2024年中國企業(yè)開源治理全景觀察報告

2024年中國企業(yè)開源治理全景觀察第一部分概述 理能力框架，規(guī)定了企業(yè)用戶在使用開源軟件時應遵循的流程及規(guī)范，以及企業(yè)開源治 為了解中國企業(yè)的開源風險治理舉措和治理水平，中國信息通信研究院依托金融行業(yè)開通過問卷調(diào)查的形式針對多個行業(yè)開展了開源軟件治理能力成熟度調(diào)研，以明晰開源治OSGMM2024報告深入分析了來自七大行業(yè)（包括金融、通信、汽車、能源、互聯(lián)網(wǎng)、軟件和信息服務業(yè)及制造業(yè)）共121家不同規(guī)模企業(yè)的開源治理活動匿名數(shù)據(jù)，涉及的企業(yè)分布可參見圖1和圖2。此外，圖3展示了企業(yè)在開源軟件/組件方面的使用量級，圖4揭示了企業(yè)在本年度最為關注的開源風險問題。u金融行業(yè)汽車行業(yè)軟件和信息服務業(yè)制造行業(yè)u通信行業(yè)能源行業(yè)互聯(lián)網(wǎng)行業(yè)圖1OSGMM參與企業(yè)所處行業(yè)圖2OSGMM參與企業(yè)規(guī)模圖3OSGMM參與企業(yè)開源軟件/組件使用數(shù)量級運維和技術風險安全風險管理風險運維和技術風險安全風險w合規(guī)和知識產(chǎn)權風險圖4OSGMM參與企業(yè)最關注的開源風險第二部分洞察OSGMM1.0整體框架由開源軟件應用治理的3個能力要素和7個過程環(huán)節(jié)組成，包括：組織機構、管理制度、風險管理、軟件測評、開發(fā)測試、運維管理、持續(xù)跟蹤、退出管理、存量軟件管理、第三方軟件管理等領域的40余項活動。為降低開源軟件應用風險，OSGMM活動可視為在企業(yè)開展開源軟件治理過程中所實施的控制措施，以預防、檢測、糾正或控制開源軟件使用所帶來的系列風險。OSGMM活動級別代表了參與企業(yè)各項能力水準，具有【基礎執(zhí)行能力】被指定為“基礎級-第1級”，具有【統(tǒng)一組織規(guī)劃能力】被指定為“增強級-第2級”，具備【自動化的執(zhí)行能力】被指定為“先進級-第3級”。圖5OSGMM1.0模型下表列出了2024開源治理全景觀察數(shù)據(jù)池中觀察到次數(shù)最多的10項活動，以下活動皆常見于成功的開源治理實踐中（增強級及以上）。數(shù)據(jù)表明，如果組織正在制定自己的開源治理計劃，應考慮采取這些活動。制定開源軟件的引入、使用、維護、退出等方在引入開源軟件后，對開源漏洞、許可證信息進行成立全職/兼職開源管理團隊或辦公室，負責企業(yè)內(nèi)部的開源治理工作通過合同義務確保軟件供應商遵循企業(yè)的開源軟件建設開源管理平臺，輔助管理和統(tǒng)計開源軟件信息情況及風險信針對系統(tǒng)軟件需求編制安裝部署規(guī)范、使用操作手冊等相關在引入開源軟件時，進行同類軟件對比與社區(qū)健康度Q:是否有明確的開源軟件治理規(guī)劃(治理目標、年度計劃等)？l洞察：部分企業(yè)對于開源軟件治理戰(zhàn)略重要性認識不足，開源治理缺乏客觀性和系統(tǒng)性，重度依賴過往經(jīng)驗，僅由事件觸發(fā)治理機制。l超53%的被調(diào)研企業(yè)不具備明確的開源軟件治理規(guī)劃（治理目標、年度計劃等）。Q:貴公司是否具備企業(yè)級開源軟件管理制度？