云計算開源產(chǎn)業(yè)聯(lián)盟：2023年中國企業(yè)開源治理全景觀察報告

2023年中國企業(yè)

開源治理全景觀察

第一部分概述

概述

2020年，中國信息通信研究院制定標(biāo)準(zhǔn)《開源軟件治理能力評價方法第3部分：成熟度

模型》，確立了企業(yè)開源軟件治理能力框架，規(guī)定了開源用戶企業(yè)在使用開源軟件時應(yīng)

遵循的流程及規(guī)范，以及企業(yè)開源軟件治理能力成熟度的評價方法，有效幫助了眾多企

業(yè)構(gòu)建和提升開源軟件治理能力。

為了解中國企業(yè)的開源風(fēng)險治理舉措和治理水平，中國信息通信研究院依托金融行業(yè)開

源技術(shù)應(yīng)用社區(qū)（FINOC）、通信行業(yè)開源社區(qū)（ICTOSC）、汽車行業(yè)開源社區(qū)等組織，

通過問卷調(diào)查的形式針對七大行業(yè)的105家企業(yè)開展了開源軟件治理能力成熟度調(diào)研，以

明晰開源治理的行業(yè)現(xiàn)狀以及未來的蓄力方向。

3

調(diào)研參與者

《2023年中國企業(yè)開源治理全景觀察》共研究了來自不同行業(yè)的105家企業(yè)的開源軟件治理能力數(shù)據(jù)，包括金融行業(yè)、通信行業(yè)、汽車行業(yè)、能源行業(yè)、軟件

和信息服務(wù)業(yè)、互聯(lián)網(wǎng)行業(yè)和制造行業(yè)不同規(guī)模的企業(yè)。

金融行業(yè)通信行業(yè)

汽車行業(yè)能源行業(yè)

軟件和信息服務(wù)業(yè)互聯(lián)網(wǎng)行業(yè)1-100人100-500人100-10001000-10000運維和技術(shù)風(fēng)險管理風(fēng)險

制造行業(yè)500-5000人5000人以上1萬-10萬10萬以上安全風(fēng)險合規(guī)和知識產(chǎn)權(quán)風(fēng)險

9%

12%10%

28%

14%

35%

40%18%40%

47%

35%

20%

15%

10%

4%23%

10%15%15%

圖1調(diào)研參與企業(yè)所處行業(yè)圖2調(diào)研參與企業(yè)規(guī)模圖3調(diào)研參與企業(yè)開源軟件使用數(shù)量級圖4調(diào)研參與企業(yè)關(guān)注的開源風(fēng)險

4

開源治理全景觀察框架

《2023中國企業(yè)開源治理全景觀察整體》調(diào)研框架由開源軟件治理的7個過程環(huán)節(jié)和3個能力要素組成，包括：組織機(jī)構(gòu)、管理制度、風(fēng)險管理、軟件測

評、開發(fā)測試、運維管理、持續(xù)跟蹤、退出管理、存量軟件管理、第三方軟件管理等領(lǐng)域的40余項活動。

開源治理活動級別代表了參與企業(yè)各項能力水平，具有【基礎(chǔ)執(zhí)行能力】被指定為“基礎(chǔ)級-第1級”，具有【統(tǒng)一組織規(guī)劃能力】被指定為“增強(qiáng)級-第2級”，

具備【自動化的執(zhí)行能力】被指定為“先進(jìn)級-第3級”。

圖5OSGMM模型

5

術(shù)語

術(shù)語表

?開源?開源軟件?開源許可證

開放一類技術(shù)或一種產(chǎn)品的源代碼，源數(shù)源代碼免費向公眾開放，任何團(tuán)體或個人開源軟件的版權(quán)持有人通過該類許可證，

據(jù)，源資產(chǎn)，可以是各行業(yè)的技術(shù)或產(chǎn)品，都可以在其許可證的規(guī)定下對其進(jìn)行使用、授予用戶可以學(xué)習(xí)、使用、修改開源軟件，

其范疇涵蓋文化、產(chǎn)業(yè)、法律、技術(shù)等多復(fù)制、傳播及修改，并可以將該修改形成并向任何人或為任何目的分發(fā)開源軟件的

個社會維度。的軟件的衍生版本再發(fā)布。開放軟件受適權(quán)利。

用版權(quán)法的保護(hù)，使用時應(yīng)遵循其許可證

的各項條件。

?系統(tǒng)軟件?存量管理?第三方軟件管理

能夠?qū)τ布Y源進(jìn)行調(diào)度和管理、為應(yīng)用對企業(yè)開展開源治理工作前已引入企業(yè)內(nèi)通過管理措施確保第三方軟件供應(yīng)商遵循

