《信息技术 开源治理 第2部分：企业治理评估模型》征求意见稿.docx

信息技术 开源治理 第2 部分: 企业治理评 估模型 Information technology—Open source governance—Part 2 ：enterprise open source governance and evaluation model 征求意见稿 202X-XX- XX 发布 202X-XX- XX 实施 I 目 次 前言 III 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 4 缩略语 1 5 企业开源治理评估模型 1 概述 1 企业开源治理评估模型 1 6 组织架构 2 总体要求 2 开源管理 2 治理专家 2 安全专家 2 基础设施支撑 2 社区运营 2 7 制度政策 3 开源使用制度 3 开源贡献制度 3 风险管理制度 3 开源培训制度 3 8 开源声明周期管理 3 开源项目引入 3 开源项目使用更新 4 开源项目退出 5 开源项目使用规范 5 开源项目贡献 5 开源项目商业被动引入 6 9 风险管理 7 安全漏洞风险 7 许可证合规风险 7 知识产权风险 7 出口管制风险 8 10 基础设施 8 参考文献 9 III 1 信息技术 开源治理 第 2 部分: 企业治理评估模型 1 范围 本文件规定了企业在自身开源治理过程中应该具备的方法、流程和能力。 本文件适用于所有使用和贡献开源项目的企业单位。 2 规范性引用文件 本文件没有规范性引用文件。 3 术语和定义 下列术语和定义适用于本文件。 开源项目 Open Source Project 以开源协作模式运作的项目。 开源社区 Open Source Community 开源组织的一种，是具有共同目标、愿景、与价值观的共同体，又称开源共同体。 源代码 Source Code 以适宜于汇编器、编译器或其他翻译器作为输入的形式所表达的代码。 [来源：GB/T 5271.7-2008 07.04.38] 制品 Artifact 由源代码编译构建生成的二进制文件。 4 缩略语 以下缩略语适用于本文本。 OSPO：开源项目办公室 (Open Source Program Office) CI/CD：持续集成/持续交付 (Continuous Integration/Continuous Delivery) SBOM：软件物料清单 (Software Bill of Material) 5 企业开源治理评估模型 概述 企业使用开源的过程中主要面对的风险包括：许可证合规风险，安全漏洞风险，知识产权风险，出 口管制风险等，规避和消除上述诸类风险是企业开源治理的主要目标。 企业开源治理评估模型 企业开源治理评估模型见图1。本模型包含企业开源治理工作中的人员、制度和资源三个方面。其 中人员部分描述了开源治理团队的组织架构以及包含的各种成员角色；制度部分描述了企业规范开源治 理工作的相关制度政策；资源部分描述了企业完成开源治理工作的相关基础设施。 2 T/CESA XXXX—202X 图 1 企业开源治理评价模型 6 组织架构 总体要求 企业针对于开源治理应建立明确的组织架构，配置相应的专职或兼职人员。应设置OSPO或承担相同 职能的部门，作为统领企业整个开源治理工作的领导部门。 OSPO负责制定开源合规规范、开源治理流程和协调资源，统筹规划和推动企业开源治理工作。OSPO 包含若干角色、工作团队，负责相应职责的工作。 开源管理 应设置开源管理职责角色，负责制定企业开源治理政策、治理制度和治理流程，并能够基于此推动 企业完成相应的开源治理工作，同时通过确定治理目标和考核奖惩制度确保开源治理的效果。 治理专家 应设置治理专家团队，开源治理专家根据企业的开源治理制度和流程，具体的指导某一个研发项目 的开源治理工作。包括制定具体的治理计划、划分具体的治理任务、监督治理进展、核查治理效果和确 保研发项目完成企业总体的开源治理要求。 安全专家 应设置安全专家团队，负责通过各种渠道和手段，从企业外部获取开源软件漏洞的情况，确定开源 安全漏洞治理方案，及时通知各研发项目消除安全风险。同时需遵循国家关于漏洞管理的相关规范，代 表本企业将安全漏洞及时上报。 除开源安全漏洞以外，安全专家还应负责与开源相关的数据安全，个人信息安全等其他安全