云計算開源產業聯盟：2023年中國企業開源治理全景觀察報告（32頁）.pdf

《云計算開源產業聯盟：2023年中國企業開源治理全景觀察報告（32頁）.pdf》由會員分享，可在線閱讀，更多相關《云計算開源產業聯盟：2023年中國企業開源治理全景觀察報告（32頁）.pdf（32頁珍藏版）》請在三個皮匠報告上搜索。

1、2023年中國企業開源治理全景觀察第一部分概 述3概 述2020年，中國信息通信研究院制定標準開源軟件治理能力評價方法 第 3 部分：成熟度模型，確立了企業開源軟件治理能力框架，規定了開源用戶企業在使用開源軟件時應遵循的流程及規范，以及企業開源軟件治理能力成熟度的評價方法，有效幫助了眾多企業構建和提升開源軟件治理能力。為了解中國企業的開源風險治理舉措和治理水平，中國信息通信研究院依托金融行業開源技術應用社區（FINOC）、通信行業開源社區（ICTOSC）、汽車行業開源社區等組織，通過問卷調查的形式針對七大行業的105家企業開展了開源軟件治理能力成熟度調研，以明晰開源治理的行業現狀以及未來的蓄力

2、方向。4調研參與者2023年中國企業開源治理全景觀察共研究了來自不同行業的105家企業的開源軟件治理能力數據，包括金融行業、通信行業、汽車行業、能源行業、軟件和信息服務業、互聯網行業和制造行業不同規模的企業。28%15%10%4%20%14%9%金融行業通信行業汽車行業能源行業軟件和信息服務業互聯網行業制造行業40%15%10%35%1-100人100-500人500-5000人5000人以上47%23%18%12%100-10001000-100001萬-10萬10萬以上40%15%35%10%運維和技術風險管理風險安全風險合規和知識產權風險圖1 調研參與企業所處行業圖2 調研參與企業規模圖

3、3 調研參與企業開源軟件使用數量級圖4 調研參與企業關注的開源風險5開源治理全景觀察框架2023中國企業開源治理全景觀察整體調研框架由開源軟件治理的7個過程環節和3個能力要素組成，包括：組織機構、管理制度、風險管理、軟件測評、開發測試、運維管理、持續跟蹤、退出管理、存量軟件管理、第三方軟件管理等領域的40余項活動。開源治理活動級別代表了參與企業各項能力水平，具有【基礎執行能力】被指定為“基礎級-第1級”，具有【統一組織規劃能力】被指定為“增強級-第2級”，具備【自動化的執行能力】被指定為“先進級-第3級”。圖5 OSGMM模型6術語術語表開源開放一類技術或一種產品的源代碼，源數據，源資產，可以

4、是各行業的技術或產品，其范疇涵蓋文化、產業、法律、技術等多個社會維度。開源軟件源代碼免費向公眾開放，任何團體或個人都可以在其許可證的規定下對其進行使用、復制、傳播及修改，并可以將該修改形成的軟件的衍生版本再發布。開放軟件受適用版權法的保護，使用時應遵循其許可證的各項條件。開源許可證開源軟件的版權持有人通過該類許可證，授予用戶可以學習、使用、修改開源軟件，并向任何人或為任何目的分發開源軟件的權利。系統軟件能夠對硬件資源進行調度和管理、為應用軟件提供運行支撐的軟件。存量管理對企業開展開源治理工作前已引入企業內部的開源軟件進行管理。第三方軟件管理通過管理措施確保第三方軟件供應商遵循企業的開源代碼安全

5、合規要求。第二部分洞 察82023中國企業開源治理活動TOP10下表列出了2023中國企業開源治理全景觀察數據池中觀察到次數最多的10項活動，以下活動皆常見于非常成功的開源治理實踐中。數據表明，如果組織正在制定自己的開源治理計劃，應考慮采取這些活動。2023中國企業開源治理活動 TOP10活動出現頻率活動描述91%在面臨安全問題時及時評估，并有規劃進行軟件退出操作。88%通過合同義務確保軟件供應商遵循企業的開源軟件治理要求88%在引入開源軟件后，對開源漏洞信息進行持續跟蹤87%通過版本升級處理開源組件安全漏洞85%登記內部所有存量軟件82%定期開展（一年2次及以上）開源相關培訓82%制定企業級