軟件提供運行支撐的軟件。部的開源軟件進(jìn)行管理。企業(yè)的開源代碼安全合規(guī)要求。

6

第二部分洞察

2023中國企業(yè)開源治理活動TOP10

下表列出了2023中國企業(yè)開源治理全景觀察數(shù)據(jù)池中觀察到次數(shù)最多的10項活動，以下活動皆常見于非常成功的開源治理實踐中。數(shù)據(jù)表明，

如果組織正在制定自己的開源治理計劃，應(yīng)考慮采取這些活動。

2023中國企業(yè)開源治理活動TOP10

活動出現(xiàn)頻率活動描述

91%在面臨安全問題時及時評估，并有規(guī)劃進(jìn)行軟件退出操作。

88%通過合同義務(wù)確保軟件供應(yīng)商遵循企業(yè)的開源軟件治理要求

88%在引入開源軟件后，對開源漏洞信息進(jìn)行持續(xù)跟蹤

87%通過版本升級處理開源組件安全漏洞

85%登記內(nèi)部所有存量軟件

82%定期開展（一年2次及以上）開源相關(guān)培訓(xùn)

82%制定企業(yè)級/部門級新技術(shù)及開源軟件管理相關(guān)制度和流程

79%建設(shè)開源管理平臺，輔助管理和統(tǒng)計開源軟件信息情況及風(fēng)險信息處置情況

77%針對系統(tǒng)軟件需求編制安裝部署規(guī)范、使用操作手冊等相關(guān)配套文檔

75%在引入開源軟件時，進(jìn)行軟件功能評估以及同類軟件對比工作

8

各領(lǐng)域關(guān)鍵活動實踐情況

組織機(jī)制

Q:是否有明確的開源軟件治理規(guī)劃(治理目標(biāo)、年度計劃等)？

?

洞察：部分企業(yè)對于開源軟件治理戰(zhàn)略重要性認(rèn)識不足，開源治理缺乏客觀性和系統(tǒng)性，重度依賴過往經(jīng)驗，僅由事件觸發(fā)治理機(jī)制。

?

超60%的被調(diào)研企業(yè)不具備明確的開源軟件治理規(guī)劃（治理目標(biāo)、年度計劃等）。

管理制度

Q:貴公司是否具備企業(yè)級開源軟件管理制度？

?

洞察：部分企業(yè)開源軟件管理主要依靠相關(guān)人員過往經(jīng)驗，針對重要開源軟件能夠形成配套管理制度，但未制定企業(yè)級的開源軟件流程制度規(guī)

范，未提出對開源軟件全生命周期中的風(fēng)險管理要求。

?

超40%的被調(diào)研企業(yè)不具備企業(yè)級開源軟件管理制度。

9

各領(lǐng)域關(guān)鍵活動實踐情況

風(fēng)險管理

Q:企業(yè)內(nèi)處理開源組件安全漏洞的方式有哪些？（多選）

?

洞察：根據(jù)安全漏洞風(fēng)險等級的不同，企業(yè)處理開源組件安全漏洞的方式也有所不同；依靠內(nèi)部力量處理開源組件安全漏洞所需投入資源較多，對運維人

員能力要求較高，通常并非企業(yè)首選。

?

約87%的被調(diào)研企業(yè)通過版本升級處理開源組件安全漏洞；72%的被調(diào)研企業(yè)通過手動應(yīng)用補(bǔ)丁應(yīng)對安全漏洞；77%的被調(diào)研企業(yè)替換組件或者刪

除該組件，約10%的企業(yè)不做處理。

軟件測評

Q:在引入開源軟件時，會進(jìn)行哪些評測工作？（多選）

?

洞察：大部分企業(yè)在引入開源軟件時進(jìn)行了軟件功能評估、同類軟件對比、項目活躍度評估以及行業(yè)認(rèn)可度和軟件質(zhì)量評估，但在服務(wù)支持評估方面仍有

改進(jìn)空間。

?

75%的被調(diào)研企業(yè)在引入開源軟件時，進(jìn)行軟件功能評估以及同類軟件對比工作；63%的企業(yè)進(jìn)行項目活躍度評估；60%的企業(yè)進(jìn)行行業(yè)認(rèn)可度

評估及軟件質(zhì)量評估；約36%的企業(yè)會進(jìn)行服務(wù)支持評估；2%的企業(yè)不進(jìn)行任何評估。

10

各領(lǐng)域關(guān)鍵活動實踐情況

開發(fā)測試

Q:與外部開源社區(qū)的交互狀態(tài)是？

?

