2024年企業(yè)開源治理全景觀察報告

2024年中國企業(yè)

開源治理全景觀察第一部分概述2020年，

中國信息通信研究院制定標準《開源治理能力評價方法第

3

部分：成熟度模型》(Open

Source

Governance

Maturity

Model

，簡稱“OSGMM”)，確立了企業(yè)開源治

理能力框架

，規(guī)定了企業(yè)用戶在使用開源軟件時應遵循的流程及規(guī)范，

以及企業(yè)開源治

理能力成熟度的評價方法

，有效幫助了眾多企業(yè)構建和提升開源治理能力。為了解中國企業(yè)的開源風險治理舉措和治理水平，

中國信息通信研究院依托金融行業(yè)開源技術應用社區(qū)（FINOC）

、通信行業(yè)開源社區(qū)（ICTOSC）

、汽車行業(yè)開源社區(qū)等組織，通過問卷調查的形式針對多個行業(yè)開展了開源軟件治理能力成熟度調研，

以明晰開源治理的行業(yè)現(xiàn)狀以及未來的蓄力方向。OSGMM2.02024年中國企業(yè)開源治理全景觀察概

述a

1-1000a1000-10000a

1萬-10萬.10萬以上19%27%23%31%OSGMM2024報告深入分析了來自七大行業(yè)（包括金融、通信、汽車、能源、互聯(lián)網、軟件和信息服務業(yè)及制造業(yè)）共121家不同規(guī)模企業(yè)的開源治理活動匿

名數(shù)據(jù)，涉及的企業(yè)分布可參見圖1和圖2。此外，圖3展示了企業(yè)在開源軟件/組件方面的使用量級，圖4揭示了企業(yè)在本年度最為關注的開源風險問題。9%30%16%16%15%4%27%40%10%23%9%24%31%36%u金融行業(yè)汽車行業(yè)軟件和信息服務業(yè)

制造行業(yè)u通信行業(yè)能源行業(yè)互聯(lián)網行業(yè)OSGMM2024參與者OSGMM2.02024年中國企業(yè)開源治理全景觀察

1-1000人

1000-10000人

10000-100000人

100000人以上管理風險w合規(guī)和知識產權風險圖3OSGMM參與企業(yè)開源軟件/組件使用數(shù)量級運維和技術風險安全風險圖4OSGMM參與企業(yè)最關注的開源風險圖1OSGMM參與企業(yè)所處行業(yè)圖2OSGMM參與企業(yè)規(guī)模第二部分洞察OSGMM1.0整體框架由開源軟件應用治理的3個能力要素和7個過程環(huán)節(jié)組成，包括：組織機構、管理制度、風險管理、軟件測評、開發(fā)測試、運維管理、持續(xù)跟

蹤、退出管理、存量軟件管理、第三方軟件管理等領域的40余項活動。為降低開源軟件應用風險

，

OSGMM活動可視為在企業(yè)開展開源軟件治理過程中所實施的控制措施，以預防、檢測、糾正或控制開源軟件使用所帶來的系列風險。OSGMM活動級別代表了參與企業(yè)各項能力水準，具有【基礎執(zhí)行能力】

被指定為“基礎級-第1級”，具有【統(tǒng)一組織規(guī)劃能力】

被指定為“增強級-第2級”，具

備【自動化的執(zhí)行能力】被指定為“先進級-第3級”。OSGMM框架OSGMM2.02024年中國企業(yè)開源治理全景觀察圖5OSGMM1.0模型OSGMM2024開源治理活動TOP10活動出現(xiàn)頻率活動描述100%制定開源軟件的引入、使用、維護、退出等方面的制度規(guī)定100%在引入開源軟件后，對開源漏洞、許可證信息進行持續(xù)跟蹤100%明確企業(yè)開源治理的目標、原則、范圍和流程，為后續(xù)的開源工作提供指導100%成立全職/兼職開源管理團隊或辦公室，負責企業(yè)內部的開源治理工作98%登記內部所有存量軟件94%定期開展（一年2次及以上）開源相關培訓93%通過合同義務確保軟件供應商遵循企業(yè)的開源軟件治理要求90%建設開源管理平臺，輔助管理和統(tǒng)計開源軟件信息情況及風險信息處置情況89%針對系統(tǒng)軟件需求編制安裝部署規(guī)范、使用操作手冊等相關配套文檔88%在引入開源軟件時，進行同類軟件對比與社區(qū)健康度評估工作下表列出了2024開源治理全景觀察數(shù)據(jù)池中觀察到次數(shù)最多的10項活動，

