一. 中国企业开源治理全景观察
1.调研的内容
信通院从2012年就开始做调研,而我(郭雪女士)从2015年开始做。一开始我们主要是关注传统行业。基于此今年上半年我们对105家企业做了调研,调研内容主要是访谈结合前期的一些评估测试。同时本次调研的行业范围覆盖了金融、汽车、软件、信息技术服务、通信、互联网等。
因为有5000人的大企业(央企国企)占比多,所以普适性会有一些偏差,尤其是与一些中小企业的开源管理模式会完全不一样。与此同时,由图二可以看出,参与调研的企业的规模有大有小,其中占比较大的是5000人以上的大企业,但需要注意的是,因为5000+人的大企业多为央企国企,其开源管理模式会与中小企业完全不同,所以普适性会有以党的偏差,大家需要根据企业的实际情况参考。
图3展示了参与调研的企业的开源软件的使用量。可以明显看出,开源软件的使用量并不低。甚至可以发现图中已经有百分之10的企业的对开源软件的使用量已经在1万到10万区间。
而图4则体现了大家对于开源软件风险的关注点侧重在哪些方面。不难看出其中企业关注的开源软件风险主要在运维技术风险以及安全风险方面。
2. 调研的方式
本次调研方式是基于信通院18年以通信行业为标准所做的一个开源治理模型。该模型主要针对开源软件管理中涉及到的过程维度和能力维度的要求。我们称其为OSGMM模型。
图5 OSGMM模型
从能力维度来看,我们展开开源治理需要有对应的组织架构、人员管理、管理制度等进行配合,从而才能更好的达到全流程的风险管理。
从过程维度来看,开源治理体涉及到软件的测评、选型等,以及开发测试过程中的管理以及运维过程中的管理,这需要团队进行持续的跟踪,与其他商业软件不同的是还要建立相应退出的机制。
3. 调研的总结
下表列出了2023中国企业开源治理全景观察数据池中观察到次数最多的10项活动,以下活动皆常见于非常成功的开源治理实践中。但是需要注意的是,这些活动并没有特别强的逻辑关联性,其本质上是一个排序,是从我们50多个行动中筛选出来的企业有实施过的开源治理行动的排序。从本次调研的前10项排名数据表明,如果组织正在制定自己的开源治理计划,那么这前10可以作为一定的参考。接下来也将基于这些标准的动作为大家逐一展开。
表1:2023中国企业开源治理活动TOP10
4.各领域关键活动实践阐述
组织机制
在机制上,企业要意识到自己是否有明确的开源软件治理规划(治理目标、年度计划等),而调研结果表示超60%的被调研企业不具备明确的开源软件治理规划(治理目标、年度计划等)。由此可见部分企业对于开源软件治理战略重要性认识不足,开源治理缺乏客观性和系统性,重度依赖过往经验,仅由事件触发治理机制。
管理制度
而要对我们的开源软件进行治理,除了企业高层组织的机制作为基准外,还有一项必备的因素就是我们的管理制度。所以企业是否具备企业级开源软件管理制度是很重要的,而调研结果显示超40%的被调研企业不具备企业级开源软件管理制度。究其原因是因为部分企业开源软件管理主要依靠相关人员过往经验,针对重要开源软件能够形成配套管理制度,但未制定企业级的开源软件流程制度规范,未提出对开源软件全生命周期中的风险管理要求。
风险管理
风险管理通常体现在企业内处理开源组件安全漏洞的方式上,根据安全漏洞风险等级的不同,企业处理开源组件安全漏洞的方式也有所不同;依靠内部力量处理开源组件安全漏洞所需投入资源较多,对运维人员能力要求较高,通常并非企业首选。而本次调研显示:约87%的被调研企业通过版本升级处理开源组件安全漏洞;72%的被调研企业通过手动应用补丁应对安全漏洞;77%的被调研企业替换组件或者删除该组件,约10%的企业不做处理。
软件测评
软件测评主要体现在在引入开源软件时,是否会进行一系列的评测工作。大部分企业在引入开源软件时主要关注软件功能方面,也就是对软件功能进行评估。所以调研结果也显示75%的被调研企业在引入开源软件时,进行软件功能评估以及同类软件对比工作。但仅有约36%的企业会进行服务支持评估,所以在服务支持评估方面仍有改进空间。
开发测试
基于本次调研的大部分企业为央国企,所以本次调研显示百分之66的企业对外部的开源社区仅仅是关注和使用,只有百分之34的企业会去与上游的一些开源组织进行联动以及做出贡献。这也体现了部分企业与外部开源社区的交互状态是相对较低(尤其是在贡献方面)的,这与开源软件在我国发展较晚,我国企业对于开源共建共享的意识不足等因素有关。