洞察：當(dāng)前我國大部分企業(yè)對于開源軟件還僅停留在使用層面，未進(jìn)行對外開源貢獻(xiàn)，這與開源軟件在我國發(fā)展較晚，我國企業(yè)對于開源共建共享的意識

不足等因素有關(guān)。

?

約66%的被調(diào)研企業(yè)僅使用外部開源社區(qū)項目，關(guān)注開源社區(qū)動態(tài)；34%的被調(diào)研企業(yè)還會參與外部開源社區(qū)貢獻(xiàn)和建設(shè)，與外部開源社區(qū)建立起良好

的溝通反饋機(jī)制。

運維管理

Q:開源軟件確定對應(yīng)負(fù)責(zé)管理部門的原則是？

?

洞察：企業(yè)屬性和內(nèi)部職責(zé)劃分的不同，導(dǎo)致企業(yè)開源軟件維護(hù)主體相關(guān)規(guī)則差異較大。

?

25%的被調(diào)研企業(yè)秉持誰先引入誰負(fù)責(zé)的原則；25%的被調(diào)研企業(yè)按部門職責(zé)進(jìn)行劃分；28%的企業(yè)誰使用誰負(fù)責(zé)；22%的企業(yè)由技術(shù)委

員會評估確定。

11

各領(lǐng)域關(guān)鍵活動實踐情況

持續(xù)跟蹤

Q:在引入開源軟件后，會對哪些信息進(jìn)行持續(xù)跟蹤?（多選）

?

洞察：開源軟件安全漏洞問題所帶來的負(fù)面影響更為直接，我國大部分企業(yè)明顯更重視開源軟件安全，并對開源漏洞信息和版本進(jìn)行持續(xù)跟蹤。

?

約88%的被調(diào)研企業(yè)在引入開源軟件后，對開源漏洞信息進(jìn)行持續(xù)跟蹤；58%的企業(yè)會進(jìn)行開源許可證跟蹤；60%的企業(yè)進(jìn)行版本跟蹤；

41%的企業(yè)進(jìn)行社區(qū)基本情況的跟蹤；6%的企業(yè)不跟蹤。

退出管理

Q:決定不再使用某種開源軟件，對于軟件退出的依據(jù)是？（多選）

?

洞察：我國企業(yè)對于開源軟件安全風(fēng)險和合規(guī)風(fēng)險問題已有較高程度認(rèn)知。

?

91%的被調(diào)研企業(yè)在面臨嚴(yán)重安全問題時進(jìn)行軟件退出操作；70%的被調(diào)研企業(yè)在面臨法律合規(guī)紅線時，進(jìn)行軟件的退出管理；64%的企業(yè)

當(dāng)開源軟件不滿足業(yè)務(wù)場景時會進(jìn)行退出規(guī)劃；50%的企業(yè)因開源軟件更新頻次過低或版本過老而進(jìn)行退出規(guī)劃。

12

各領(lǐng)域關(guān)鍵活動實踐情況

存量管理

Q:針對內(nèi)部所有存量開源軟件的管理措施是？

?

洞察：我國企業(yè)開源治理工作開展較晚，存量開源軟件量級較大，因此對于存量軟件的全量、周期性管理存在一定困難。

?

超過70%的企業(yè)僅在新增的安全事件、生態(tài)變化等外部因素觸發(fā)時針對存量開源軟件進(jìn)行非周期檢查；約20%的企業(yè)對存量開源軟件的安全

合規(guī)性與依賴情況進(jìn)行周期性分析檢查；10%的企業(yè)不針對存量開源軟件進(jìn)行檢查。

第三方管理

Q:如何確保軟件供應(yīng)商遵循企業(yè)的開源軟件治理要求？（多選）

?

洞察：我國企業(yè)對于第三方軟件管理的重視程度存在不足，同時缺乏開源合規(guī)相關(guān)專業(yè)人員，難以規(guī)范審查第三方軟件中專有代碼、開源代碼的交互方式

是否合規(guī)。

?