以下活動皆常見于成功的開源治理實踐中（增強級及以上）

。數(shù)據(jù)表明，如果組織正在制定自己的開源治理計劃

，應考慮采取這些活動。OSGMM開源治理活動TOP10OSGMM2.02024年中國企業(yè)開源治理全景觀察Q:貴公司是否具備企業(yè)級開源軟件管理制度？l洞察：部分企業(yè)開源軟件管理主要依靠相關人員過往經驗

，

針對重要開源軟件能夠形成配套管理制度

，

但未制定企業(yè)級的開源軟件流程制度規(guī)

范

，

未提出對開源軟件全生命周期中的風險管理要求。l

超38%的被調研企業(yè)不具備企業(yè)級開源軟件管理制度。Q:是否有明確的開源軟件治理規(guī)劃(治理目標、年度計劃等)？l洞察：部分企業(yè)對于開源軟件治理戰(zhàn)略重要性認識不足

，

開源治理缺乏客觀性和系統(tǒng)性

，

重度依賴過往經驗

，

僅由事件觸發(fā)治理機制。l

超53%的被調研企業(yè)不具備明確的開源軟件治理規(guī)劃

（治理目標、

年度計劃等）

。OSGMM2024-各領域關鍵活動實踐情況OSGMM2.02024年中國企業(yè)開源治理全景觀察組織機制管理制度Q:企業(yè)內處理開源組件安全漏洞的方式有哪些？

（多選）l洞察：

根據(jù)安全漏洞風險等級的不同

，企業(yè)處理開源組件安全漏洞的方式也有所不同；依靠內部力量處理開源組件安全漏洞所需投入資源較多

，對運維人

員能力要求較高

，通常并非企業(yè)首選。l

約97%的被調研企業(yè)通過版本升級處理開源組件安全漏洞；

72%的被調研企業(yè)通過手動應用補丁應對安全漏洞；

27%的被調研企業(yè)視情況替換組件

或者刪除該組件

，約10%的企業(yè)不做處理。Q:在引入開源軟件時，

會進行哪些評測工作？

（多選）l洞察：

大部分企業(yè)在引入開源軟件時進行了軟件功能評估、

同類軟件對比

，但在項目活躍度評估、行業(yè)認可度和軟件質量評估以及服務支持評估方面仍有

改進空間。l

98%的被調研企業(yè)在引入開源軟件時

，進行軟件功能評估以及同類軟件對比工作；53%的企業(yè)進行項目活躍度評估；

48%的企業(yè)進行行業(yè)認可度

評估及軟件質量評估；約23%的企業(yè)會進行服務支持評估；

2%的企業(yè)不進行任何評估。OSGMM2024-各領域關鍵活動實踐情況OSGMM2.02024年中國企業(yè)開源治理全景觀察風險管理軟件測評Q:與外部開源社區(qū)的交互狀態(tài)是？l洞察：

當前我國大部分企業(yè)對于開源軟件還僅停留在使用層面

，未進行對外開源貢獻

，這與開源軟件在我國發(fā)展較晚

，我國企業(yè)對于開源共建共享的意識

不足等因素有關。l

約86%的被調研企業(yè)僅使用外部開源社區(qū)項目

，關注開源社區(qū)動態(tài)；

14%的被調研企業(yè)還會參與外部開源社區(qū)貢獻和建設

，與外部開源社區(qū)建立起良好

的溝通反饋機制。Q:開源軟件確定對應負責管理部門的原則是？l洞察：企業(yè)屬性和內部職責劃分的不同

，

導致企業(yè)開源軟件維護主體相關規(guī)則差異較大。l

45%的被調研企業(yè)秉持誰先引入誰負責的原則；

28%的被調研企業(yè)按部門職責進行劃分；

15%的企業(yè)誰使用誰負責；12%的企業(yè)由技術委

員會評估確定。OSGMM2024-各領域關鍵活動實踐情況OSGMM2.02024年中國企業(yè)開源治理全景觀察開發(fā)測試運維管理Q:在引入開源軟件后，

會對哪些信息進行持續(xù)跟蹤?

