云计算开源产业联盟：2023年中国企业开源治理全景观察报告（32页）.pdf

《云计算开源产业联盟：2023年中国企业开源治理全景观察报告（32页）.pdf》由会员分享，可在线阅读，更多相关《云计算开源产业联盟：2023年中国企业开源治理全景观察报告（32页）.pdf（32页珍藏版）》请在三个皮匠报告上搜索。

1、2023年中国企业开源治理全景观察第一部分概 述3概 述2020年，中国信息通信研究院制定标准开源软件治理能力评价方法 第 3 部分：成熟度模型，确立了企业开源软件治理能力框架，规定了开源用户企业在使用开源软件时应遵循的流程及规范，以及企业开源软件治理能力成熟度的评价方法，有效帮助了众多企业构建和提升开源软件治理能力。为了解中国企业的开源风险治理举措和治理水平，中国信息通信研究院依托金融行业开源技术应用社区（FINOC）、通信行业开源社区（ICTOSC）、汽车行业开源社区等组织，通过问卷调查的形式针对七大行业的105家企业开展了开源软件治理能力成熟度调研，以明晰开源治理的行业现状以及未来的蓄力

2、方向。4调研参与者2023年中国企业开源治理全景观察共研究了来自不同行业的105家企业的开源软件治理能力数据，包括金融行业、通信行业、汽车行业、能源行业、软件和信息服务业、互联网行业和制造行业不同规模的企业。28%15%10%4%20%14%9%金融行业通信行业汽车行业能源行业软件和信息服务业互联网行业制造行业40%15%10%35%1-100人100-500人500-5000人5000人以上47%23%18%12%100-10001000-100001万-10万10万以上40%15%35%10%运维和技术风险管理风险安全风险合规和知识产权风险图1 调研参与企业所处行业图2 调研参与企业规模图

3、3 调研参与企业开源软件使用数量级图4 调研参与企业关注的开源风险5开源治理全景观察框架2023中国企业开源治理全景观察整体调研框架由开源软件治理的7个过程环节和3个能力要素组成，包括：组织机构、管理制度、风险管理、软件测评、开发测试、运维管理、持续跟踪、退出管理、存量软件管理、第三方软件管理等领域的40余项活动。开源治理活动级别代表了参与企业各项能力水平，具有【基础执行能力】被指定为“基础级-第1级”，具有【统一组织规划能力】被指定为“增强级-第2级”，具备【自动化的执行能力】被指定为“先进级-第3级”。图5 OSGMM模型6术语术语表开源开放一类技术或一种产品的源代码，源数据，源资产，可以

4、是各行业的技术或产品，其范畴涵盖文化、产业、法律、技术等多个社会维度。开源软件源代码免费向公众开放，任何团体或个人都可以在其许可证的规定下对其进行使用、复制、传播及修改，并可以将该修改形成的软件的衍生版本再发布。开放软件受适用版权法的保护，使用时应遵循其许可证的各项条件。开源许可证开源软件的版权持有人通过该类许可证，授予用户可以学习、使用、修改开源软件，并向任何人或为任何目的分发开源软件的权利。系统软件能够对硬件资源进行调度和管理、为应用软件提供运行支撑的软件。存量管理对企业开展开源治理工作前已引入企业内部的开源软件进行管理。第三方软件管理通过管理措施确保第三方软件供应商遵循企业的开源代码安全

5、合规要求。第二部分洞 察82023中国企业开源治理活动TOP10下表列出了2023中国企业开源治理全景观察数据池中观察到次数最多的10项活动，以下活动皆常见于非常成功的开源治理实践中。数据表明，如果组织正在制定自己的开源治理计划，应考虑采取这些活动。2023中国企业开源治理活动 TOP10活动出现频率活动描述91%在面临安全问题时及时评估，并有规划进行软件退出操作。88%通过合同义务确保软件供应商遵循企业的开源软件治理要求88%在引入开源软件后，对开源漏洞信息进行持续跟踪87%通过版本升级处理开源组件安全漏洞85%登记内部所有存量软件82%定期开展（一年2次及以上）开源相关培训82%制定企业级

6、/部门级新技术及开源软件管理相关制度和流程79%建设开源管理平台，辅助管理和统计开源软件信息情况及风险信息处置情况77%针对系统软件需求编制安装部署规范、使用操作手册等相关配套文档75%在引入开源软件时，进行软件功能评估以及同类软件对比工作各领域关键活动实践情况9Q:是否有明确的开源软件治理规划(治理目标、年度计划等)？洞察：部分企业对于开源软件治理战略重要性认识不足，开源治理缺乏客观性和系统性，重度依赖过往经验，仅由事件触发治理机制。超60%的被调研企业不具备明确的开源软件治理规划（治理目标、年度计划等）。组织机制Q:贵公司是否具备企业级开源软件管理制度？洞察：部分企业开源软件管理主要依靠相