超過80%的企業(yè)通過合同義務(wù)來規(guī)范軟件供應(yīng)商，以確保其遵循企業(yè)的開源軟件治理要求；40%的企業(yè)通過交付時檢查組件清單/分發(fā)說明確保供應(yīng)商

遵守要求；27%的企業(yè)要求供應(yīng)商提供第三方檢測報告。

13

垂直行業(yè)比較

所有企業(yè)

組織機(jī)制

3.0

第三方軟件管理2.5管理制度

開源治理成熟度高水位線圖提供了基線，用于比較企業(yè)對

2.0

各項治理指標(biāo)的關(guān)注度（主要指企業(yè)期望達(dá)到的能力水1.5

平）。成熟度級別代表了調(diào)研參與企業(yè)各項能力的關(guān)注度存量軟件管理1.0風(fēng)險管理

0.5

水平，具有基礎(chǔ)執(zhí)行能力被指定為“第1級”，具有統(tǒng)一

0

組織規(guī)劃的執(zhí)行能力被指定為“第2級”，具備自動化的

執(zhí)行能力被指定為“第3級”。退出管理軟件測評

水位線通常表示成熟度，如3級的水位線高，2級的水位線

持續(xù)跟蹤開發(fā)測試

較低。如上圖所示，所有參與本次調(diào)研的企業(yè)，在“管理

制度”、“存量軟件管理”、“開發(fā)測試”、“軟件測評”運維管理

等指標(biāo)下的能力較之于其他項下的能力稍強(qiáng)一些。

圖6所有參與企業(yè)各項開源治理能力關(guān)注度情況

14

金融行業(yè)和通信行業(yè)

組織機(jī)制

金融行業(yè)通信行業(yè)

3.0

根據(jù)調(diào)研結(jié)果顯示，金融和通信行業(yè)在開源軟件治理方

第三方軟件管理2.5管理制度

面存在不同的側(cè)重點和成熟度水平。由于各自不同的特

2.0

性和需求，它們在開源軟件治理的側(cè)重點和成熟度方面1.5

存在差異。

存量軟件管理1.0風(fēng)險管理

?

通信行業(yè)強(qiáng)調(diào)供應(yīng)鏈管理和第三方軟件管理。0.5

?

金融行業(yè)則受到監(jiān)管指引和法規(guī)要求的推動，更注重0

風(fēng)險管理，確保安全合規(guī)。

退出管理軟件測評

通信行業(yè)

通信行業(yè)通常更關(guān)注完善的供應(yīng)鏈管理措施。通信行業(yè)

中涉及到硬件設(shè)備和網(wǎng)絡(luò)基礎(chǔ)設(shè)施的“軟硬協(xié)同”，供持續(xù)跟蹤開發(fā)測試

應(yīng)鏈相對復(fù)雜，促使通信企業(yè)在開源軟件治理中更加重

運維管理

視第三方軟件管理。這使得通信行業(yè)在第三方軟件的評

圖7金融和通信行業(yè)參與企業(yè)各項開源治理能力關(guān)注度情況

估、審查和合規(guī)方面表現(xiàn)出更高的成熟度。

15

金融行業(yè)和通信行業(yè)

基礎(chǔ)級增強(qiáng)級先進(jìn)級

金融行業(yè)

?監(jiān)管指引和法規(guī)要求

金融行業(yè)受到監(jiān)管機(jī)構(gòu)的嚴(yán)格監(jiān)管和法規(guī)要求。例如，

人民銀行發(fā)布的《關(guān)于規(guī)范金融業(yè)開源技術(shù)應(yīng)用與發(fā)展

的意見》為金融企業(yè)提供了具體的指導(dǎo)和規(guī)范，推動金

融業(yè)開展開源治理活動。這使得金融行業(yè)在風(fēng)險管理、

過程維度

軟件測評和退出管理等方面投入更多關(guān)注度。

?安全性要求和數(shù)據(jù)保護(hù)

金融行業(yè)對安全性和數(shù)據(jù)保護(hù)通常具有更高的要求。金

融業(yè)務(wù)涉及敏感客戶數(shù)據(jù)和金融交易信息，故對于開源

軟件的安全性和合規(guī)性關(guān)注度更高?；诖?，金融行業(yè)

在開源軟件治理中可能更加注重安全漏洞管理、漏洞修能力維度

復(fù)和持續(xù)監(jiān)測。

平均值中位數(shù)企業(yè)數(shù)值

圖8金融行業(yè)部分企業(yè)開源治理能力關(guān)注度情況（圓圈大小代

表企業(yè)規(guī)模）

16

汽車行業(yè)、能源行業(yè)和制造行業(yè)

組織機(jī)制

3.0

汽車、能源和傳統(tǒng)制造行業(yè)是三類存在上下游產(chǎn)業(yè)供應(yīng)關(guān)系

2.5

第三方軟件管理管理制度汽車行業(yè)

的行業(yè)，但在開源軟件治理方面?zhèn)戎攸c各異，這可以部分歸

2.0能源行業(yè)

因于它們各自不同的特性和需求，以及與供應(yīng)鏈、軟件開發(fā)傳統(tǒng)制造行業(yè)

1.5

和行業(yè)規(guī)范等相關(guān)因素的關(guān)系。

1.0

?汽車行業(yè)在管理制度和開發(fā)測試方面關(guān)注度更高。存量軟件管理風(fēng)險管理

0.5

?

