企业开源治理

• 企业与开源的关系
  • 不解 → 震惊 → 担忧 → 分析 → 诋毁 → 反思 → 引进 → 利用 → 拥抱
  • 不同的企业分类
    • 最先受到威胁的企业：操作系统厂商
    • 最先受益的企业：互联网新创企业
  • 企业的根本出发点
    • 如何能够受益
    • 如何不受其害
• 开源给企业带来的机会
  • 开源渗透率从20%到85%，意味着成本降低
  • 提升企业开发人员的技能
  • 节约开发时间，加速产品差异化
  • 加快企业进入新市场的速度
• 企业参与开源的不同阶段
  • 消费
    • 测试与评估
    • 遵守许可
  • 参与
    • 与开源项目有较少的互动
    • 有较少的开源贡献
  • 贡献
    • 参与开源软件基金会
    • 增加与项目互动
    • 做出主要的、更大规模的贡献
  • 领导
    • 成立开源项目管理办公室（OSPO）
    • 在开源基金会担任领导职务
    • 发起新项目与倡议
  • 战略
    • 项目
    • 社区
    • 治理
    • 文化
• 企业开源治理全景图
  • 选型与引入
    • 质量与安全标准
    • 社区健康度标准
    • 其他战略与战术考虑
  • 企业内部开源治理
    • 法务风险防范
    • 安全风险防范
    • 生命周期管理
    • 完整性保护
  • 企业对外开源治理
    • 社区治理与运营
    • 工具平台建设
      • 研发工具
      • 协作工具
      • 运营工具
    • 知识产权保护
    • 安全漏洞通知
• 内部开源治理体系
  • 治理目标
    • 过程透明
      • 目标：产品对开源软件的使用、修改过程有全面的记录，并通过中心仓透明管理
      • 价值：产品所使有开源软件在公司层面透明可视，作为所有管理动作的基础
    • 优选引入
      • 目标：持续引入优质开源软件
      • 分目标：引入开源软件数据对标社区，满足公司质量要求
        • 价值：产品使用的开源软件数据来自社区，能够支撑产品履行开源义务、感知和修复开源漏洞
      • 分目标：禁止引入衰退期软件，产品软件版本中同一开源软件版本原则上归一
        • 价值：管控老版本使用，确保开源社区有充足的维护支持。管控产品软件中对同一软件的版本数量，降低漏洞跟踪与修复难度
      • 分目标：在同等条件下，推荐产品使用质量更优的开源软件
        • 价值：推动产品使用高质量开源软件，支撑产品竞争力与质量构建
    • 来源可信
      • 目标：产品使用的所有开源软件来源可追溯，通过恶意软件扫描、哈希值/签名校验，告警清零
      • 分目标：产品使用的所有开源软件都可追溯至对应社区
        • 价值：支撑产品在客户界面澄清产品软件成分来源，自证清白，并支持漏洞追溯跟踪
      • 分目标：产品使用的所有开源软件都通过恶意软件扫描，告警清零
        • 价值：恶意软件防护（防投毒），防止产品因恶意软件被攻击
      • 分目标：中心仓中所有开源软件都通过哈希值和数字签名校验，告警清零
        • 价值：产品使用开源软件实体存储源防篡改，防止公司内软件实体源被植入恶意代码
    • 合法合规
      • 目标：产品使用开源及第三方软件过程遵从国家/地区法律，遵从开源License
      • 分目标：上报合规，遵从国家漏洞管理法律法规，发现的漏洞先上报至国家工业和信息化部网络安全威胁和漏洞信息共享平台
        • 价值：防止因触犯国家法律导致的法务风险
      • 分目标：产品按照集成使用的开源软件license规定，履行相应的义务，包括使用声明义务与代码开源义务。
        • 价值：防止产品因违反开源License遭受开源维权诉讼
    • 漏洞感知与修复
      • 目标：产品生命周期内，开源漏洞小时级感知，分钟级定位，按SLO完成修复
      • 价值：支撑产品生命周期内安全漏洞及时修复，满足与客户界面的SLO要求
  • 开源治理体系的整体架构
    • 规范体系
      • 术语库、管理规范、流程文档、工程规范、操作指导、指标字典
    • 工程体系
      • DevSecOps、数据服务层、业务管控层
    • 运营体系
      • 制定公司级度量评估机制，提供公司级运营评估服务
  • 工具架构
    • 作业面（DevOps层）
    • 管控面（业务管控层）
    • 数据面（数据服务层）
    • 解决方案层