开源 · 三句半

oss-roast

开源治理真重要

企业发展离不了

规模不同有门道

各有高招！

于当下之数字化洪流中，开源软件犹如一股创新源泉，滋养着企业发展的每一步。开源软件不仅为企业提供了丰富的技术资源和解决方案，还促进了技术的快速迭代和创新，本文探讨不同规模的企业下开源治理要如何做起。

开源，以其独有的特性，不仅重新定义了软件开发的格局，更让企业数字化转型更加灵活可控，但不同规模企业对开源软件的需求不同，对开源治理的目的和做法也不相同。

小型企业 - 航线开拓中需要“灯塔”

对于小型企业来说，更加重视产品迭代效率，让企业快速发展，对于开源治理的目的主要体现在以下几个方面：

1.降低成本：小型企业通常人力财力有限，开源软件可以帮助企业降低软件采购成本和开发成本，通过开源治理可以降低开源风险，优化研发成本。

2.快速创新：小型企业需要快速响应市场变化，开源软件可以提供丰富的技术资源和创新思路，对其有效的治理，帮助企业快速且合规地实现产品创新。

3.提高技术质量：小型企业可能缺乏专业的技术团队，开源治理对技术质量提升有关键作用，帮助企业提高产品质量。

在小型企业中，开源治理的做法可以相对简单：

1.选择合适的开源项目并进行安全检测：小型企业在选择开源项目时，应充分考虑自身的业务需求、技术能力以及未来的发展规划，进行综合的评估，以确保选择的开源项目与企业的实际情况相契合，避免因选择过于复杂的项目，导致资源浪费和技术难题。在引入开源项目之前，对其进行安全审查，包括检查已知的安全漏洞、恶意代码和潜在的后门。

2.建立开源软件使用规范：小型企业应制定详细的开源软件使用规范，明确规定开源软件的使用范围、许可信息、责任归属等重要内容，同时建立相应的监督和执行机制，确保技术人员能够严格遵守规范，合规地使用开源软件。

3.关注开源项目的更新和维护：小型企业应密切关注开源项目的更新和维护情况，及时了解项目的最新动态和版本发布信息，积极参与社区的讨论和反馈，以便能够及时升级和修复漏洞，确保产品在使用开源软件的过程中具备良好的安全性和稳定性。

中型企业 - 加速航行时需要“罗盘”

对于中型企业来说，开源软件可能成为业务发展的双刃剑，开源治理的重要性愈发凸显，可归纳为三大维度：

1.风险管理：随着企业规模与业务复杂度并增，引入过多的开源软件往往会带来一些风险，如安全漏洞、知识产权纠纷等。积极开展开源治理可以帮助企业识别和管理开源风险。

2.技术标准化：中型企业需要建立统一的技术标准和规范，开源软件的使用可能会导致技术标准的不统一。开源治理可以帮助企业建立开源软件的使用标准和规范，确保技术的一致性和可维护性。

3.技术创新与合作：中型企业需要不断进行技术创新和合作，开源软件可以为企业提供丰富的技术资源和合作机会。开源治理可以帮助企业更好地利用开源软件，促进技术创新和合作。

在中型企业中，开源治理的做法可以变得系统和规范，主要包括以下几个方面：

1.建立开源治理团队：中型企业应建立专门的开源治理团队，负责开源软件的评估、选择、使用和管理等工作，合理规划其使用方式，并进行有效的管理监督。

2.制定开源治理策略：中型企业应制定开源治理策略，明确开源软件的使用目标、原则和方法等。

3.建立开源软件评估机制：对开源项目进行评估和筛选，确保选择的开源项目能够与企业的技术架构和业务需求相匹配，并且符合企业的风险承受能力和安全要求。

4.加强开源软件安全管理：中型企业应积极采用SCA工具和漏洞管理工具，加强开源软件安全管理，建立安全漏洞管理机制，对开源软件进行定期的安全扫描和检测，及时发现潜在的安全漏洞，确保能够快速修复漏洞，降低安全风险。

大型企业 - 远洋航行中需要“导航”

对于大型企业来说，开源治理是企业数字化发展的重要组成部分，主要体现在以下几个方面：

1.开源战略规划：大型企业需要将开源技术纳入企业的战略规划中，明确开源技术在企业数字化发展中的地位和作用。

2.知识产权管理：大型企业通常拥有大量的知识产权，开源技术的使用可能会涉及到知识产权的问题。开源治理可以帮助企业管理知识产权风险，确保企业的知识产权得到有效保护。

3.技术生态建设：大型企业需要建立良好的技术生态，开源技术可以为企业提供丰富的技术资源和合作机会。开源治理可以帮助企业建设开放、合作的技术生态，促进企业的可持续发展。

在大型企业中，开源治理的做法更加复杂和全面，主要包括以下几个方面：

1.增加开源软件的战略规划：企业需要洞察发展趋势，明确方向和重点领域，制定技术路线图和行动计划，考量供应链稳定性和可持续性，确保长期受益，避免业务中断和技术滞后。

2.建立开源治理体系：大型企业构建完备严密的开源治理体系，涵盖治理策略、组织架构、流程规范和技术工具，以有效管理和掌控开源软件供应链，降低风险，提升竞争力。

3.加强开源软件知识产权和供应链安全管理：大型企业要重视知识产权问题，加大管理力度，健全评估机制，严格审查开源软件，保护知识产权，避免纠纷。同时，重视开源软件供应链全程管理，在开源软件引入、使用和维护等环节，严格遵循规范和流程，加强监控和管理，及时发现和解决隐患。

4.建立开源软件创新项目：企业创建开源创新项目，制定激励措施鼓励技术人员参与开源项目，发挥创造力和专业能力，推动技术创新和知识共享，完善和发展开源软件供应链，满足业务需求，提升技术实力和竞争力。

5.推动开源软件的行业合作：大型企业应发挥影响力，推动行业合作，参与开源社区建设和发展，分享经验和资源，促进社区繁荣。与其他企业共同探索创新，促进行业技术进步，实现资源共享和优势互补与共赢。

总之，对于不同规模的企业而言，开源治理并非一蹴而就之事，需要企业根据自身实际情况，建立起适合的开源治理体系，并长期进行探索与投入，来持续地实现降低风险、促进创新、提升产品质量等目标。开源网安为不同规模的企业提供专业的开源治理解决方案，助力企业有效应对开源风险，提升技术实力，为企业在开源时代的发展保驾护航。

推荐阅读

错把 SBOM 当“配料表”，难怪开源治理做不起来

如何用SCA工具做好开源软件风险管理?