能源行業(yè)在第三方軟件管理和運維管理方面投入更多。0

?制造行業(yè)的開源軟件治理能力關(guān)注度整體較低。

能源行業(yè)退出管理軟件測評

第三方軟件管理和運維管理：能源行業(yè)與第三方軟件的關(guān)系

密切，因此在第三方軟件管理和運維管理方面表現(xiàn)出較高關(guān)

注度。能源行業(yè)通常涉及復(fù)雜的系統(tǒng)和設(shè)備，并依賴于多個持續(xù)跟蹤開發(fā)測試

供應(yīng)商和合作伙伴提供軟件解決方案。因此，為確保系統(tǒng)的

運維管理

穩(wěn)定性和安全性，對第三方軟件的管理和運維是關(guān)鍵。

圖9汽車、能源和制造行業(yè)參與企業(yè)各項開源治理能力關(guān)注度情況

17

汽車行業(yè)、能源行業(yè)和制造行業(yè)

基礎(chǔ)級增強(qiáng)級先進(jìn)級

汽車行業(yè)

汽車行業(yè)在“管理制度”方面更加關(guān)注。由于汽車行業(yè)的復(fù)

雜性和生產(chǎn)流程的高度規(guī)范化，汽車制造商和供應(yīng)商通常都

具有嚴(yán)格的管理制度，包括對開源軟件的審查、評估和合規(guī)

性要求。

汽車行業(yè)對軟件的“開發(fā)和測試”有較高的要求。汽車中的

軟件往往更注重安全和功能性要求，例如車輛控制系統(tǒng)和駕過程維度

駛輔助系統(tǒng)。因此，汽車行業(yè)在開源軟件的開發(fā)測試方面可

能投入更多資源，以確保軟件質(zhì)量和安全性。

傳統(tǒng)制造行業(yè)

傳統(tǒng)制造行業(yè)整體而言，在開源軟件治理方面的要求相對較

低。盡管制造行業(yè)也涉及供應(yīng)鏈和第三方軟件，但沒有達(dá)到

能力維度

汽車行業(yè)和能源行業(yè)對開源軟件的安全合規(guī)要求程度。這可

能與傳統(tǒng)制造行業(yè)注重自主研發(fā)和專有技術(shù)有關(guān)，故對開源平均值中位值企業(yè)值

軟件的使用相對較少或較為有限。

圖10汽車行業(yè)部分企業(yè)開源治理能力關(guān)注度情況（圓圈大小代

表企業(yè)規(guī)模）

18

軟件行業(yè)和互聯(lián)網(wǎng)行業(yè)

軟件和信息服務(wù)行業(yè)與互聯(lián)網(wǎng)行業(yè)的差異可以歸因于它們各自不

組織機(jī)制

軟件行業(yè)互聯(lián)網(wǎng)行業(yè)

同的特性和運營模式。3.0

?

軟件和信息服務(wù)行業(yè)更注重存量軟件管理、組織機(jī)制、軟件第三方軟件管理2.5管理制度

測評和開發(fā)測試等方面的實踐活動，相對于互聯(lián)網(wǎng)行業(yè)在開2.0

源軟件治理能力成熟度方面關(guān)注度更高。1.5

存量軟件管理1.0風(fēng)險管理

互聯(lián)網(wǎng)行業(yè)0.5

業(yè)務(wù)快速迭代：互聯(lián)網(wǎng)行業(yè)特點是業(yè)務(wù)快速迭代和創(chuàng)新。這意味0

著互聯(lián)網(wǎng)公司需要快速開發(fā)和部署新功能/服務(wù)，以滿足市場需

退出管理軟件測評

求。這導(dǎo)致開源軟件治理方面投入相對較少，因為更多的關(guān)注點

可能集中在業(yè)務(wù)創(chuàng)新和快速交付上，而不是嚴(yán)格的治理流程。

開源軟件使用量龐大：互聯(lián)網(wǎng)行業(yè)通常使用大量開源軟件來支撐持續(xù)跟蹤開發(fā)測試

業(yè)務(wù)。由于互聯(lián)網(wǎng)公司的業(yè)務(wù)規(guī)模和復(fù)雜性，它們需要依賴廣泛

運維管理

的開源軟件生態(tài)系統(tǒng)。然而，確保大量開源軟件的合規(guī)性和安全

性可能是一個挑戰(zhàn)，特別是在開源軟件快速發(fā)展和迭代的環(huán)境下。

圖11軟件和互聯(lián)網(wǎng)行業(yè)參與企業(yè)各項開源治理能力關(guān)注度情況

19

軟件行業(yè)和互聯(lián)網(wǎng)行業(yè)