6、/部門級新技術及開源軟件管理相關制度和流程79%建設開源管理平臺，輔助管理和統計開源軟件信息情況及風險信息處置情況77%針對系統軟件需求編制安裝部署規范、使用操作手冊等相關配套文檔75%在引入開源軟件時，進行軟件功能評估以及同類軟件對比工作各領域關鍵活動實踐情況9Q:是否有明確的開源軟件治理規劃(治理目標、年度計劃等)？洞察：部分企業對于開源軟件治理戰略重要性認識不足，開源治理缺乏客觀性和系統性，重度依賴過往經驗，僅由事件觸發治理機制。超60%的被調研企業不具備明確的開源軟件治理規劃（治理目標、年度計劃等）。組織機制Q:貴公司是否具備企業級開源軟件管理制度？洞察：部分企業開源軟件管理主要依靠相

7、關人員過往經驗，針對重要開源軟件能夠形成配套管理制度，但未制定企業級的開源軟件流程制度規范，未提出對開源軟件全生命周期中的風險管理要求。超40%的被調研企業不具備企業級開源軟件管理制度。管理制度各領域關鍵活動實踐情況10Q:企業內處理開源組件安全漏洞的方式有哪些？（多選）洞察：根據安全漏洞風險等級的不同，企業處理開源組件安全漏洞的方式也有所不同；依靠內部力量處理開源組件安全漏洞所需投入資源較多，對運維人員能力要求較高，通常并非企業首選。約87%的被調研企業通過版本升級處理開源組件安全漏洞；72%的被調研企業通過手動應用補丁應對安全漏洞；77%的被調研企業替換組件或者刪除該組件，約10%的企業不

8、做處理。風險管理Q:在引入開源軟件時，會進行哪些評測工作？（多選）洞察：大部分企業在引入開源軟件時進行了軟件功能評估、同類軟件對比、項目活躍度評估以及行業認可度和軟件質量評估，但在服務支持評估方面仍有改進空間。75%的被調研企業在引入開源軟件時，進行軟件功能評估以及同類軟件對比工作；63%的企業進行項目活躍度評估；60%的企業進行行業認可度評估及軟件質量評估；約36%的企業會進行服務支持評估；2%的企業不進行任何評估。軟件測評各領域關鍵活動實踐情況11Q:與外部開源社區的交互狀態是？洞察：當前我國大部分企業對于開源軟件還僅停留在使用層面，未進行對外開源貢獻，這與開源軟件在我國發展較晚，我國企業

9、對于開源共建共享的意識不足等因素有關。約66%的被調研企業僅使用外部開源社區項目，關注開源社區動態；34%的被調研企業還會參與外部開源社區貢獻和建設，與外部開源社區建立起良好的溝通反饋機制。開發測試Q:開源軟件確定對應負責管理部門的原則是？洞察：企業屬性和內部職責劃分的不同，導致企業開源軟件維護主體相關規則差異較大。25%的被調研企業秉持誰先引入誰負責的原則；25%的被調研企業按部門職責進行劃分；28%的企業誰使用誰負責；22%的企業由技術委員會評估確定。運維管理各領域關鍵活動實踐情況12Q:在引入開源軟件后，會對哪些信息進行持續跟蹤?（多選）洞察：開源軟件安全漏洞問題所帶來的負面影響更為直接