l洞察：部分企業(yè)開源軟件管理主要依靠相關人員過往經(jīng)驗，針對重要開源軟件能夠形成配套管理制度，但未制定企業(yè)級的開源軟件流程制度規(guī)范，未提出對開源軟件全生命周期中的風險管理要求。l超38%的被調(diào)研企業(yè)不具備企業(yè)級開源軟件管理制度。風險管理風險管理Q:企業(yè)內(nèi)處理開源組件安全漏洞的方式有哪些多選）l洞察：根據(jù)安全漏洞風險等級的不同，企業(yè)處理開源組件安全漏洞的方式也有所不同；依靠內(nèi)部力量處理開源組件安全漏洞所需投入資源較多，對運維人員能力要求較高，通常并非企業(yè)首選。l約97%的被調(diào)研企業(yè)通過版本升級處理開源組件安全漏洞；72%的被調(diào)研企業(yè)通過手動應用補丁應對安全漏洞；27%的被調(diào)研企業(yè)視情況替換組件或者刪除該組件，約10%的企業(yè)不做處理。Q:在引入開源軟件時，會進行哪些評測工作多選）l洞察：大部分企業(yè)在引入開源軟件時進行了軟件功能評估、同類軟件對比，但在項目活躍度評估、行業(yè)認可度和軟件質(zhì)量評估以及服務支持評估方面仍有改進空間。l98%的被調(diào)研企業(yè)在引入開源軟件時，進行軟件功能評估以及同類軟件對比工作；53%的企業(yè)進行項目活躍度評估；48%的企業(yè)進行行業(yè)認可度評估及軟件質(zhì)量評估；約23%的企業(yè)會進行服務支持評估；2%的企業(yè)不進行任何評估。Q:與外部開源社區(qū)的交互狀態(tài)是？l洞察：當前我國大部分企業(yè)對于開源軟件還僅停留在使用層面，未進行對外開源貢獻，這與開源軟件在我國發(fā)展較晚，我國企業(yè)對于開源共建共享的意識不足等因素有關。l約86%的被調(diào)研企業(yè)僅使用外部開源社區(qū)項目，關注開源社區(qū)動態(tài)；14%的被調(diào)研企業(yè)還會參與外部開源社區(qū)貢獻和建設，與外部開源社區(qū)建立起良好的溝通反饋機制。運維管理運維管理Q:開源軟件確定對應負責管理部門的原則是？l洞察：企業(yè)屬性和內(nèi)部職責劃分的不同，導致企業(yè)開源軟件維護主體相關規(guī)則差異較大。l45%的被調(diào)研企業(yè)秉持誰先引入誰負責的原則；28%的被調(diào)研企業(yè)按部門職責進行劃分；15%的企業(yè)誰使用誰負責；12%的企業(yè)由技術委員會評估確定。Q:在引入開源軟件后，會對哪些信息進行持續(xù)跟蹤?（多選）l洞察：開源軟件安全漏洞問題所帶來的負面影響更為直接，我國大部分企業(yè)明顯更重視開源軟件安全，并對開源漏洞信息和版本進行持續(xù)跟蹤。l約100%的被調(diào)研企業(yè)在引入開源軟件后，對開源漏洞信息進行持續(xù)跟蹤；78%的企業(yè)會進行開源許可證跟蹤；75%的企業(yè)進行版本跟蹤；21%的企業(yè)進行社區(qū)基本情況的跟蹤。Q:決定不再使用某種開源軟件，對于軟件退出的依據(jù)是多選）l洞察：我國企業(yè)對于開源軟件安全風險問題已有較高程度認知。l100%的被調(diào)研企業(yè)在面臨嚴重安全問題時進行軟件退出操作；50%的被調(diào)研企業(yè)在面臨法律合規(guī)紅線時，進行軟件的退出管理；48%的企業(yè)當開源軟件不滿足業(yè)務場景時會進行退出規(guī)劃；24%的企業(yè)因開源軟件更新頻次過低或版本過老而進行退出規(guī)劃。Q:針對內(nèi)部所有存量開源軟件的管理措施是？