基礎(chǔ)級增強(qiáng)級先進(jìn)級

軟件和信息服務(wù)行業(yè)

?存量軟件管理：軟件和信息服務(wù)行業(yè)對于存量軟件的管理能力

關(guān)注度較高。這一行業(yè)通常積累了大量的軟件資產(chǎn)和技術(shù)棧，

對存量軟件的規(guī)劃、評估和管理較為敏感。由于軟件和信息服

務(wù)公司的業(yè)務(wù)主要依賴于軟件開發(fā)和交付，因此存量軟件管理

是軟件行業(yè)重點關(guān)注的領(lǐng)域。

?組織機(jī)制：在面臨海內(nèi)外企業(yè)用戶更加嚴(yán)格的政策下，軟件和過程維度

信息服務(wù)行業(yè)需要完善的組織機(jī)制來支持開源軟件治理。這些

公司更加注重組建明確的開源軟件治理團(tuán)隊或部門，負(fù)責(zé)制定

治理策略、管理流程和規(guī)范，以確保軟件的合規(guī)性和安全性。

?軟件測評和開發(fā)測試：軟件和信息服務(wù)行業(yè)在軟件測評和開發(fā)

測試方面表現(xiàn)出較高的關(guān)注度。由于軟件和信息服務(wù)公司的核

心業(yè)務(wù)是軟件開發(fā)和交付，因此它們通常投入大量資源來進(jìn)行

能力維度

軟件測試、質(zhì)量保證和漏洞修復(fù)等方面的工作。

平均值中位值企業(yè)值

圖12軟件和信息服務(wù)行業(yè)部分企業(yè)開源治理能力關(guān)注度情況（圓圈大小代表

企業(yè)規(guī)模）

20

待提升領(lǐng)域

根據(jù)調(diào)研結(jié)果，被調(diào)研企業(yè)在開源治理能力成熟度各指標(biāo)項下，待提

升能力如下：

在組織機(jī)制方面，部分企業(yè)在開源治理戰(zhàn)略、人力投入方面有所欠缺。

在參與調(diào)研的企業(yè)中，約35%的企業(yè)缺乏專門負(fù)責(zé)開源戰(zhàn)略和

治理的組織。另外，超過40%的企業(yè)無全職人力資源分配給開是否

源戰(zhàn)略和治理工作。這些結(jié)果表明，我國企業(yè)開源軟件治理機(jī)制存在

著一定程度的缺失和不完善。設(shè)置明確的

在管理制度方面，部分企業(yè)開源軟件管控力度有待提高。超過30%開源軟件治理

的被調(diào)研企業(yè)在開源軟件方面沒有進(jìn)行任何事前管控，項目組可

以按需自行使用開源軟件。此外，超過40%的被調(diào)研企業(yè)沒有進(jìn)行規(guī)劃/制度？

周期性的制度評審，也未根據(jù)實際情況持續(xù)優(yōu)化制度內(nèi)容。這些結(jié)