（多選）l洞察：開源軟件安全漏洞問題所帶來的負面影響更為直接

，

我國大部分企業(yè)明顯更重視開源軟件安全

，

并對開源漏洞信息和版本進行持續(xù)跟蹤。l

約100%的被調研企業(yè)在引入開源軟件后

，

對開源漏洞信息進行持續(xù)跟蹤；

78%的企業(yè)會進行開源許可證跟蹤；

75%的企業(yè)進行版本跟蹤；

21%的企業(yè)進行社區(qū)基本情況的跟蹤。Q:決定不再使用某種開源軟件，

對于軟件退出的依據(jù)是？

（多選）l洞察：我國企業(yè)對于開源軟件安全風險問題已有較高程度認知。l

100%的被調研企業(yè)在面臨嚴重安全問題時進行軟件退出操作；

50%的被調研企業(yè)在面臨法律合規(guī)紅線時

，

進行軟件的退出管理；

48%的企

業(yè)當開源軟件不滿足業(yè)務場景時會進行退出規(guī)劃；

24%的企業(yè)因開源軟件更新頻次過低或版本過老而進行退出規(guī)劃。OSGMM2024-各領域關鍵活動實踐情況OSGMM2.02024年中國企業(yè)開源治理全景觀察持續(xù)跟蹤退出管理Q:如何確保軟件供應商遵循企業(yè)的開源軟件治理要求？

（多選）l洞察：我國企業(yè)對于第三方軟件管理的重視程度存在不足，

同時缺乏開源合規(guī)相關專業(yè)人員

，難以規(guī)范審查第三方軟件中專有代碼、開源代碼的交互方式

是否合規(guī)。l

超過80%的企業(yè)通過合同義務來規(guī)范軟件供應商，

以確保其遵循企業(yè)的開源軟件治理要求；

23%的企業(yè)通過交付時檢查組件清單/分發(fā)說明確保供應商

遵守要求；

8%的企業(yè)要求供應商提供第三方檢測報告。Q:針對內部所有存量開源軟件的管理措施是？l洞察：我國企業(yè)開源治理工作開展較晚

，

存量開源軟件量級較大

，

因此對于存量軟件的全量、

周期性管理存在一定困難。l

超過60%的企業(yè)僅在新增的安全事件

、

生態(tài)變化等外部因素觸發(fā)時針對存量開源軟件進行非周期檢查；約28%的企業(yè)對存量開源軟件的安全

合規(guī)性與依賴情況進行周期性分析檢查；12%的企業(yè)不針對存量開源軟件進行檢查。OSGMM2024-各領域關鍵活動實踐情況OSGMM2.02024年中國企業(yè)開源治理全景觀察存量管理第三方管理開源治理成熟度高水位線圖提供了基線

，

用于比較企業(yè)在

各項治理指標中的實踐能力和水平。成熟度級別代表了參

與企業(yè)各項能力水準

，具有基礎執(zhí)行能力被指定為

“第1

級”

，具有統(tǒng)一組織規(guī)劃的執(zhí)行能力被指定為

“第2級”

，

具備自動化的執(zhí)行能力被指定為“第3級”。水位線通常表示成熟度

，如3級的水位線高

，

2級的水位線

較低。如上圖所示

，所有參與本次調研的企業(yè)

，在

“管理

制度”、

“存量軟件管理”、

“開發(fā)測試”、

“軟件測評

”

等指標下的能力較之于其他項下的能力稍強一些。

所有企業(yè)風險管理軟件測評第三方軟件管理存量軟件管理退出管理垂直行業(yè)比較OSGMM2.02024年中國企業(yè)開源治理全景觀察圖6OSGMM所有參與企業(yè)各項實踐能力情況持續(xù)跟蹤