10、，我國大部分企業明顯更重視開源軟件安全，并對開源漏洞信息和版本進行持續跟蹤。約88%的被調研企業在引入開源軟件后，對開源漏洞信息進行持續跟蹤；58%的企業會進行開源許可證跟蹤；60%的企業進行版本跟蹤；41%的企業進行社區基本情況的跟蹤；6%的企業不跟蹤。持續跟蹤Q:決定不再使用某種開源軟件，對于軟件退出的依據是？（多選）洞察：我國企業對于開源軟件安全風險和合規風險問題已有較高程度認知。91%的被調研企業在面臨嚴重安全問題時進行軟件退出操作；70%的被調研企業在面臨法律合規紅線時，進行軟件的退出管理；64%的企業當開源軟件不滿足業務場景時會進行退出規劃；50%的企業因開源軟件更新頻次過低或版本

11、過老而進行退出規劃。退出管理各領域關鍵活動實踐情況13Q:針對內部所有存量開源軟件的管理措施是？洞察：我國企業開源治理工作開展較晚，存量開源軟件量級較大，因此對于存量軟件的全量、周期性管理存在一定困難。超過70%的企業僅在新增的安全事件、生態變化等外部因素觸發時針對存量開源軟件進行非周期檢查；約20%的企業對存量開源軟件的安全合規性與依賴情況進行周期性分析檢查；10%的企業不針對存量開源軟件進行檢查。存量管理Q:如何確保軟件供應商遵循企業的開源軟件治理要求？（多選）洞察：我國企業對于第三方軟件管理的重視程度存在不足，同時缺乏開源合規相關專業人員，難以規范審查第三方軟件中專有代碼、開源代碼的交互

12、方式是否合規。超過80%的企業通過合同義務來規范軟件供應商，以確保其遵循企業的開源軟件治理要求；40%的企業通過交付時檢查組件清單/分發說明確保供應商遵守要求；27%的企業要求供應商提供第三方檢測報告。第三方管理圖6 所有參與企業各項開源治理能力關注度情況垂直行業比較開源治理成熟度高水位線圖提供了基線，用于比較企業對各項治理指標的關注度（主要指企業期望達到的能力水平）。成熟度級別代表了調研參與企業各項能力的關注度水 平，具有基礎執行能力被指定為“第1級”，具有統一組織規劃的執行能力被指定為“第2級”，具備自動化的執行能力被指定為“第3級”。水位線通常表示成熟度，如3級的水位線高，2級的水位線較

13、低。如上圖所示，所有參與本次調研的企業，在“管理制度”、“存量軟件管理”、“開發測試”、“軟件測評”等指標下的能力較之于其他項下的能力稍強一些。14組織機制管理制度風險管理軟件測評開發測試運維管理持續跟蹤退出管理存量軟件管理第三方軟件管理所有企業2.003.02.51.51.00.5金融行業和通信行業根據調研結果顯示，金融和通信行業在開源軟件治理方面存在不同的側重點和成熟度水平。由于各自不同的特性和需求，它們在開源軟件治理的側重點和成熟度方面存在差異。通信行業強調供應鏈管理和第三方軟件管理。金融行業則受到監管指引和法規要求的推動，更注重風險管理，確保安全合規。通信行業通信行業通常更關注完善的供

14、應鏈管理措施。通信行業中涉及到硬件設備和網絡基礎設施的“軟硬協同”，供應鏈相對復雜，促使通信企業在開源軟件治理中更加重視第三方軟件管理。這使得通信行業在第三方軟件的評估、審查和合規方面表現出更高的成熟度。圖7 金融和通信行業參與企業各項開源治理能力關注度情況15組織機制管理制度風險管理軟件測評開發測試運維管理持續跟蹤退出管理存量軟件管理第三方軟件管理金融行業通信行業00.51.01.52.02.53.0金融行業和通信行業金融行業監管指引和法規要求金融行業受到監管機構的嚴格監管和法規要求。例如，人民銀行發布的關于規范金融業開源技術應用與發展的意見為金融企業提供了具體的指導和規范，推動金融業開展開