果表明，這些企業(yè)的開源軟件管理制度存在較大的缺陷，使用和評估

開源軟件缺乏規(guī)范性和持續(xù)性，可能導(dǎo)致不可控風(fēng)險加劇。

21

待提升領(lǐng)域

在風(fēng)險管理方面，大部分企業(yè)在風(fēng)險管理工具、合規(guī)風(fēng)險管理等方面能力

存在不足。根據(jù)調(diào)研結(jié)果，超過50%的企業(yè)缺乏軟件成分分析（SCA）

工具，且尚未建立SBOM（軟件物料清單）的生成與管理機(jī)制。與此同

時，開源合規(guī)管理機(jī)制相對薄弱，超過60%的企業(yè)允許引入AGPL、

GPL類許可證，卻未建立嚴(yán)格的開源合規(guī)評估流程。上述缺陷可能加劇潛

在的法律和合規(guī)風(fēng)險，并會對企業(yè)的知識產(chǎn)權(quán)和商業(yè)模式產(chǎn)生不利影響。針對

開源軟件設(shè)置

在軟件測評方面，部分企業(yè)需加強(qiáng)對開源軟件各個版本的評審和管控。超

過53%的企業(yè)缺乏統(tǒng)一的開源軟件引入評估模型。此外，超過60%明確的

的企業(yè)僅對軟件的大版本進(jìn)行管控，對小版本的使用采用相對簡化的引

入評估流程，且主要關(guān)注安全漏洞情況。缺乏企業(yè)級統(tǒng)一的評估模型和對風(fēng)險紅線

各個版本的全面管控可能導(dǎo)致潛在的安全風(fēng)險和合規(guī)問題。

22

待提升領(lǐng)域

從存量管理層面來看，大部分企業(yè)未形成清晰的存量軟件治理規(guī)劃。超

過45%的企業(yè)缺乏存量開源軟件治理規(guī)劃，包括年度目標(biāo)、計劃等。

此外，超過70%的企業(yè)僅在新增的安全事件、生態(tài)變化等外部因素觸發(fā)

時針對存量開源軟件進(jìn)行非周期檢查，而未針對開源許可證、開源社區(qū)

健康度等進(jìn)行持續(xù)跟蹤。上述情況將導(dǎo)致潛在的安全風(fēng)險和合規(guī)問題。

在第三方軟件管理方面，企業(yè)對于第三方軟件的管理存在一定不足。超針對

過80%的企業(yè)通過合同義務(wù)來規(guī)范軟件供應(yīng)商，以確保其遵循企業(yè)的開存量軟件/第三方

源軟件治理要求。然而，較少公司通過交付時檢查組件清單/分發(fā)

說明、要求供應(yīng)商提供第三方檢測報告等方式來確保軟件的合規(guī)軟件設(shè)置清晰

性。雖然通過合同規(guī)范能夠在一定程度上轉(zhuǎn)嫁第三方違規(guī)使用開源軟件

的風(fēng)險，但缺乏對軟件供應(yīng)商交付物的實際檢查和驗證，不足以規(guī)避供的治理規(guī)劃？

應(yīng)商軟件中的安全合規(guī)風(fēng)險。

23

結(jié)論和建議

無論貴公司是正在制定開源軟件治理計劃，還是已經(jīng)開始維護(hù)成熟的開源

軟件治理體系，都應(yīng)該已經(jīng)實施或正在考慮實施以下關(guān)鍵舉措：

構(gòu)建開源治理的專業(yè)化團(tuán)隊，團(tuán)隊成員應(yīng)包括在開源軟件使用全生命周期

中所涉及的來自于架構(gòu)、開發(fā)、運維、安全、法務(wù)等部門的負(fù)責(zé)人員。

可信開源治理能力成熟度

將開源治理要求嵌入到現(xiàn)有規(guī)章、辦法、手冊或信息系統(tǒng)中的流程制度。

評估意義何在？

建立一套適合于企業(yè)業(yè)務(wù)和管理特點的開源軟件評估評價方法，用于指導(dǎo)

開源軟件的引入和選型。1.規(guī)范企業(yè)合理應(yīng)用開源技術(shù)，提高企業(yè)應(yīng)用

水平和自主可控能力，促進(jìn)開源技術(shù)健康可

構(gòu)建開源治理支撐平臺。用于支撐開源軟件治理的平臺系統(tǒng)，是整個開源持續(xù)發(fā)展。

治理工作高效運行的技術(shù)保障。

2.有效提升企業(yè)開源風(fēng)險控制能力，針對開源

在使用開源軟件過程中，必須嚴(yán)格遵從開源軟件許可證的規(guī)定，避免開源風(fēng)險從被動應(yīng)對到主動防御，更有效的控制

法律風(fēng)險；同時企業(yè)需通過內(nèi)外部運維支撐力量快速、及時地修復(fù)開源軟開源風(fēng)險。

件漏洞，降低產(chǎn)品被攻擊的可能性。

3.推動企業(yè)開源治理流程落地，通過一系列管

如果貴公司還未制定開源軟件治理計劃，您可以采用可信開源治理能力理規(guī)程及平臺建設(shè)落地開源軟件管理機(jī)制。

成熟度評估（OSGMM）對公司當(dāng)前開源軟件治理水平進(jìn)行評估、確

定貴公司想要實現(xiàn)的狀態(tài)和目標(biāo)，并明晰二者之前的差距。最后，將全景

觀察結(jié)果作為基線來考量同行開展的主要開源治理活動，并據(jù)此制定貴公

司的開源軟件治理能力構(gòu)建計劃。

24

第三部分可信開源治理服務(wù)

中國信通院可信開源治理“三位一體”服務(wù)

