1、2024年中国企业开源治理全景观察第一部分概 述OSGMM2.02024年中国企业开源治理全景观察概 述2020年，中国信息通信研究院制定标准开源治理能力评价方法 第 3 部分：成熟度模型(Open Source Governance Maturity Model，简称“OSGMM”)，确立了企业开源治理能力框架，规定了企业用户在使用开源软件时应遵循的流程及规范，以及企业开源治理能力成熟度的评价方法，有效帮助了众多企业构建和提升开源治理能力。为了解中国企业的开源风险治理举措和治理水平，中国信息通信研究院依托金融行业开源技术应用社区（FINOC）、通信行业开源社区（ICTOSC）、汽车行业开源社

2、区等组织，通过问卷调查的形式针对多个行业开展了开源软件治理能力成熟度调研，以明晰开源治理的行业现状以及未来的蓄力方向。OSGMM2.02024年中国企业开源治理全景观察OSGMM2024参与者OSGMM2024报告深入分析了来自七大行业（包括金融、通信、汽车、能源、互联网、软件和信息服务业及制造业）共121家不同规模企业的开源治理活动匿名数据，涉及的企业分布可参见图1和图2。此外，图3展示了企业在开源软件/组件方面的使用量级，图4揭示了企业在本年度最为关注的开源风险问题。30%15%10%4%16%16%9%金融行业通信行业汽车行业能源行业软件和信息服务业互联网行业制造行业图1 OSGMM参与

3、企业所处行业9%31%36%24%1-1000人1000-10000人10000-100000人100000人以上图2 OSGMM参与企业规模19%23%31%27%1-10001000-100001万-10万10万以上图3 OSGMM参与企业开源软件/组件使用数量级27%10%23%40%运维和技术风险管理风险安全风险合规和知识产权风险图4 OSGMM参与企业最关注的开源风险第二部分洞察OSGMM2.02024年中国企业开源治理全景观察OSGMM框架图5 OSGMM1.0模型OSGMM1.0整体框架由开源软件应用治理的3个能力要素和7个过程环节组成，包括：组织机构、管理制度、风险管理、软件测

4、评、开发测试、运维管理、持续跟踪、退出管理、存量软件管理、第三方软件管理等领域的40余项活动。为降低开源软件应用风险，OSGMM活动可视为在企业开展开源软件治理过程中所实施的控制措施，以预防、检测、纠正或控制开源软件使用所带来的系列风险。OSGMM活动级别代表了参与企业各项能力水准，具有【基础执行能力】被指定为“基础级-第1级”，具有【统一组织规划能力】被指定为“增强级-第2级”，具备【自动化的执行能力】被指定为“先进级-第3级”。OSGMM2.02024年中国企业开源治理全景观察OSGMM开源治理活动TOP10下表列出了2024开源治理全景观察数据池中观察到次数最多的10项活动，以下活动皆常

5、见于成功的开源治理实践中（增强级及以上）。数据表明，如果组织正在制定自己的开源治理计划，应考虑采取这些活动。OSGMM2024开源治理活动TOP10活动出现频率活动描述100%制定开源软件的引入、使用、维护、退出等方面的制度规定100%在引入开源软件后，对开源漏洞、许可证信息进行持续跟踪100%明确企业开源治理的目标、原则、范围和流程，为后续的开源工作提供指导100%成立全职/兼职开源管理团队或办公室，负责企业内部的开源治理工作98%登记内部所有存量软件94%定期开展（一年2次及以上）开源相关培训93%通过合同义务确保软件供应商遵循企业的开源软件治理要求90%建设开源管理平台，辅助管理和统计开

6、源软件信息情况及风险信息处置情况89%针对系统软件需求编制安装部署规范、使用操作手册等相关配套文档88%在引入开源软件时，进行同类软件对比与社区健康度评估工作OSGMM2.02024年中国企业开源治理全景观察OSGMM2024-各领域关键活动实践情况Q:是否有明确的开源软件治理规划(治理目标、年度计划等)？洞察：部分企业对于开源软件治理战略重要性认识不足，开源治理缺乏客观性和系统性，重度依赖过往经验，仅由事件触发治理机制。超53%的被调研企业不具备明确的开源软件治理规划（治理目标、年度计划等）。组织机制Q:贵公司是否具备企业级开源软件管理制度？洞察：部分企业开源软件管理主要依靠相关人员过往经验