l洞察：我國企業(yè)開源治理工作開展較晚，存量開源軟件量級較大，因此對于存量軟件的全量、周期性管理存在一定困難。l超過60%的企業(yè)僅在新增的安全事件、生態(tài)變化等外部因素觸發(fā)時針對存量開源軟件進行非周期檢查；約28%的企業(yè)對存量開源軟件的安全合規(guī)性與依賴情況進行周期性分析檢查；12%的企業(yè)不針對存量開源軟件進行檢查。第三方管理第三方管理Q:如何確保軟件供應商遵循企業(yè)的開源軟件治理要求多選）l洞察：我國企業(yè)對于第三方軟件管理的重視程度存在不足，同時缺乏開源合規(guī)相關專業(yè)人員，難以規(guī)范審查第三方軟件中專有代碼、開源代碼的交互方式是否合規(guī)。l超過80%的企業(yè)通過合同義務來規(guī)范軟件供應商，以確保其遵循企業(yè)的開源軟件治理要求；23%的企業(yè)通過交付時檢查組件清單/分發(fā)說明確保供應商遵守要求；8%的企業(yè)要求供應商提供第三方檢測報告。所有企業(yè)0持續(xù)跟蹤開發(fā)開源治理成熟度高水位線圖提供了基線0持續(xù)跟蹤開發(fā)開源治理成熟度高水位線圖提供了基線，用于比較企業(yè)在各項治理指標中的實踐能力和水平。成熟度級別代表了參與企業(yè)各項能力水準，具有基礎執(zhí)行能力被指定為“第1級”，具有統(tǒng)一組織規(guī)劃的執(zhí)行能力被指定為“第2級”，具備自動化的執(zhí)行能力被指定為“第3級”。水位線通常表示成熟度，如3級的水位線高，2級的水位線較低。如上圖所示，所有參與本次調(diào)研的企業(yè)，在“管理制度”、“存量軟件管理”、“開發(fā)測試”、“軟件測評”等指標下的能力較之于其他項下的能力稍強一些。圖6OSGMM所有參與企業(yè)各項實踐能力情況金融行業(yè)和通信行業(yè)存量軟件管理根據(jù)調(diào)研結果顯示存量軟件管理根據(jù)調(diào)研結果顯示，金融和通信行業(yè)在開源軟件治理方面存在不同的側重點和成熟度水平。由于各自不同的特性和需求，它們在開源軟件治理的側重點和成熟度方面存在差異。l通信行業(yè)強調(diào)供應鏈管理和第三方軟件管理。l金融行業(yè)則受到監(jiān)管指引和法規(guī)要求的推動，更注重安全性和數(shù)據(jù)保護。通信行業(yè)通信行業(yè)通常具備更加完善的供應鏈管理措施。通信行業(yè)中涉及到硬件設備和網(wǎng)絡基礎設施等復雜組件的供應鏈，促使通信企業(yè)在開源軟件治理中更加重視第三方軟件管理。這使得通信行業(yè)在第三方軟件的評估、審查和合規(guī)方面表現(xiàn)出更高的成熟度。組織機制第三方軟件管理管理制度第三方軟件管理管理制度0持續(xù)跟蹤退出管理退出管理開發(fā)測試開發(fā)測試運維管理圖7OSGMM金融和通信行業(yè)參與企業(yè)各項實踐能力情況金融行業(yè)通信行業(yè)風險管理軟件測評金融行業(yè)和通信行業(yè)金融行業(yè)l監(jiān)管指引和法規(guī)要求金融行業(yè)受到監(jiān)管機構的嚴格監(jiān)管和法規(guī)要求。例如，人民銀行發(fā)布的《關于規(guī)范金融業(yè)開源技術應用與發(fā)展的意見》為金融企業(yè)提供了具體的指導和規(guī)范，推動金融業(yè)開展開源治理活動。這使得金融行業(yè)在風險管理、軟件測評和退出管理等方面處于領先地位。