可信開源治理“三位一體”服務(wù)是一個綜合性的解決方案，涵蓋了企業(yè)級開源治理標(biāo)準(zhǔn)、企業(yè)級開源治理咨詢服務(wù)和開源治理公共知識庫，通過閉環(huán)機(jī)制，企業(yè)

能夠不斷優(yōu)化和完善自身的開源治理體系，提高開源軟件的使用效率和安全性，同時也為整個行業(yè)的開源治理能力提升做出貢獻(xiàn)。

服務(wù)客戶（部分）

提供基礎(chǔ)和參考

企業(yè)級開源治理標(biāo)準(zhǔn)企業(yè)級開源治理賦能服務(wù)

確保咨詢服務(wù)的為企業(yè)提供定制化的解決方案和咨詢服

為企業(yè)提供一套規(guī)范和流程，指導(dǎo)和規(guī)范開有效性和可行性

務(wù)，幫助企業(yè)根據(jù)自身需求和實際情況

源軟件的使用和管理。

建立和完善開源治理體系。

持續(xù)優(yōu)化企業(yè)級收集總結(jié)企業(yè)通

收集和整理企業(yè)開源治理標(biāo)準(zhǔn)用的實踐經(jīng)驗為知識庫提供最

的反饋和需求佳方法論

開源治理公共知識庫

開源治理公共知識庫提供開源治理的基礎(chǔ)知識和指南，包

括開源治理體系、許可證類型解釋、開源軟件安全性評估

方法等，幫助企業(yè)建立起對開源軟件的全面理解和認(rèn)知。

26

《開源軟件治理能力成熟度模型》

適用對象：面向開源使用企業(yè)

適用范圍：適用于評估和提升企業(yè)在開源軟件治

理方面的成熟度，幫助企業(yè)了解當(dāng)前的治理狀況、

識別存在的挑戰(zhàn)和問題，并提供指導(dǎo)和建議來改

進(jìn)和加強(qiáng)開源軟件治理能力。

?開源軟件治理策略和規(guī)劃：評估企業(yè)對開源

軟件治理的策略和規(guī)劃程度，包括治理目標(biāo)

的設(shè)定、治理策略的制定以及治理規(guī)劃的實

施情況。

?開源軟件許可證合規(guī)性管理：評估企業(yè)對開

源軟件許可證的合規(guī)性管理程度，包括許可

證的識別、合規(guī)性審查、許可證合規(guī)政策的

制定和執(zhí)行等。

?開源軟件安全管理：評估企業(yè)對開源軟件安

全管理的能力，包括安全漏洞的監(jiān)測和修復(fù)、

漏洞管理流程的建立、安全風(fēng)險評估等。

27

評估增值服務(wù)-成熟度水位線圖/象限圖

開源治理成熟度水位線圖和開源治理成熟度象限圖為企業(yè)提供了有價值的工具來評估和比較其在開源治理方面的關(guān)注情況。水位線圖通過設(shè)定基線，幫助企業(yè)比較其在各項

治理指標(biāo)上的表現(xiàn)，并確定相對成熟度水平。而象限圖則通過可視化的方式，清晰地展示了企業(yè)在行業(yè)內(nèi)的開源治理水平，幫助企業(yè)了解自身的位置和相對優(yōu)劣。

基礎(chǔ)級增強(qiáng)級先進(jìn)級

組織機(jī)制

3.0

第三方管理2.5管理制度

2.0

1.5

存量管理1.0風(fēng)險管理

0.5

過程維度

0

退出管理軟件測評

持續(xù)跟蹤開發(fā)測試管理

所有企業(yè)A企業(yè)運維管理能力維度

成熟度水位線圖：調(diào)研企業(yè)在各項開源治理實踐中達(dá)到的平均高位標(biāo)記平均值中位值企業(yè)值

28成熟度象限圖：調(diào)研企業(yè)開源治理能力在行業(yè)內(nèi)排位情況

評估案例

通過可信開源治理能力成熟度評估實現(xiàn)開源治理工作從松散管理，到統(tǒng)一管

控，再到統(tǒng)一治理的能力跨越

中國聯(lián)通軟件研究院于2015年7月成立，經(jīng)歷了7年多的時間，從CB1.0到CB2.0上

線，從啟動云化架構(gòu)到全面云原生架構(gòu)，持續(xù)構(gòu)建平臺化、生態(tài)化、全棧云平臺可信開源治理能力成熟度

——聯(lián)通云，使用開源、商業(yè)及自主研發(fā)的軟件300多種，開源組件20000多個支評估意義何在