開發(fā)測試2.52.01.51.0組織機制運維管理管理制度0.503.0根據(jù)調研結果顯示

，

金融和通信行業(yè)在開源軟件治理方

面存在不同的側重點和成熟度水平

。

由于各自不同的特

性和需求

，

它們在開源軟件治理的側重點和成熟度方面

存在差異。l通信行業(yè)強調供應鏈管理和第三方軟件管理。l金融行業(yè)則受到監(jiān)管指引和法規(guī)要求的推動

，

更注重

安全性和數(shù)據(jù)保護。通信行業(yè)通信行業(yè)通常具備更加完善的供應鏈管理措施

。

通信行

業(yè)中涉及到硬件設備和網絡基礎設施等復雜組件的供應

鏈

，

促使通信企業(yè)在開源軟件治理中更加重視第三方軟

件管理。

這使得通信行業(yè)在第三方軟件的評估

、

審查和

合規(guī)方面表現(xiàn)出更高的成熟度。2.52.01.51.00.50持續(xù)跟蹤

金融行業(yè)

通信行業(yè)風險管理軟件測評第三方軟件管理存量軟件管理退出管理運維管理圖7OSGMM金融和通信行業(yè)參與企業(yè)各項實踐能力情況金融行業(yè)和通信行業(yè)OSGMM2.02024年中國企業(yè)開源治理全景觀察組織機制管理制度開發(fā)測試3.0金融行業(yè)l監(jiān)管指引和法規(guī)要求金融行業(yè)受到監(jiān)管機構的嚴格監(jiān)管和法規(guī)要求

。

例如

，

人民銀行發(fā)布的《關于規(guī)范金融業(yè)開源技術應用與發(fā)展

的意見》

為金融企業(yè)提供了具體的指導和規(guī)范

，

推動金

融業(yè)開展開源治理活動

。

這使得金融行業(yè)在風險管理

、

軟件測評和退出管理等方面處于領先地位。l安全性要求和數(shù)據(jù)保護金融行業(yè)對安全性和數(shù)據(jù)保護通常具有更高的要求

。

金

融業(yè)務涉及敏感客戶數(shù)據(jù)和金融交易信息

，

故對于開源

軟件的安全性和合規(guī)性關注度更高

。

基于此

，

金融行業(yè)

在開源軟件治理中可能更加注重安全漏洞管理

、

漏洞修

復和持續(xù)監(jiān)測。能力維度

平均值

中位數(shù)

企業(yè)數(shù)值圖8金融行業(yè)部分企業(yè)OSGMM能力（圓圈大小代表企業(yè)規(guī)模）金融行業(yè)和通信行業(yè)OSGMM2.02024年中國企業(yè)開源治理全景觀察基礎級

增強級

先進級過程維度汽車、

能源和制造行業(yè)是三類存在上下游產業(yè)供應關系的行

業(yè)

，但在開源軟件治理方面?zhèn)戎攸c各異

，這可以部分歸因于

它們各自不同的特性和需求

，

以及與供應鏈、

軟件開發(fā)和行

業(yè)規(guī)范等相關因素的關系。l汽車行業(yè)在管理制度和開發(fā)測試方面表現(xiàn)較優(yōu)。l能源行業(yè)在第三方軟件管理和運維管理方面較為成熟。l制造行業(yè)的開源軟件治理能力整體相對較弱。能源行業(yè)第三方軟件管理和運維管理：能源行業(yè)與第三方軟件的關系

密切

，

因此在第三方軟件管理和運維管理方面表現(xiàn)相對成熟。

能源行業(yè)通常涉及復雜的系統(tǒng)和設備

，

并依賴于多個供應商

和合作伙伴提供軟件解決方案。

因此

，

為確保系統(tǒng)的穩(wěn)定性

和安全性

，對第三方軟件的管理和運維是關鍵。運維管理圖9OSGMM汽車、能源和制造行業(yè)參與企業(yè)各項實踐能力情況汽車行業(yè)、能源行業(yè)和制造行業(yè)存量軟件管理退出管理OSGMM2.02024年中國企業(yè)開源治理全景觀察風險管理軟件測評

汽車行業(yè)

能源行業(yè)