15、源治理活動。這使得金融行業在風險管理、軟件測評和退出管理等方面投入更多關注度。安全性要求和數據保護金融行業對安全性和數據保護通常具有更高的要求。金融業務涉及敏感客戶數據和金融交易信息，故對于開源軟件的安全性和合規性關注度更高?；诖?，金融行業在開源軟件治理中可能更加注重安全漏洞管理、漏洞修復和持續監測。16過程維度能力維度圖8 金融行業部分企業開源治理能力關注度情況（圓圈大小代表企業規模）平均值中位數企業數值基礎級增強級先進級汽車行業、能源行業和制造行業圖9 汽車、能源和制造行業參與企業各項開源治理能力關注度情況17組織機制管理制度風險管理軟件測評開發測試運維管理持續跟蹤退出管理存量軟件管理第

16、三方軟件管理汽車行業能源行業傳統制造行業00.51.01.52.02.53.0汽車、能源和傳統制造行業是三類存在上下游產業供應關系的行業，但在開源軟件治理方面側重點各異，這可以部分歸因于它們各自不同的特性和需求，以及與供應鏈、軟件開發和行業規范等相關因素的關系。汽車行業在管理制度和開發測試方面關注度更高。能源行業在第三方軟件管理和運維管理方面投入更多。制造行業的開源軟件治理能力關注度整體較低。能源行業第三方軟件管理和運維管理：能源行業與第三方軟件的關系密切，因此在第三方軟件管理和運維管理方面表現出較高關注度。能源行業通常涉及復雜的系統和設備，并依賴于多個供應商和合作伙伴提供軟件解決方案。因此，

17、為確保系統的穩定性和安全性，對第三方軟件的管理和運維是關鍵。汽車行業、能源行業和制造行業汽車行業汽車行業在“管理制度”方面更加關注。由于汽車行業的復雜性和生產流程的高度規范化，汽車制造商和供應商通常都具有嚴格的管理制度，包括對開源軟件的審查、評估和合規性要求。汽車行業對軟件的“開發和測試”有較高的要求。汽車中的軟件往往更注重安全和功能性要求，例如車輛控制系統和駕駛輔助系統。因此，汽車行業在開源軟件的開發測試方面可能投入更多資源，以確保軟件質量和安全性。傳統制造行業傳統制造行業整體而言，在開源軟件治理方面的要求相對較低。盡管制造行業也涉及供應鏈和第三方軟件，但沒有達到汽車行業和能源行業對開源軟件

18、的安全合規要求程度。這可能與傳統制造行業注重自主研發和專有技術有關，故對開源軟件的使用相對較少或較為有限。18過程維度能力維度圖10 汽車行業部分企業開源治理能力關注度情況（圓圈大小代表企業規模）平均值中位值企業值基礎級增強級先進級軟件行業和互聯網行業圖11 軟件和互聯網行業參與企業各項開源治理能力關注度情況19組織機制管理制度風險管理軟件測評開發測試運維管理持續跟蹤退出管理存量軟件管理第三方軟件管理軟件行業互聯網行業00.51.01.52.02.53.0軟件和信息服務行業與互聯網行業的差異可以歸因于它們各自不同的特性和運營模式。軟件和信息服務行業更注重存量軟件管理、組織機制、軟件測評和開發測

19、試等方面的實踐活動，相對于互聯網行業在開源軟件治理能力成熟度方面關注度更高?；ヂ摼W行業業務快速迭代：互聯網行業特點是業務快速迭代和創新。這意味著互聯網公司需要快速開發和部署新功能/服務，以滿足市場需求。這導致開源軟件治理方面投入相對較少，因為更多的關注點可能集中在業務創新和快速交付上，而不是嚴格的治理流程。開源軟件使用量龐大：互聯網行業通常使用大量開源軟件來支撐業務。由于互聯網公司的業務規模和復雜性，它們需要依賴廣泛的開源軟件生態系統。然而，確保大量開源軟件的合規性和安全性可能是一個挑戰，特別是在開源軟件快速發展和迭代的環境下。軟件行業和互聯網行業軟件和信息服務行業存量軟件管理：軟件和信息服務