运维管理
在运维管理上,本次调研的结果与我的预料大相径庭。对于开源软件的维护正常来说应该是确定一位owner,重量级的一些开源软件可以由相关的运维团队负责,而轻量级的就可以考虑谁引入谁负责的概念。但本次调研结果却显示,25%的被调研企业秉持谁先引入谁负责的原则;25%的被调研企业按部门职责进行划分;28%的企业谁使用谁负责;22%的企业由技术委员会评估确定。该结果相对比较平均,其主要原因还是企业属性和内部职责划分的不同,导致企业开源软件维护主体相关规则差异较大。
持续跟踪
开源跟商业软件很大的不同就是开源软件需要企业内部对其进行持续的跟踪,尤其是在安全、许可证方面,动态变化是比较大的。调研结果显示约88%的被调研企业在引入开源软件后,对开源漏洞信息进行持续跟踪,这主要是因为开源软件安全漏洞问题所带来的负面影响更为直接;58%的企业会进行开源许可证跟踪;60%的企业进行版本跟踪;41%的企业进行社区基本情况的跟踪;6%的企业不跟踪。
退出管理
开源软件的使用过程中我们不仅仅要重视引入,也应该重视退出机制的建立。调研显示91%的被调研企业在面临严重安全问题时进行软件退出操作;70%的被调研企业在面临法律合规红线时,进行软件的退出管理;64%的企业当开源软件不满足业务场景时会进行退出规划;50%的企业因开源软件更新频次过低或版本过老而进行退出规划。这说明我国企业对于开源软件安全风险和合规风险问题已有较高程度认知。
存量管理
对于很多企业来说,开源软件治理的这套流程的制定其实并不是很难,因为其本质只是一套规则,这套规则在去对新的开源软件引入的时候就是可以去直接运用的,但是对于很多企业,尤其是央国企(或大企业)来说,对存量开源软件的管理是一个头疼的问题。本次调研显示,超过70%的企业仅在新增的安全事件、生态变化等外部因素触发时针对存量开源软件进行非周期检查;约20%的企业对存量开源软件的安全合规性与依赖情况进行周期性分析检查;10%的企业不针对存量开源软件进行检查。这说明我国企业开源治理工作开展较晚,存量开源软件量级较大,因此对于存量软件的全量、周期性管理存在一定困难。
第三方管理
对于企业采购第三方软件进行自用的情况,以及外包开发、采购等情形来说,大部分企业(70%)还是选择通过合同义务来规范软件供应商,以确保其遵循企业的开源软件治理要求,有40%的企业通过交付时检查组件清单/分发说明确保供应商遵守要求,而较少企业会自主的对采购进来的第三方软件进行一定的检测,因为这涉及到人力成本及时间成本。
5. 不同行业的开源治理情况比较
基于以上的调研情况,我们给出一个企业对与开源治理的以上提到的10个期望达到的能力的关注度水位图。(如下图)其中不难看出对于第三方软件管理的关注度是最低的,因为更多企业考虑到人力及时间成本的情况下,更希望能够通过合同就完成对于第三方软件的约束及管理。
我们再基于行业不同,来对开源治理能力进行另一维度的了解。
金融行业与通信行业
根据调研结果显示,这两个行业的开源治理程度整体而言其实还是不错的。但这两个行业在开源软件治理方面存在不同的侧重点和成熟度水平。由于各自不同的特性和需求,它们在开源软件治理的侧重点和成熟度方面存在差异。通信行业强调供应链管理和第三方软件管理。金融行业则受到监管指引和法规要求的推动,更注重风险管理,确保安全合规。
下图显示了一个不同规模的金融企业在开源治理方面的一个先进程度。总的来看比较趋于线性,即规模越大的企业开源治理体无论是在过程维度还是能力维度都会越高。
汽车行业、能源行业和制造业行业
汽车行业单独拿出来是因为汽车行业与其他传统制造行业在开源软件管理方面是有明显不同的,整体来说汽车行业的开源治理做的是相对靠前的,因为当前汽车行业受到软件的影响是比较大的;而能源行业与通信行业有一点相似度是因为能源行业也涉及到很多复杂设备的管理所以也会有很多第三方软件的管理。而对于传统制造行业来说,因为整体生态相对封闭 并且使用的软件类型垂直,这也就导致其开源治理较弱。
下图是汽车行业的开源治理情况,跟上图一样,圈的大小代表汽车企业的规模,与金融行业不同的是,大规模的汽车企业综合能力强,但是过程维度上有一定的短板。
软件行业与互联网行业