l安全性要求和數(shù)據(jù)保護金融行業(yè)對安全性和數(shù)據(jù)保護通常具有更高的要求。金融業(yè)務涉及敏感客戶數(shù)據(jù)和金融交易信息，故對于開源軟件的安全性和合規(guī)性關注度更高。基于此，金融行業(yè)在開源軟件治理中可能更加注重安全漏洞管理、漏洞修復和持續(xù)監(jiān)測。圖8金融行業(yè)部分企業(yè)OSGMM能力（圓圈大小代表企業(yè)規(guī)模）汽車行業(yè)、能源行業(yè)和制造行業(yè)汽車行業(yè)、能源行業(yè)和制造行業(yè)汽車、能源和制造行業(yè)是三類存在上下游產(chǎn)業(yè)供應關系汽車、能源和制造行業(yè)是三類存在上下游產(chǎn)業(yè)供應關系的行業(yè)，但在開源軟件治理方面?zhèn)戎攸c各異，這可以部分歸因于它們各自不同的特性和需求，以及與供應鏈、軟件開發(fā)和行業(yè)規(guī)范等相關因素的關系。l汽車行業(yè)在管理制度和開發(fā)測試方面表現(xiàn)較優(yōu)。l能源行業(yè)在第三方軟件管理和運維管理方面較為成熟。l制造行業(yè)的開源軟件治理能力整體相對較弱。能源行業(yè)第三方軟件管理和運維管理：能源行業(yè)與第三方軟件的關系密切，因此在第三方軟件管理和運維管理方面表現(xiàn)相對成熟。能源行業(yè)通常涉及復雜的系統(tǒng)和設備，并依賴于多個供應商和合作伙伴提供軟件解決方案。因此，為確保系統(tǒng)的穩(wěn)定性和安全性，對第三方軟件的管理和運維是關鍵。組織機制管理制度第三方軟件管理管理制度存量軟件管理 退出管理開發(fā)測試持續(xù)跟蹤開發(fā)測試運維管理圖9OSGMM汽車、能源和制造行業(yè)參與企業(yè)各項實踐能力情況風險管理軟件測評汽車行業(yè)能源行業(yè)制造行業(yè)汽車行業(yè)、能源行業(yè)和制造行業(yè)圖10汽車行業(yè)部分企業(yè)OSGMM能力（圓圈大小代表企業(yè)規(guī)模）汽車行業(yè)汽車行業(yè)通常在“管理制度”方面表現(xiàn)出較高的成熟度。由于汽車行業(yè)的復雜性和生產(chǎn)流程的高度規(guī)范化，汽車制造商和供應商通常都具有嚴格的管理制度，包括對開源軟件的審查、評估和合規(guī)性要求。汽車行業(yè)對軟件的“開發(fā)和測試”有較高的要求。汽車中的軟件往往更注重安全和功能性要求，例如車輛控制系統(tǒng)和駕駛輔助系統(tǒng)。因此，汽車行業(yè)在開源軟件的開發(fā)測試方面可能投入更多資源，以確保軟件質(zhì)量和安全性。制造行業(yè)整體而言，在開源軟件治理方面的能力相對較弱。盡管制造行業(yè)也涉及供應鏈和第三方軟件，但沒有達到汽車行業(yè)和能源行業(yè)對開源軟件的安全合規(guī)要求程度。這可能與制造行業(yè)注重自主研發(fā)和專有技術有關，故對開源軟件的使用相對較少或較為有限。組織機制軟件行業(yè)互聯(lián)網(wǎng)行業(yè)第三方軟件管理管理制度存量軟件管理風險管理0退出管理軟件測評持續(xù)跟蹤開發(fā)測試運維管理圖11OSGMM軟件和互聯(lián)網(wǎng)行業(yè)參與企業(yè)各項實踐能力情況軟件和信息服務行業(yè)與互聯(lián)網(wǎng)行業(yè)的差異可以歸因于它們各自不同的特性和運營模式。l軟件和信息服務行業(yè)相對于互聯(lián)網(wǎng)行業(yè)在開源軟件治理能力成熟度方面表現(xiàn)較高。