20、行業對于存量軟件的管理能力關注度較高。這一行業通常積累了大量的軟件資產和技術棧，對存量軟件的規劃、評估和管理較為敏感。由于軟件和信息服務公司的業務主要依賴于軟件開發和交付，因此存量軟件管理是軟件行業重點關注的領域。組織機制：在面臨海內外企業用戶更加嚴格的政策下，軟件和信息服務行業需要完善的組織機制來支持開源軟件治理。這些公司更加注重組建明確的開源軟件治理團隊或部門，負責制定治理策略、管理流程和規范，以確保軟件的合規性和安全性。軟件測評和開發測試：軟件和信息服務行業在軟件測評和開發測試方面表現出較高的關注度。由于軟件和信息服務公司的核心業務是軟件開發和交付，因此它們通常投入大量資源來進行軟件測試

21、、質量保證和漏洞修復等方面的工作。20過程維度能力維度圖12 軟件和信息服務行業部分企業開源治理能力關注度情況（圓圈大小代表企業規模）平均值中位值企業值基礎級增強級先進級根據調研結果，被調研企業在開源治理能力成熟度各指標項下，待提升能力如下：在組織機制方面，部分企業在開源治理戰略、人力投入方面有所欠缺。在參與調研的企業中，約35%的企業缺乏專門負責開源戰略和治理的組織。另外，超過40%的企業無全職人力資源分配給開源戰略和治理工作。這些結果表明，我國企業開源軟件治理機制存在著一定程度的缺失和不完善。在管理制度方面，部分企業開源軟件管控力度有待提高。超過30%的被調研企業在開源軟件方面沒有進行任何

22、事前管控，項目組可以按需自行使用開源軟件。此外，超過40%的被調研企業沒有進行周期性的制度評審，也未根據實際情況持續優化制度內容。這些結果表明，這些企業的開源軟件管理制度存在較大的缺陷，使用和評估開源軟件缺乏規范性和持續性，可能導致不可控風險加劇。待提升領域21是否設置明確的開源軟件治理規劃/制度？在風險管理方面，大部分企業在風險管理工具、合規風險管理等方面能力存在不足。根據調研結果，超過50%的企業缺乏軟件成分分析（SCA）工具，且尚未建立SBOM（軟件物料清單）的生成與管理機制。與此同時，開源合規管理機制相對薄弱，超過60%的企業允許引入AGPL、GPL類許可證，卻未建立嚴格的開源合規評估

23、流程。上述缺陷可能加劇潛在的法律和合規風險，并會對企業的知識產權和商業模式產生不利影響。在軟件測評方面，部分企業需加強對開源軟件各個版本的評審和管控。超過53%的企業缺乏統一的開源軟件引入評估模型。此外，超過60%的企業僅對軟件的大版本進行管控，對小版本的使用采用相對簡化的引入評估流程，且主要關注安全漏洞情況。缺乏企業級統一的評估模型和對各個版本的全面管控可能導致潛在的安全風險和合規問題。針對開源軟件設置明確的風險紅線待提升領域22從存量管理層面來看，大部分企業未形成清晰的存量軟件治理規劃。超過45%的企業缺乏存量開源軟件治理規劃，包括年度目標、計劃等。此外，超過70%的企業僅在新增的安全事件

24、、生態變化等外部因素觸發時針對存量開源軟件進行非周期檢查，而未針對開源許可證、開源社區健康度等進行持續跟蹤。上述情況將導致潛在的安全風險和合規問題。在第三方軟件管理方面，企業對于第三方軟件的管理存在一定不足。超過80%的企業通過合同義務來規范軟件供應商，以確保其遵循企業的開源軟件治理要求。然而，較少公司通過交付時檢查組件清單/分發說明、要求供應商提供第三方檢測報告等方式來確保軟件的合規性。雖然通過合同規范能夠在一定程度上轉嫁第三方違規使用開源軟件的風險，但缺乏對軟件供應商交付物的實際檢查和驗證，不足以規避供應商軟件中的安全合規風險。待提升領域針對存量軟件/第三方軟件設置清晰的治理規劃？23無論