制造行業(yè)第三方軟件管理組織機制持續(xù)跟蹤管理制度開發(fā)測試

0

2.51.02.01.53.00.5汽車行業(yè)汽車行業(yè)通常在“管理制度

”方面表現(xiàn)出較高的成熟度。

由

于汽車行業(yè)的復雜性和生產流程的高度規(guī)范化

，汽車制造商

和供應商通常都具有嚴格的管理制度

，包括對開源軟件的審

查、評估和合規(guī)性要求。汽車行業(yè)對軟件的“開發(fā)和測試”有較高的要求。汽車中的

軟件往往更注重安全和功能性要求

，例如車輛控制系統(tǒng)和駕

駛輔助系統(tǒng)。

因此

，汽車行業(yè)在開源軟件的開發(fā)測試方面可

能投入更多資源

，

以確保軟件質量和安全性。制造行業(yè)制造行業(yè)整體而言

，在開源軟件治理方面的能力相對較弱。

盡管制造行業(yè)也涉及供應鏈和第三方軟件

，但沒有達到汽車

行業(yè)和能源行業(yè)對開源軟件的安全合規(guī)要求程度。這可能與

制造行業(yè)注重自主研發(fā)和專有技術有關

，故對開源軟件的使

用相對較少或較為有限?；A級

增強級

先進級能力維度。

平均值

e中位值

o

企業(yè)值圖10汽車行業(yè)部分企業(yè)OSGMM能力

（圓圈大小代表企業(yè)規(guī)模）汽車行業(yè)、能源行業(yè)和制造行業(yè)OSGMM2.02024年中國企業(yè)開源治理全景觀察過程維度軟件和信息服務行業(yè)與互聯(lián)網行業(yè)的差異可以歸因于它們各自不

同的特性和運營模式。l軟件和信息服務行業(yè)相對于互聯(lián)網行業(yè)在開源軟件治理能力

成熟度方面表現(xiàn)較高。l軟件和信息服務行業(yè)更注重存量軟件管理、

組織機制、

軟件

測評和開發(fā)測試等方面的實踐活動?；ヂ?lián)網行業(yè)l業(yè)務快速迭代：

互聯(lián)網行業(yè)特點是業(yè)務快速迭代和創(chuàng)新。這

意味著互聯(lián)網公司需要快速開發(fā)和部署新功能/服務

，

以滿

足市場需求。

這導致開源軟件治理方面投入相對較少

，

因為

更多的關注點可能集中在業(yè)務創(chuàng)新和快速交付上

，

而不是嚴

格的治理流程。l開源軟件使用量龐大：

由于互聯(lián)網公司的業(yè)務規(guī)模和復雜性

，

它們需要依賴廣泛的開源軟件生態(tài)系統(tǒng)。然而

，確保大量開

源軟件的合規(guī)性和安全性可能是一個挑戰(zhàn)

，特別是在開源軟

件快速發(fā)展和迭代的環(huán)境下。

軟件行業(yè)

互聯(lián)網行業(yè)風險管理軟件測評第三方軟件管理存量軟件管理退出管理軟件行業(yè)和互聯(lián)網行業(yè)OSGMM2.02024年中國企業(yè)開源治理全景觀察圖11OSGMM軟件和互聯(lián)網行業(yè)參與企業(yè)各項實踐能力情況組織機制運維管理持續(xù)跟蹤管理制度開發(fā)測試2.500.51.01.52.03.0軟件和信息服務行業(yè)l存量軟件管理：

軟件和信息服務行業(yè)對于存量軟件的管理能力

較高。

這一行業(yè)通常積累了大量的軟件資產和技術棧

，

對存量

軟件的規(guī)劃、

評估和管理具備較高的成熟度。

由于軟件和信息

服務公司的業(yè)務主要依賴于軟件開發(fā)和交付

，

因此存量軟件管

理往往是軟件行業(yè)重點關注的領域。l組織機制：

軟件和信息服務行業(yè)通常具備完善的組織機制來支

持開源軟件治理。

這些公司往往有明確的開源軟件治理團隊或

部門

，

負責制定治理策略、

管理流程和規(guī)范

，

以確保軟件的合

規(guī)性和安全性。l軟件測評和開發(fā)測試：

軟件和信息服務行業(yè)在軟件測評和開發(fā)

