2023年中国企业开源治理全景观察

云计算开源产业联盟发布了《2023年中国企业开源治理全景观察》这篇报告。以下是对该报告的简单概括，更多内容请前往原报告进行下载查看。该报告通过问卷调查的形式针对七大行业的105家企业开展了开源软件治理能力成熟度调研，以明晰开源治理的行业现状以及未来的蓄力方向。

1.第一部分 ：概述

调研参与者

《2023年中国企业开源治理全景观察》共研究了来自不同行业的105家企业的开源软件治理能力数据，包括金融行业、通信行业、汽车行业、能源行业、软件 和信息服务业、互联网行业和制造行业不同规模的企业。

开源治理全景观察框架

《2023中国企业开源治理全景观察整体》调研框架由开源软件治理的7个过程环节和3个能力要素组成，包括：组织机构、管理制度、风险管理、软件测 评、开发测试、运维管理、持续跟踪、退出管理、存量软件管理、第三方软件管理等领域的40余项活动。

开源治理活动级别代表了参与企业各项能力水平，具有【基础执行能力】被指定为“基础级-第1级”，具有【统一组织规划能力】被指定为“增强级-第2级”， 具备【自动化的执行能力】被指定为“先进级-第3级”。

2.第二部分： 洞察

2023中国企业开源治理活动TOP10

下表列出了2023中国企业开源治理全景观察数据池中观察到次数最多的10项活动，以下活动皆常见于非常成功的开源治理实践中。数据表明， 如果组织正在制定自己的开源治理计划，应考虑采取这些活动。

各领域关键活动实践情况

组织机制

 Q:是否有明确的开源软件治理规划(治理目标、年度计划等)？

洞察：部分企业对于开源软件治理战略重要性认识不足，开源治理缺乏客观性和系统性，重度依赖过往经验，仅由事件触发治理机制。  超60%的被调研企业不具备明确的开源软件治理规划（治理目标、年度计划等）。

管理制度

Q:贵公司是否具备企业级开源软件管理制度？

 洞察：部分企业开源软件管理主要依靠相关人员过往经验，针对重要开源软件能够形成配套管理制度，但未制定企业级的开源软件流程制度规 范，未提出对开源软件全生命周期中的风险管理要求。  超40%的被调研企业不具备企业级开源软件管理制度。

3.第三部分 ：可信开源治理服务

中国信通院可信开源治理“三位一体”服务

可信开源治理“三位一体”服务是一个综合性的解决方案，涵盖了企业级开源治理标准、企业级开源治理咨询服务和开源治理公共知识库，通过闭环机制，企业 能够不断优化和完善自身的开源治理体系，提高开源软件的使用效率和安全性，同时也为整个行业的开源治理能力提升做出贡献。

《开源软件治理能力成熟度模型》 适用对象：面向开源使用企业

适用范围：适用于评估和提升企业在开源软件治 理方面的成熟度，帮助企业了解当前的治理状况、 识别存在的挑战和问题，并提供指导和建议来改 进和加强开源软件治理能力。

 开源软件治理策略和规划：评估企业对开源 软件治理的策略和规划程度，包括治理目标 的设定、治理策略的制定以及治理规划的实 施情况。

 开源软件许可证合规性管理：评估企业对开 源软件许可证的合规性管理程度，包括许可 证的识别、合规性审查、许可证合规政策的 制定和执行等。

 开源软件安全管理：评估企业对开源软件安 全管理的能力，包括安全漏洞的监测和修复、 漏洞管理流程的建立、安全风险评估等。

评估增值服务-成熟度水位线图/象限图

开源治理成熟度水位线图和开源治理成熟度象限图为企业提供了有价值的工具来评估和比较其在开源治理方面的关注情况。水位线图通过设定基线，帮助企业比较其在各项 治理指标上的表现，并确定相对成熟度水平。而象限图则通过可视化的方式，清晰地展示了企业在行业内的开源治理水平，帮助企业了解自身的位置和相对优劣。

评估案例

通过可信开源治理能力成熟度评估实现开源治理工作从松散管理，到统一管 控，再到统一治理的能力跨越

中国联通软件研究院于2015年7月成立，经历了7年多的时间，从CB1.0到CB2.0上 线，从启动云化架构到全面云原生架构，持续构建平台化、生态化、全栈云平台 ——联通云，使用开源、商业及自主研发的软件300多种，开源组件20000多个支 撑中国联通1700多个生产业务系统。

自2021年，中国联通软件研究院启动了开源治理工作，并在联通软研院内部建立 开源治理组织保障机制，包括决策团队、专家团队、运营团队、专业团队、法务团 队及安全团队，为开源软件治理工作奠定基础。

由于中国联通软件研究院在开源软件治理方面，起步较晚，治理工作还不成熟。 2022年9月，中国联通软件研究院参与可信开源治理能力成熟度评估工作。该评 估帮助软研院梳理和整合了其在开源治理相关资源和机制，并帮助其实现了开源治 理工作从松散管理，到统一管控，再到统一治理的能力跨越，规范了软研院各业务 侧安全合规使用开源软件，降低了使用开源软件带来的技术风险及运维风险。同时 开源治理工作受到院领导及集团领导的高度重视，加快推动了开源治理工作从管理 、管控到向治理阶段迈进。

（本文仅供参考，不代表我们的任何投资建议。如需使用相关信息，请参阅报告原文。）