软件和互联网行业是首次参与我们的调研,互联网行业因为涉及到大量的开源软件的使用,因为互联网行业的产品迭代速度很快,所以风险也会更加复杂。对于互联网行业来说,它们可能会优先关注对外开源场景的治理,对于开源软件存量的管理因为其数量庞大,所以需要分步骤去进行。而对于软件行业而言,因为本身背靠软件研发这一大流程,所以在软件的开发测试及组织架构方面本身就比较成熟,而对于软件的运行及维护可能会涉及外包商等就会较少关注。
下图同样为大家列出了软件行业的开源治理的情况,相比于金融行业及汽车行业,软件行业的特点之一是很多规模较小的企业反而在开源治理方面做的很靠前。
6. 开源治理中的待提升领域(基于本次调研)
-
组织机制上,企业在开源治理战略、人力投入方面有所欠缺
在参与调研的企业中,约35%的企业缺乏专门负责开源战略和治理的组织。另外,超过40%的企业无全职人力资源分配给开源战略和治理工作。
-
管理制度上,企企业开源软件管控力度有待提高
超过30%的被调研企业在开源软件方面没有进行任何事前管控,项目组可以按需自行使用开源软件。此外,超过40%的被调研企业没有进行周期性的制度评审,也未根据实际情况持续优化制度内容。
-
风险管理上,企业在风险管理工具、合规风险管理等方面存在不足
超过50%的企业缺乏软件成分分析(SCA)工具,且尚未建立SBOM(软件物料清单)的生成与管理机制。与此同时,开源合规管理机制相对薄弱,超过60%的企业允许引入AGPL、GPL类许可证,却未建立严格的开源合规评估流程。
-
软件测评上,企业需加强对开源软件各个版本的评审和管控
超过53%的企业缺乏统一的开源软件引入评估模型。此外,超过60%的企业仅对软件的大版本进行管控,对小版本的使用采用相对简化的引入评估流程,且主要关注安全漏洞情况。
存量管理上,企业未形成清晰的存量软件治理规划
超过45%的企业缺乏存量开源软件治理规划,包括年度目标、计划等。此外,超过70%的企业仅在新增的安全事件、生态变化等外部因素触发时针对存量开源软件进行非周期检查,而未针对开源许可证、开源社区健康度等进行持续跟踪。
-
三方软件上,企业对于第三方软件的管理存在一定不足
超过70%的企业通过合同义务来规范软件供应商,以确保其遵循企业的开源软件治理要求。然而,较少公司通过交付时检查组件清单/分发说明、要求供应商提供第三方检测报告等方式来确保软件的合规性。
7. 对于开展开源治理的相关建议
1)构建开源治理的专业化团队
2)将开源治理要求嵌入到现有规章、办法、手册或信息系统中的流程制度
3)建立一套适合于企业业务和管理特点的开源软件评估评价方法
4)构建开源治理支撑平台
5)严格遵从开源软件许可证的规定,避免开源法律风险;通过内外部运维力量快速、及时地修复开源软件漏洞,降低产品被攻击的可能性
6)如果贵公司还未制定开源软件治理计划,您可以采用可信开源治理能力成熟度评估(OSGMM)对公司当前开源软件治理水平进行评估、确定贵公司想要实现的状态和目标
二. 中国信通院开源治理工作介绍
1. 推动开源生态繁荣
自12年起,中国信通院就着力于成立基于金融、制造、通讯、汽车等等各行业的开源社区,并且不断输出各类研究报告、白皮书等去推动我国开源生态的繁荣。目前信通院团队的几个主要业务板块有:
开源治理
开源供应链
-
开原生态建设
2. 建立标准开源体系
围绕开源生命周期开展开源治理标准体系建设,根据颗粒度的不同建立了团队标准、行业标准、国际标准等开源体系。规范企业、开源项目、开源社区和开源基础设施发展,提高开源治理能力,降低开源风险。
3. 成为OpenChain国内首家第三方测评机构
2021年10月,中国信通院成为Linux基金会下Openchain项目国内首家第三方测评机构,并将提供基于《ISO/IEC 5230:2020 Information technology — OpenChain Specification》(信息技术——OpenChain规范)的开源供应链合规治理服务。
4. 提供企业级开源治理赋能服务
为企业提供咨询、培训、订阅、评估,帮助各类企业做好开源管理,降低开源风险。
关于安势信息
上海安势信息技术有限公司成立于2021年,致力于解决软件供应链中的安全和合规问题。作为中国领先的软件供应链安全治理工具提供商,安势信息以SCA(软件成分分析)产品作为切入点,围绕DevSecOps流程,着力于从工具到流程再到组织,坚持持续创新,打造独具特色的端到端开源治理最佳实践。
欢迎访问安势信息官www.sectrend.com.cn或发送邮件至 info@sectrend.com.cn垂询。
点击蓝字 关注我们