完善自身的開源治理體系，提高開源軟件的使用效率和安全性，同時也為整個行業(yè)的開源治理能力提升做出貢獻。服務客戶（部分）OSGMM-《開源軟件治理能力成熟度模型》適用對象：面向開源使用企業(yè)；使用范圍：適用于評估和提升企業(yè)在開源軟件治理方面的成熟度，幫助企業(yè)了解當前的治理狀況、識別存在的挑戰(zhàn)和問題，并提供指導和建議來改進和加強開源軟件治理能力。評估通過情況（部分）圖：“企業(yè)開源治理能力成熟度評估”框架OSGMM2.02024年中國企業(yè)開源治理全景觀察OSGMM評估增值服務-成熟度水位線圖/象限圖組織機制管理制度風險管理軟件測評開發(fā)測試管理持續(xù)跟蹤退出管理存量管理第三方管理所有企業(yè)0.501.02.01.52.53.0A企業(yè) 運維管理成熟度水位線圖：調研企業(yè)在各項開源治理實踐中達到的平均高位標記過程維度能力維度平均值中位值企業(yè)值基礎級 增強級 先進級OSGMM2.02024年中國企業(yè)開源治理全景觀察成熟度象限圖：

調研企業(yè)開源治理能力在行業(yè)內排位情況開源治理成熟度水位線圖和開源治理成熟度象限圖為企業(yè)提供了有價值的工具來評估和比較其在開源治理方面的實踐能力和水平。水位線圖通過設定基線，幫助企業(yè)比較其在各項治理指標上的表現，并確定相對成熟度水平。而象限圖則通過可視化的方式，清晰地展示了企業(yè)在行業(yè)內的開源治理水平，幫助企業(yè)了解自身的位置和相對優(yōu)劣。通過OSGMM評估實現開源治理工作從松散管理，到統(tǒng)一管控，再到統(tǒng)一治理的能力跨越中國聯(lián)通軟件研究院于2015年7月成立，經歷了7年多的時間，從CB1.0到CB2.0上線，從啟動云化架構到全面云原生架構，持續(xù)構建平臺化、生態(tài)化、全棧云平臺——聯(lián)通云，使用開源、商業(yè)及自主研發(fā)的軟件300多種，開源組件20000多個，支撐中國聯(lián)通1300多個生產業(yè)務系統(tǒng)。自2021年，中國聯(lián)通軟件研究院啟動了開源治理工作，并在聯(lián)通軟研院內部建立開源治理組織保障機制，包括決策團隊、專家團隊、運營團隊、專業(yè)團隊、法務團隊及安全團隊，為開源軟件治理工作奠定基礎。由于中國聯(lián)通軟件研究院在開源軟件治理方面，起步較晚，治理工作還不成熟。2022年9月，中國聯(lián)通軟件研究院參與OSGMM評估工作。該評估幫助軟研院梳理和整合了其在開源治理相關資源和機制，并幫助其實現了開源治理工作從松散管理，到統(tǒng)一管控，再到統(tǒng)一治理的能力跨越，規(guī)范了軟研院各業(yè)務側安全合規(guī)使用開源軟件，降低了使用開源軟件帶來的技術風險及運維風險。同時開源治理工作受到院領導及集團領導的高度重視，加快推動了開源治理工作從管理、管控到向治理階段邁進。OSGMM評估意義何在

？規(guī)范企業(yè)合理應用開源技術，提高企業(yè)應用水平和自主可控能力，促進開源技術健康可持續(xù)發(fā)展。有效提升企業(yè)開源風險控制能力，針對開源風險從被動應對到主動防御