測試方面表現(xiàn)出較高的成熟度。

由于軟件和信息服務公司的核

心業(yè)務是軟件開發(fā)和交付

，

因此它們通常投入大量資源來進行

軟件測試、質量保證和漏洞修復等方面的工作。。

平均值

o中位值

o

企業(yè)值圖12軟件和信息服務行業(yè)部分企業(yè)OSGMM能力（圓圈大小代表企業(yè)規(guī)模）軟件行業(yè)和互聯(lián)網行業(yè)OSGMM2.02024年中國企業(yè)開源治理全景觀察基礎級

增強級

先進級能力維度過程維度根據(jù)調研結果

，被調研企業(yè)在開源治理能力成熟度各指標項下

，待提升能力如下：在組織機制方面

，部分企業(yè)在開源治理戰(zhàn)略、人力投入方面有所欠缺。在參與調研的企業(yè)中

，約45%的企業(yè)缺乏專門負責開源戰(zhàn)略和

治理的組織。另外

，超過80%的企業(yè)無全職人力資源分配給開

源戰(zhàn)略和治理工作。這些結果表明

，我國企業(yè)開源軟件治理機制存在著一定程度的缺失和不完善。在管理制度方面

，部分企業(yè)開源軟件管控力度有待提高。超過38%

的被調研企業(yè)在開源軟件方面沒有進行任何事前管控

，項目組可

以按需自行使用開源軟件。此外

，超過60%的被調研企業(yè)沒有進行

周期性的制度評審

，也未根據(jù)實際情況持續(xù)優(yōu)化制度內容。這些結果表明

，這些企業(yè)的開源軟件管理制度存在較大的缺陷

，使用和評估

開源軟件缺乏規(guī)范性和持續(xù)性

，可能導致不可控風險加劇。是否設置明確的

開源軟件治理

規(guī)劃/制度？待提升領域OSGMM2.02024年中國企業(yè)開源治理全景觀察在風險管理方面

，大部分企業(yè)在風險管理工具、合規(guī)風險管理等方面能力

存在不足。根據(jù)調研結果

，超過57%的企業(yè)缺乏軟件成分分析（SCA）

工具

，且尚未建立SBOM（軟件物料清單）

的生成與管理機制。與此同

時

，開源合規(guī)管理機制相對薄弱

，超過76%的企業(yè)允許引入AGPL、GPL類許可證

，卻未建立嚴格的開源合規(guī)評估流程。上述缺陷可能加劇潛在的法律和合規(guī)風險

，并會對企業(yè)的知識產權和商業(yè)模式產生不利影響。在軟件測評方面

，部分企業(yè)需加強對開源軟件各個版本的評審和管控。超

過63%的企業(yè)缺乏統(tǒng)一的開源軟件引入評估模型。此外

，超過70%

的企業(yè)僅對軟件的大版本進行管控

，對小版本的使用采用相對簡化的引

入評估流程

，且主要關注安全漏洞情況。缺乏企業(yè)級統(tǒng)一的評估模型和對各個版本的全面管控可能導致潛在的安全風險和合規(guī)問題。針對!開源軟件設置明確的風險紅線待提升領域OSGMM2.02024年中國企業(yè)開源治理全景觀察從存量管理層面來看

，大部分企業(yè)未形成清晰的存量軟件治理規(guī)劃。超

過65%的企業(yè)缺乏存量開源軟件治理規(guī)劃

，包括年度目標、計劃等。

此外

，超過60%的企業(yè)僅在新增的安全事件、生態(tài)變化等外部因素觸發(fā)

時針對存量開源軟件進行非周期檢查

，而未針對開源許可證、開源社區(qū)健康度等進行持續(xù)跟蹤。上述情況將導致潛在的安全風險和合規(guī)問題。在第三方軟件管理方面

，企業(yè)對于第三方軟件的管理存在一定不足。超

過80%的企業(yè)通過合同義務來規(guī)范軟件供應商

，以確保其遵循企業(yè)的開

源軟件治理要求。然而

，較少公司通過交付時檢查組件清單/分發(fā)

