2024年中国企业开源治理洞察报告.pptx

2024年中国企业

开源治理全景观察

2020年，中国信息通信研究院制定标准《开源治理能力评价方法第3部分：成熟度模型》

(OpenSourceGovernanceMaturityModel，简称“OSGMM”)，确立了企业开源治理能力框架，规定了企业用户在使用开源软件时应遵循的流程及规范，以及企业开源治理能力成熟度的评价方法，有效帮助了众多企业构建和提升开源治理能力。

为了解中国企业的开源风险治理举措和治理水平，中国信息通信研究院依托金融行业开源技术应用社区（FINOC）、通信行业开源社区（ICTOSC）、汽车行业开源社区等组织，通过问卷调查的形式针对多个行业开展了开源软件治理能力成熟度调研，以明晰开源治理的行业现状以及未来的蓄力方向。

概述

a1-1000a1000-10000a1万-10万.10万以上

19%

27%

23%

31%

OSGMM2024报告深入分析了来自七大行业（包括金融、通信、汽车、能源、互联网、软件和信息服务业及制造业）共121家不同规模企业的开源治理活动匿名数据，涉及的企业分布可参见图1和图2。此外，图3展示了企业在开源软件/组件方面的使用量级，图4揭示了企业在本年度最为关注的开源风险问题。

u金融行业

汽车行业

软件和信息服务业制造行业

u通信行业

能源行业

互联网行业

OSGMM2024参与者

1-1000人1000-10000人

10000-100000人100000人以上

管理风险

w合规和知识产权风险

图3OSGMM参与企业开源软件/组件使用数量级

运维和技术风险

安全风险

图4OSGMM参与企业最关注的开源风险

图1OSGMM参与企业所处行业

图2OSGMM参与企业规模

OSGMM1.0整体框架由开源软件应用治理的3个能力要素和7个过程环节组成，包括：组织机构、管理制度、风险管理、软件测评、开发测试、运维管理、持续跟踪、退出管理、存量软件管理、第三方软件管理等领域的40余项活动。

为降低开源软件应用风险，OSGMM活动可视为在企业开展开源软件治理过程中所实施的控制措施，以预防、检测、纠正或控制开源软件使用所带来的系列风险。OSGMM活动级别代表了参与企业各项能力水准，具有【基础执行能力】被指定为“基础级-第1级”，具有【统一组织规划能力】被指定为“增强级-第2级”，具备【自动化的执行能力】被指定为“先进级-第3级”。

OSGMM框架

图5OSGMM1.0模型

OSGMM2024开源治理活动TOP10

活动出现频率

活动描述

100%

制定开源软件的引入、使用、维护、退出等方面的制度规定

100%

在引入开源软件后，对开源漏洞、许可证信息进行持续跟踪

100%

明确企业开源治理的目标、原则、范围和流程，为后续的开源工作提供指导

100%

成立全职/兼职开源管理团队或办公室，负责企业内部的开源治理工作

98%

登记内部所有存量软件

94%

定期开展（一年2次及以上）开源相关培训

93%

通过合同义务确保软件供应商遵循企业的开源软件治理要求

90%

建设开源管理平台，辅助管理和统计开源软件信息情况及风险信息处置情况

89%

针对系统软件需求编制安装部署规范、使用操作手册等相关配套文档

88%

在引入开源软件时，进行同类软件对比与社区健康度评估工作

下表列出了2024开源治理全景观察数据池中观察到次数最多的10项活动，以下活动皆常见于成功的开源治理实践中（增强级及以上）。数据表明，

如果组织正在制定自己的开源治理计划，应考虑采取这些活动。

OSGMM开源治理活动TOP10

Q:贵公司是否具备企业级开源软件管理制度？

l洞察：部分企业开源软件管理主要依靠相关人员过往经验，针对重要开源软件能够形成配套管理制度，但未制定企业级的开源软件流程制度规范，未提出对开源软件全生命周期中的风险管理要求。

l超38%的被调研企业不具备企业级开源软件管理制度。

Q:是否有明确的开源软件治理规划(治理目标、年度计划等)？

l洞察：部分企业对于开源软件治理战略重要性认识不足，开源治理缺乏客观性和系统性，重度依赖过往经验，仅由事件触发治理机制。

l超53%的被调研企业不具备明确的开源软件治理规划（治理目标、年度计划等）。

OSGMM2024-各领域关键活动实践情况

组织机制

管理制度

Q:企业内处理开源组件安全漏洞的方式有哪些？（多选）

l洞察：根据安全漏洞风险等级的不同，企业处理开源组件安全漏洞的方式也有所不同；依靠内部力量处理开源组件安全漏洞所需投入资源较多，对运维人员能力要求较高