OSPO 领航·敏捷破局：既有研发体系的开源治理融入与新业务响应的加速范式.pdf

1、刘津铭|vivo|安全研发工程师1.1.企业研发体系现状与开源治理痛点企业研发体系现状与开源治理痛点-行业基准行业基准数据来源：新思科技2024开源安全和风险分析报告1.1.企业研发体系现状与开源治理痛点企业研发体系现状与开源治理痛点-典型困境典型困境研发困境研发困境研发流程固化开源迭代速度敏捷发版策略代码审计周期VSVS治理困境治理困境管理难排查难不可控2.2.破局点破局点1 1：成熟体系的敏捷切入策略：成熟体系的敏捷切入策略-开源治理与开源治理与OSPOOSPO战略定位战略定位 在资源有限的情况下如何使开源治理最快取得成果？开源治理与OSPO在各阶段的关键作用与核心价值？开源治理三阶演进模

2、型开源治理三阶演进模型被动合规被动合规主动治理主动治理生态共建生态共建关键点：摸底；管控关键点：流程；赋能关键点：内源；生态战略层执行层生态层制定开源政策、参与标准制定、规划技术路线嵌入研发流程、管理工具链、培训开发者对接开源社区、构建行业联盟、推动内外协同OSPOOSPO效率效率创新创新合规合规核心治理专业团队开源生态管理团队2.2.破局点破局点1 1：成熟体系的敏捷切入策略：成熟体系的敏捷切入策略-被动合规被动合规 被动合规阶段的目标与核心工作？随着开源治理的进行OSPO的成员构成与核心作用？目标：实现已有业务的开源软件使用的安全合规治理目标：实现已有业务的开源软件使用的安全合规治理有哪些

3、软件资产；资产分类分级eg：从代码仓库、CICD构建摸底制定开源安全合规基础规范eg：OpenChain安全与合规规范商采或使用开源工具保障eg：owasp dependency-check核心点：资产排查核心点：资产排查核心点：规范先行核心点：规范先行核心点：工具保障核心点：工具保障OSPOOSPO架构师安全合规法务初步完善开源使用战略，对已有业务使用初步完善开源使用战略，对已有业务使用SCASCA工具进行专项治理工具进行专项治理从制品的出口进行摸底扫描再到管控，实现已知风险专项治理从制品的出口进行摸底扫描再到管控，实现已知风险专项治理开源治理成熟度基础级基础级2.2.破局点破局点1 1：成

4、熟体系的敏捷切入策略：成熟体系的敏捷切入策略-主动治理主动治理 主动治理阶段的目标与核心工作？随着开源治理的进行OSPO的成员构成与核心作用？目标：构建开源安全合规治理体系，管控开源软件全生命周期流程目标：构建开源安全合规治理体系，管控开源软件全生命周期流程核心点：规范完善核心点：规范完善核心点：工具配套核心点：工具配套开源治理成熟度增强级增强级开源安全管控规范开源许可证使用规范+开源软件全生命周期管控规范开源事件应急响应规范SCA+内部开源组件货架与仓库私服业务SBOM清单与知识图谱开源威胁情报感知与风险运营开发规范培训课程，赋能开发者2.2.破局点破局点1 1：成熟体系的敏捷切入策略：成熟

5、体系的敏捷切入策略-主动治理主动治理 主动治理阶段的目标与核心工作？随着开源治理的进行OSPO的成员构成与核心作用？目标：构建开源安全合规治理体系，管控开源软件全生命周期流程目标：构建开源安全合规治理体系，管控开源软件全生命周期流程核心点：流程落地核心点：流程落地开源治理成熟度增强级增强级软件选型软件选型引用上架引用上架编译扫描编译扫描维护下架维护下架选型复用选型复用设计设计SBOMSBOM架构师团队协助业务进行开源软件选型软件设计方案增加开源软件选型环节管控引入管控引入统一仓库统一仓库使用开源软件上架货架与私服仓库业务只允许从私仓引用开源软件开源门禁开源门禁义务履行义务履行CICD编译流程新

6、增开源安全合规门禁履行开源许可证义务，使用/修改/版权等声明统一维护统一维护应急响应应急响应统一维护内部开源软件使用基线版本落地实施开源事件应急响应流程2.2.破局点破局点1 1：成熟体系的敏捷切入策略：成熟体系的敏捷切入策略-主动治理主动治理 主动治理阶段的目标与核心工作？随着开源治理的进行OSPO的成员构成与核心作用？目标：构建开源安全合规治理体系，管控开源软件全生命周期流程目标：构建开源安全合规治理体系，管控开源软件全生命周期流程开源治理成熟度增强级增强级核心点：规范完善核心点：规范完善核心点：工具配套核心点：工具配套核心点：流程落地核心点：流程落地OSPOOSPO从规范到工具到流程进行