說明、

要求供應商提供第三方檢測報告等方式來確保軟件的合規(guī)

性。雖然通過合同規(guī)范能夠在一定程度上轉嫁第三方違規(guī)使用開源軟件的風險

，但缺乏對軟件供應商交付物的實際檢查和驗證

，不足以規(guī)避供應商軟件中的安全合規(guī)風險。針對存量軟件/第三方

軟件設置清晰的治理規(guī)劃？待提升領域OSGMM2.02024年中國企業(yè)開源治理全景觀察無論貴公司是正在制定開源軟件治理計劃

，還是已經開始維護成熟的開源

軟件治理體系

，都應該已經實施或正在考慮實施以下關鍵舉措：

構建開源治理的專業(yè)化團隊

，

團隊成員應包括在開源軟件使用全生命周期中所涉及的來自于架構、開發(fā)、運維、安全、法務等部門的負責人員。

將開源治理要求嵌入到現(xiàn)有規(guī)章、辦法、手冊或信息系統(tǒng)中的流程制度。

建立一套適合于企業(yè)業(yè)務和管理特點的開源軟件評估評價方法

，用于指導

開源軟件的引入和選型。

構建開源治理支撐平臺。用于支撐開源軟件治理的平臺系統(tǒng)

，是整個開源

治理工作高效運行的技術保障。

在使用開源軟件過程中

，必須嚴格遵從開源軟件許可證的規(guī)定

，避免開源

法律風險；

同時企業(yè)需通過內外部運維支撐力量快速、及時地修復開源軟

件漏洞

，降低產品被攻擊的可能性。

如果貴公司還未制定開源軟件治理計劃

，您可以采用可信開源治理能力

成熟度評估（OSGMM）

對公司當前開源軟件治理水平進行評估、確

定貴公司想要實現(xiàn)的狀態(tài)和目標

，并明晰二者之前的差距。最后

，將

全景

觀察

結果作為基線來考量同行開展的主要開源治理活動

，并據(jù)此制定貴公

司的開源軟件治理能力構建計劃。OSGMM評估意義何在？1.

規(guī)范企業(yè)合理應用開源技術

，提高企業(yè)應用水平和自主可控能力

，促進開源技術健康可

持續(xù)發(fā)展。2.

有效提升企業(yè)開源風險控制能力

，針對開源風險從被動應對到主動防御

，更有效的控制

開源風險。3.

推動企業(yè)開源治理流程落地

，通過一系列管理規(guī)程及平臺建設落地開源軟件管理機制。結論和建議OSGMM2.02024年中國企業(yè)開源治理全景觀察第三部分可信開源治理服務Tencent騰訊開源治理公共知識庫開源治理公共知識庫提供開源治理的基礎知識和指南，包括開源治理體系、許可證類型解釋、開源軟件安全性評估方法等，幫助企業(yè)建立起對開源軟件的全面理解和認知。企業(yè)級開源治理標準為企業(yè)提供一套規(guī)范和流程，指導和規(guī)范開源軟件的使用和管理。企業(yè)級開源治理賦能服務為企業(yè)提供定制化的解決方案和咨詢服務，幫助企業(yè)根據(jù)自身需求和實際情況建立和完善開源治理體系?？尚砰_源治理“三位一體”服務是一個綜合性的解決方案，涵蓋了企業(yè)級開源治理標準、企業(yè)級開源治理咨詢服務和開源治理公共知識庫，通過閉環(huán)機制，企業(yè)能夠不斷優(yōu)化和完善自身的開源治理體系，提高開源軟件的使用效率和安全性，同時也為整個行業(yè)的開源治理能力提升做出貢獻。中國信通院可信開源治理“三位一體”服務OSGMM2.02024年中國企業(yè)開源治理全景觀察服務客戶（部分）確保咨詢服務的

有效性和可行性持續(xù)優(yōu)化企業(yè)級

開源治理標準為知識庫提供最佳方法論收集和整理企業(yè)

