2024年中国企业开源治理全景观察报告-云计算开源产业联盟

2024年中国企业开源治理全景观察第一部分概 述OSGMM2.02024年中国企业开源治理全景观察概 述2020年，中国信息通信研究院制定标准《开源治理能力评价方法 第 3 部分：成熟度模型》(Open Source Governance Maturity Model，简称“OSGMM”)，确立了企业开源治理能力框架，规定了企业用户在使用开源软件时应遵循的流程及规范，以及企业开源治理能力成熟度的评价方法，有效帮助了众多企业构建和提升开源治理能力。为了解中国企业的开源风险治理举措和治理水平，中国信息通信研究院依托金融行业开源技术应用社区（FINOC）、通信行业开源社区（ICTOSC）、汽车行业开源社区等组织，通过问卷调查的形式针对多个行业开展了开源软件治理能力成熟度调研，以明晰开源治理的行业现状以及未来的蓄力方向。OSGMM2.02024年中国企业开源治理全景观察OSGMM2024参与者OSGMM2024报告深入分析了来自七大行业（包括金融、通信、汽车、能源、互联网、软件和信息服务业及制造业）共121家不同规模企业的开源治理活动匿名数据，涉及的企业分布可参见图1和图2。此外，图3展示了企业在开源软件/组件方面的使用量级，图4揭示了企业在本年度最为关注的开源风险问题。30%15%10%4%16%16%9%金融行业通信行业汽车行业能源行业软件和信息服务业互联网行业制造行业图1 OSGMM参与企业所处行业9%31%36%24%1-1000人1000-10000人10000-100000人100000人以上图2 OSGMM参与企业规模19%23%31%27%1-10001000-100001万-10万10万以上图3 OSGMM参与企业开源软件/组件使用数量级27%10%23%40%运维和技术风险管理风险安全风险合规和知识产权风险图4 OSGMM参与企业最关注的开源风险第二部分洞察OSGMM2.02024年中国企业开源治理全景观察OSGMM框架图5 OSGMM1.0模型OSGMM1.0整体框架由开源软件应用治理的3个能力要素和7个过程环节组成，包括：组织机构、管理制度、风险管理、软件测评、开发测试、运维管理、持续跟踪、退出管理、存量软件管理、第三方软件管理等领域的40余项活动。为降低开源软件应用风险，OSGMM活动可视为在企业开展开源软件治理过程中所实施的控制措施，以预防、检测、纠正或控制开源软件使用所带来的系列风险。OSGMM活动级别代表了参与企业各项能力水准，具有【基础执行能力】被指定为“基础级-第1级”，具有【统一组织规划能力】被指定为“增强级-第2级”，具备【自动化的执行能力】被指定为“先进级-第3级”。OSGMM2.02024年中国企业开源治理全景观察OSGMM开源治理活动TOP10下表列出了2024开源治理全景观察数据池中观察到次数最多的10项活动，以下活动皆常见于成功的开源治理实践中（增强级及以上）。数据表明，如果组织正在制定自己的开源治理计划，应考虑采取这些活动。OSGMM2024开源治理活动TOP10活动出现频率活动描述100%制定开源软件的引入、使用、维护、退出等方面的制度规定100%在引入开源软件后，对开源漏洞、许可证信息进行持续跟踪100%明确企业开源治理的目标、原则、范围和流程，为后续的开源工作提供指导100%成立全职/兼职开源管理团队或办公室，负责企业内部的开源治理工作98%登记内部所有存量软件94%定期开展（一年2次及以上）开源相关培训93%通过合同义务确保软件供应商遵循企业的开源软件治理要求90%建设开源管理平台，辅助管理和统计开源软件信息情况及风险信息处置情况89%针对系统软件需求编制安装部署规范、使用操作手册等相关配套文档88%在引入开源软件时，进行同类软件对比与社区健康度评估工作OSGMM2.02024年中国企业开源治理全景观察OSGMM2024-各领域关键活动实践情况Q:是否有明确的开源软件治理规划(治理目标、年度计划等)？⚫洞察：部分企业对于开源软件治理战略重要性认识不足，开源治理缺乏客观性和系统性，重度依赖过往经验，仅由事件触发治理机制。⚫超53%的被调研企业不具备明确的开源软件治理规划（治理目标、年度计划等）。组织机制Q:贵公司是否具备企业级开源软件管理制度？⚫洞察：部分企业开源软件管理主要依靠相关人员过往经验，针对重要开源软件能够形成配套管理制度，但未制定企业级的开源软件流程制度规范，未提出对开源软件全生命周期中的风险管理要求。⚫超38%的被调研企业不具备企业级开源软件管理制度。管理制度OSGMM2.02024年中国企业开源治理全景观察OSGMM2024-各领域关键活动实践情况Q:企业内处理开源组件安全漏洞的方式有哪些？（多选）⚫洞察：根据安全漏洞风险等级的不同，企业处理开源组件安全漏洞的方式也有所不同；依靠内部力量处理开源组件安全漏洞所需投入资源较多，对运维人员能力要求较高，通常并非企业首选。⚫约97%的被调研企业通过版本升级处理开源组件安全漏洞；72%的被调研企业通过手动应用补丁应对安全漏洞；27%的被调研企业视情况替换组件或者删除该组件，约10%的企业不做处理。风险管理Q:在引入开源软件时，会进行哪些评测工作？（多选）⚫洞察：大部分企业在引入开源软件时进行了软件功能评估、同类软件对比，但在项目活跃度评估、行业认可度和软件质量评估以及服务支持评估方面仍有改进空间。⚫98%的被调研企业在引入开源软件时，进行软件功能评估以及同类软件对比工作；53%的企业进行项目活跃度评估；48%的企业进行行业认可度评估及软件质量评估；约23%的企业会进行服务支持评估；2%的企业不进行任何评估。软件测评OSGMM2.02024年中国企业开源治理全景观察OSGMM2024-各领域关键活动实践情况Q:与外部开源社区的交互状态是？⚫洞察：当前我国大部分企业对于开源软件还仅停留在使用层面，未进行对外开源贡献，这与开源软件在我国发展较晚，我国企业对于开源共建共享的意识不足等因素有关。⚫约86%的被调研企业仅使用外部开源社区项目，关注开源社区动态；14%的被调研企业还会参与外部开源社区贡献和建设，与外部开源社区建立起良好的沟通反馈机制。开发测试Q:开源软件确定对应负责管理部门的原则是？⚫洞察：企业属性和内部职责划分的不同，导致企业开源软件维护主体相关规则差异较大。⚫45%的被调研企业秉持谁先引入谁负责的原则；28%的被调研企业按部门职责进行划分；15%的企业谁使用谁负责；12%的企业由技术委员会评估确定。运维管理OSGMM2.02024年中国企业开源治理全景观察OSGMM2024-各领域关键活动实践情况Q:在引入开源软件后，会对哪些信息进行持续跟踪?（多选）⚫洞察：开源软件安全漏洞问题所带来的负面影响更为直接，我国大部分企业明显更重视开源软件安全，并对开源漏洞信息和版本进行持续跟踪。⚫约100%的被调研企业在引入开源软件后，对开源漏洞信息进行持续跟踪；78%的企业会进行开源许可证跟踪；75%的企业进行版本跟踪；21%的企业进行社区基本情况的跟踪。持续跟踪Q:决定不再使用某种开源软件，对于软件退出的依据是？（多选）⚫洞察：我国企业对于开源软件安全风险问题已有较高程度认知。⚫ 100%