25、貴公司是正在制定開源軟件治理計劃，還是已經開始維護成熟的開源軟件治理體系，都應該已經實施或正在考慮實施以下關鍵舉措：構建開源治理的專業化團隊，團隊成員應包括在開源軟件使用全生命周期中所涉及的來自于架構、開發、運維、安全、法務等部門的負責人員。將開源治理要求嵌入到現有規章、辦法、手冊或信息系統中的流程制度。建立一套適合于企業業務和管理特點的開源軟件評估評價方法，用于指導開源軟件的引入和選型。構建開源治理支撐平臺。用于支撐開源軟件治理的平臺系統，是整個開源治理工作高效運行的技術保障。在使用開源軟件過程中，必須嚴格遵從開源軟件許可證的規定，避免開源法律風險；同時企業需通過內外部運維支撐力量快速、及時

26、地修復開源軟件漏洞，降低產品被攻擊的可能性。如果貴公司還未制定開源軟件治理計劃，您可以采用可信開源治理能力成熟度評估（OSGMM）對公司當前開源軟件治理水平進行評估、確定貴公司想要實現的狀態和目標，并明晰二者之前的差距。最后，將全景觀察結果作為基線來考量同行開展的主要開源治理活動，并據此制定貴公司的開源軟件治理能力構建計劃。結論和建議可信開源治理能力成熟度評估意義何在？1.規范企業合理應用開源技術，提高企業應用水平和自主可控能力，促進開源技術健康可持續發展。2.有效提升企業開源風險控制能力，針對開源風險從被動應對到主動防御，更有效的控制開源風險。3.推動企業開源治理流程落地，通過一系列管理規程

27、及平臺建設落地開源軟件管理機制。24第三部分可信開源治理服務中國信通院可信開源治理“三位一體”服務26企業級開源治理標準為企業提供一套規范和流程，指導和規范開源軟件的使用和管理。提供基礎和參考企業級開源治理賦能服務開源治理公共知識庫提供開源治理的基礎知識和指南，包括開源治理體系、許可證類型解釋、開源軟件安全性評估方法等，幫助企業建立起對開源軟件的全面理解和認知。開源治理公共知識庫服務客戶（部分）確保咨詢服務的有效性和可行性收集總結企業通用的實踐經驗為知識庫提供最佳方法論為企業提供定制化的解決方案和咨詢服務，幫助企業根據自身需求和實際情況建立和完善開源治理體系。收集和整理企業的反饋和需求持續優化

28、企業級開源治理標準可信開源治理“三位一體”服務是一個綜合性的解決方案，涵蓋了企業級開源治理標準、企業級開源治理咨詢服務和開源治理公共知識庫，通過閉環機制，企業能夠不斷優化和完善自身的開源治理體系，提高開源軟件的使用效率和安全性，同時也為整個行業的開源治理能力提升做出貢獻。27開源軟件治理能力成熟度模型適用對象：面向開源使用企業適用范圍：適用于評估和提升企業在開源軟件治理方面的成熟度，幫助企業了解當前的治理狀況、識別存在的挑戰和問題，并提供指導和建議來改進和加強開源軟件治理能力。開源軟件治理策略和規劃：評估企業對開源軟件治理的策略和規劃程度，包括治理目標的設定、治理策略的制定以及治理規劃的實施情

29、況。開源軟件許可證合規性管理：評估企業對開源軟件許可證的合規性管理程度，包括許可證的識別、合規性審查、許可證合規政策的制定和執行等。開源軟件安全管理：評估企業對開源軟件安全管理的能力，包括安全漏洞的監測和修復、漏洞管理流程的建立、安全風險評估等。28評估增值服務-成熟度水位線圖/象限圖組織機制管理制度風險管理軟件測評開發測試管理運維管理持續跟蹤退出管理存量管理第三方管理所有企業A企業00.51.01.52.02.53.0成熟度水位線圖：調研企業在各項開源治理實踐中達到的平均高位標記過程維度能力維度平均值中位值企業值基礎級增強級先進級成熟度象限圖：調研企業開源治理能力在行業內排位情況開源治理成熟