的反饋和需求收集總結企業(yè)通

用的實踐經驗提供基礎和參考n

適用對象：面向開源使用企業(yè)；n

使用范圍：適用于評估和提升企業(yè)在開源軟件治理方面的成熟度

，幫助企業(yè)了解當前的治理狀況、識別存在的挑戰(zhàn)和問題

，并提供指導和建議來改進和加強開源軟件治理能力。OSGMM-《開源軟件治理能力成熟度模型》OSGMM2.02024年中國企業(yè)開源治理全景觀察評估通過情況（部分）圖：“企業(yè)開源治理能力成熟度評估”框架基礎級

增強級

先進級能力維度開源治理成熟度水位線圖和開源治理成熟度象限圖為企業(yè)提供了有價值的工具來評估和比較其在開源治理方面的實踐能力和水平。水位線圖通過設定基線，

幫助企業(yè)比較其

在各項治理指標上的表現(xiàn)，并確定相對成熟度水平。而象限圖則通過可視化的方式，清晰地展示了企業(yè)在行業(yè)內的開源治理水平，幫助企業(yè)了解自身的位置和相對優(yōu)劣。2.52.01.51.00.50持續(xù)跟蹤第三方管理存量管理退出管理風險管理軟件測評開發(fā)測試管理OSGMM評估增值服務-成熟度水位線圖/象限圖

平均值

中位值

企業(yè)值成熟度象限圖：調研企業(yè)開源治理能力在行業(yè)內排位情況OSGMM2.02024年中國企業(yè)開源治理全景觀察成熟度水位線圖：調研企業(yè)在各項開源治理實踐中達到的平均高位標記

A企業(yè)運維管理

所有企業(yè)組織機制管理制度過程維度3.0通過OSGMM評估實現(xiàn)開源治理工作從松散管理

，到統(tǒng)一管控

，再到統(tǒng)一治

理的能力跨越中國聯(lián)通軟件研究院于2015年7月成立

，經歷了7年多的時間

，從CB1.0到CB2.0上線

，從啟動云化架構到全面云原生架構

，持續(xù)構建平臺化、生態(tài)化、全棧云平臺

——聯(lián)通云

，使用開源、商業(yè)及自主研發(fā)的軟件300多種

，開源組件20000多個

，

支撐中國聯(lián)通1300多個生產業(yè)務系統(tǒng)。自2021年

，

中國聯(lián)通軟件研究院啟動了開源治理工作

，并在聯(lián)通軟研院內部建立開源治理組織保障機制

，包括決策團隊、專家團隊、運營團隊、專業(yè)團隊、法務團

隊及安全團隊

，為開源軟件治理工作奠定基礎。由于中國聯(lián)通軟件研究院在開源軟件治理方面

，起步較晚

，治理工作還不成熟。2022年9月

，中國聯(lián)通軟件研究院參與OSGMM評估工作。該評估幫助軟研院梳

理和整合了其在開源治理相關資源和機制

，并幫助其實現(xiàn)了開源治理工作從松散管

理

，到統(tǒng)一管控

，再到統(tǒng)一治理的能力跨越

，規(guī)范了軟研院各業(yè)務側安全合規(guī)使用開源軟件

，降低了使用開源軟件帶來的技術風險及運維風險。

同時開源治理工作受

到院領導及集團領導的高度重視

，加快推動了開源治理工作從管理、管控到向治理

階段邁進。OSGMM評估意義何在？1.

規(guī)范企業(yè)合理應用開源技術

，提高企業(yè)應用水平和自主可控能力

，促進開源技術健康可

持續(xù)發(fā)展。2.

有效提升企業(yè)開源風險控制能力

，針對開源風險從被動應對到主動防御

，更有效的控制

開源風險。3.

推動企業(yè)開源治理流程落地

，通過一系列管理規(guī)程及平臺建設落地開源軟件管理機制。OSGMM評估案例OSGMM2.02024年中國企業(yè)開源治理全景觀察企業(yè)咨詢訂閱服務

評估體系開源通識預評估

+

正式評估差距分析生態(tài)建設培訓診斷咨詢訂閱

評估通過項目咨詢等形式為企業(yè)提供關于開源技術、策略、合規(guī)性和最佳實踐的專業(yè)建議。使用開源擁抱開源