組織機制軟件行業(yè)互聯(lián)網(wǎng)行業(yè)第三方軟件管理管理制度存量軟件管理風險管理0退出管理軟件測評持續(xù)跟蹤開發(fā)測試運維管理圖11OSGMM軟件和互聯(lián)網(wǎng)行業(yè)參與企業(yè)各項實踐能力情況軟件和信息服務行業(yè)與互聯(lián)網(wǎng)行業(yè)的差異可以歸因于它們各自不同的特性和運營模式。l軟件和信息服務行業(yè)相對于互聯(lián)網(wǎng)行業(yè)在開源軟件治理能力成熟度方面表現(xiàn)較高。l軟件和信息服務行業(yè)更注重存量軟件管理、組織機制、軟件測評和開發(fā)測試等方面的實踐活動。l業(yè)務快速迭代：互聯(lián)網(wǎng)行業(yè)特點是業(yè)務快速迭代和創(chuàng)新。這意味著互聯(lián)網(wǎng)公司需要快速開發(fā)和部署新功能/服務，以滿足市場需求。這導致開源軟件治理方面投入相對較少，因為更多的關注點可能集中在業(yè)務創(chuàng)新和快速交付上，而不是嚴格的治理流程。l開源軟件使用量龐大：由于互聯(lián)網(wǎng)公司的業(yè)務規(guī)模和復雜性，它們需要依賴廣泛的開源軟件生態(tài)系統(tǒng)。然而，確保大量開源軟件的合規(guī)性和安全性可能是一個挑戰(zhàn)，特別是在開源軟件快速發(fā)展和迭代的環(huán)境下。軟件和信息服務行業(yè)l存量軟件管理：軟件和信息服務行業(yè)對于存量軟件的管理能力較高。這一行業(yè)通常積累了大量的軟件資產(chǎn)和技術棧，對存量軟件的規(guī)劃、評估和管理具備較高的成熟度。由于軟件和信息服務公司的業(yè)務主要依賴于軟件開發(fā)和交付，因此存量軟件管理往往是軟件行業(yè)重點關注的領域。l組織機制：軟件和信息服務行業(yè)通常具備完善的組織機制來支持開源軟件治理。這些公司往往有明確的開源軟件治理團隊或部門，負責制定治理策略、管理流程和規(guī)范，以確保軟件的合規(guī)性和安全性。l軟件測評和開發(fā)測試：軟件和信息服務行業(yè)在軟件測評和開發(fā)測試方面表現(xiàn)出較高的成熟度。由于軟件和信息服務公司的核心業(yè)務是軟件開發(fā)和交付，因此它們通常投入大量資源來進行軟件測試、質(zhì)量保證和漏洞修復等方面的工作。圖12軟件和信息服務行業(yè)部分企業(yè)OSGMM能力（圓圈大小代表企業(yè)規(guī)模）根據(jù)調(diào)研結果，被調(diào)研企業(yè)在開源治理能力成熟度各指標項下，待提設置明確的規(guī)劃/制度？在組織機制方面，部分企業(yè)在開源治理戰(zhàn)略、人在參與調(diào)研的企業(yè)中，約45%的企業(yè)缺乏專門負責開源戰(zhàn)略和治理的組織。另外，超過設置明確的規(guī)劃/制度？在管理制度方面，部分企業(yè)開源軟件管控力度有待提高。超過38%的被調(diào)研企業(yè)在開源軟件方面沒有進行任何事前管控，項目組可以按需自行使用開源軟件。此外，超過60%的被調(diào)研企業(yè)沒有進行周期性的制度評審，也未根據(jù)實際情況持續(xù)優(yōu)化制度內(nèi)容。這些結果表明，這些企業(yè)的開源軟件管理制度存在較大的缺針對!在風險管理方面，大部分企業(yè)在風險管理工具、合規(guī)風險管理等方面能力存在不足。