30、度水位線圖和開源治理成熟度象限圖為企業提供了有價值的工具來評估和比較其在開源治理方面的關注情況。水位線圖通過設定基線，幫助企業比較其在各項治理指標上的表現，并確定相對成熟度水平。而象限圖則通過可視化的方式，清晰地展示了企業在行業內的開源治理水平，幫助企業了解自身的位置和相對優劣。通過可信開源治理能力成熟度評估實現開源治理工作從松散管理，到統一管控，再到統一治理的能力跨越中國聯通軟件研究院于2015年7月成立，經歷了7年多的時間，從CB1.0到CB2.0上線，從啟動云化架構到全面云原生架構，持續構建平臺化、生態化、全棧云平臺聯通云，使用開源、商業及自主研發的軟件300多種，開源組件20000多個

31、支撐中國聯通1700多個生產業務系統。自2021年，中國聯通軟件研究院啟動了開源治理工作，并在聯通軟研院內部建立開源治理組織保障機制，包括決策團隊、專家團隊、運營團隊、專業團隊、法務團隊及安全團隊，為開源軟件治理工作奠定基礎。由于中國聯通軟件研究院在開源軟件治理方面，起步較晚，治理工作還不成熟。2022年9月，中國聯通軟件研究院參與可信開源治理能力成熟度評估工作。該評估幫助軟研院梳理和整合了其在開源治理相關資源和機制，并幫助其實現了開源治理工作從松散管理，到統一管控，再到統一治理的能力跨越，規范了軟研院各業務側安全合規使用開源軟件，降低了使用開源軟件帶來的技術風險及運維風險。同時開源治理工作受

32、到院領導及集團領導的高度重視，加快推動了開源治理工作從管理、管控到向治理階段邁進?？尚砰_源治理能力成熟度評估意義何在？1.規范企業合理應用開源技術，提高企業應用水平和自主可控能力，促進開源技術健康可持續發展。2.有效提升企業開源風險控制能力，針對開源風險從被動應對到主動防御，更有效的控制開源風險。3.推動企業開源治理流程落地，通過一系列管理規程及平臺建設落地開源軟件管理機制。評估案例2930企業開源賦能計劃賦能前企業狀態134開源軟件掃描工具建立：開源體系建設將自動化檢測融入研發和交付環節定制化賦能思路：先梳理、再治理全量系統開源軟件使用情況梳理，開展開源組件漏洞修復52組織職責分工與流程制定

33、：開源治理細則梳理重點系統開源軟件使用情況，完善開源組件資產清單組織層：無開源治理團隊，開源治理處于權責不清的狀態制度層：無開源治理相關制度手冊，未制定相關開源治理制度通過部分通過不通過某銀行基礎級8/80/80/8增強級22/231/230/23運維層：對開源軟件引入數量及風險無認知，開源軟件在銀行引入到退出的全生命周期管理手段缺失31某企業案例經過賦能計劃服務后，該企業已達開源治理成熟度評估增強級水平俊哲中國信息通信研究院地址：北京市海淀區花園北路52號郵箱：電話：18900125677網址：中國信息通信研究院可信開源治理三位一體服務是一個綜合性的解決方案，涵蓋了企業級開源治理標準、企業級開源治理咨詢服務和開源治理公共知識庫，企業能夠不斷優化和完善自身的開源治理體系，提高開源軟件的使用效率和安全性，同時也為整個行業的開源治理能力提升做出貢獻。企業級開源治理標準為企業提供了一套規范和流程，指導和規范開源軟件的使用和管理。開源治理咨詢服務為企業提供定制化的解決方案，幫助企業根據自身需求和實際情況建立和完善開源治理體系。開源治理公共知識庫提供開源治理領域的知識和資源，包括最佳實踐、指南、和培訓材料等。報告編寫人俊哲中國信息通信研究院張燕中國信息通信研究院