根據(jù)調(diào)研結果，超過57%的企業(yè)缺乏軟件成分分析（SCA）工具，且尚未建立SBOM（軟件物料清單）的生成與管理機制。與此同時，開源合規(guī)管理機制相對薄弱，超過針對!GPL類許可證，卻未建立嚴格的開源合規(guī)評估流程。上述缺陷可能加劇潛在軟件測評方面，部分企業(yè)需加強對開源軟件各個版本的評審和管控。超過63%的企業(yè)缺乏統(tǒng)一的開源軟件引入評估模型。此外，超過70%的企業(yè)僅對軟件的大版本進行管控，對小版本的使用采用相對簡化的引入評估流程，且主要關注安全漏洞情況。缺乏企業(yè)級統(tǒng)一的評估模型和對各個版本的全面管控可能導致潛在的安全風險和合規(guī)問題。軟件設置清晰從存量管理層面來看，大部分企業(yè)未形成清晰的存量軟件治理規(guī)劃。超過65%的企業(yè)缺乏存量開源軟件治理規(guī)劃，包括年度目標、計劃等。此外，超過60%的企業(yè)僅在新增的安全事件、生態(tài)變化等外軟件設置清晰在第三方軟件管理方面，企業(yè)對于第三方軟件的管理存在一定不足。超過80%的企業(yè)通過合同義務來規(guī)范軟件供應商，以確保其遵循企業(yè)的開源軟件治理要求。然而，較少公司通過交付時檢查組件清單/分發(fā)說明、要求供應商提供第三方檢測報告等方式來確保軟件的合規(guī)性。雖然通過合同規(guī)范能夠在一定程度上轉嫁第三方違規(guī)使用開源軟件的風險，但缺乏對軟件供應商交付物的實際檢查和驗證，不足以規(guī)避供應商軟件中的安全合規(guī)風險。無論貴公司是正在制定開源軟件治理計劃，還是已經(jīng)開始維護成熟的開源軟件治理體系，都應該已經(jīng)實施或正在考慮實施以下關鍵舉措：構建開源治理的專業(yè)化團隊，團隊成員應包括在開源軟件使用全生命周期中所涉及的來自于架構、開發(fā)、運維、安全、法務等部門的負責人員。將開源治理要求嵌入到現(xiàn)有規(guī)章、辦法、手冊或信息系統(tǒng)中的流程制度。建立一套適合于企業(yè)業(yè)務和管理特點的開源軟件評估評價方法，用于指導開源軟件的引入和選型。構建開源治理支撐平臺。用于支撐開源軟件治理的平臺系統(tǒng)，是整個開源治理工作高效運行的技術保障。在使用開源軟件過程中，必須嚴格遵從開源軟件許可證的規(guī)定，避免開源法律風險；同時企業(yè)需通過內(nèi)外部運維支撐力量快速、及時地修復開源軟件漏洞，降低產(chǎn)品被攻擊的可能性。如果貴公司還未制定開源軟件治理計劃，您可以采用可信開源治理能力成熟度評估（OSGMM）對公司當前開源軟件治理水平進行評估、確定貴公司想要實現(xiàn)的狀態(tài)和目標，并明晰二者之前的差距。最后，將全景觀察結果作為基線來考量同行開展的主要開源治理活動，并據(jù)此制定貴公司的開源軟件治理能力構建計劃。OSGMMOSGMM評估意義何在？1.規(guī)范企業(yè)合理應用開源技術，提高企業(yè)應用水平和自主可控能力，促進開源技術健康可2.有效提升企業(yè)開源風險控制能力，針對開源風險從被動應對到主動防御，更有效的控制3.推動企業(yè)開源治理流程落地，通過一系列管第三部分可信開源治理服務可信開源治理“三位一體”服務是一個綜合性的解決方案，涵蓋了企業(yè)級開源治理標準、企業(yè)級開源治理咨詢服務和開源治理公共知識庫，通過閉企業(yè)級開源治理標準為企業(yè)提供一套規(guī)范和流程，指導和規(guī)范開企業(yè)級開源治理賦能服務為企業(yè)提供定制化的解決方案和咨詢服務，幫助企業(yè)根據(jù)自身需求和實際情況建立和完善開源治理體系。開源治理公共知識庫開源治理公共知識庫提供開源治理的基礎知識和指南括開源治理體系、許可證類型解釋、開源軟件安全性評估圖：“企業(yè)開源治理能力成熟度評估”框架開源治理成熟度水位線圖和開源治理成熟度象限圖為企業(yè)提供了有價值的工具來評估和比較其在開源治理方面的實踐能力和水平。水位線圖通過設定基線，幫助企業(yè)比較其在各項治理指標上的表現(xiàn)，并確定相對成熟度水平。而象限圖則通過可視化的方式，清晰地展示了企業(yè)在行業(yè)內(nèi)的開源治理水平，幫助企業(yè)了組織機制第三方管理管理制度第三方管理管理制度0持續(xù)跟蹤存量管理風險管理退出管理軟件測評開發(fā)測試管理存量管理風險管理退出管理軟件測評開發(fā)測試管理所有企業(yè)A企業(yè)運維管理所有企業(yè)成熟度水位線圖：調(diào)研企業(yè)在各項開源治理實踐中達到的平均高位標記基礎級基礎級增強級成熟度象限圖：調(diào)研企業(yè)開源治理能力在行業(yè)內(nèi)排位情況通過OSGMM評估實現(xiàn)開源治理工作從松散管理，到統(tǒng)一管控，再到統(tǒng)一治理的能力跨越中國聯(lián)通軟件研究院于2015年7月成立，經(jīng)歷了7年多的時間，從CB1.0到CB2.0上線，從啟動云化架構到全面云原生架構，持續(xù)構建平臺化、生態(tài)化、全棧云平臺——聯(lián)通云，使用開源、商業(yè)及自主研發(fā)的軟件300多種，開源組件20000多個，支撐中國聯(lián)通1300多個生產(chǎn)業(yè)務系統(tǒng)。自2021年，中國聯(lián)通軟件研究院啟動了開源治理工作，并在聯(lián)通軟研院內(nèi)部建立開源治理組織保障機制，包括決策團隊、專家團隊、運營團隊、專業(yè)團隊、法務團隊及安全團隊，為開源軟件治理工作奠定基礎。由于中國聯(lián)通軟件研究院在開源軟件治理方面，起步較晚，治理工作還不成熟。2022年9月，中國聯(lián)通軟件研究院參與OSGMM評估工作。該評估幫助軟研院梳理和整合了其在開源治理相關資源和機制，并幫助其實現(xiàn)了開源治理工作從松散管理，到統(tǒng)一管控，再到統(tǒng)一治理的能力跨越，規(guī)范了軟研院各業(yè)務側安全合規(guī)使用開源軟件，降低了使用開源軟件帶來的技術風險及運維風險。同時開源治理工作受到院領導及集團領導的高度重視，加快推動了開源治理工作從管理、管控到向治理階段邁進。OSGMMOSGMM評估意義何在？1.規(guī)范企業(yè)合理應用開源技術，提高企業(yè)應用水平和自主可控能力，促進開源技術健康可2.有效提升企業(yè)開源風險控制能力，針對開源風險從被動應對到主動防御，更有效的控制3.推動企業(yè)開源治理流程落地，通過一系列管中國信通院企業(yè)級服務-“企業(yè)開源賦能計劃”使用開源使用開源擁抱開源融合開源引領開源企業(yè)開源賦能計劃更有效的理論實踐更深入的現(xiàn)狀調(diào)研更完善的流程規(guī)劃更充足的資源與工具更權威的能力洞察企業(yè)咨詢企業(yè)咨詢訂閱服務開源通識預評估+正式評估差距分析生態(tài)建設風險策略管理制度數(shù)據(jù)支持公共平臺風險治理開源戰(zhàn)略現(xiàn)場訪談場景測試人天服務問卷調(diào)研培訓