中国信通院2022年上半年“可信开源治理类评估”报名正式启动

数字化时代，全球数字经济是开放和紧密相连的整体，经验与知识体系的构建面临海量数据和场景提取。开源能够集众智、采众长，加速软件迭代升级，促进产用协同创新，推动产业生态完善，已成为全球软件技术和产业创新的主导模式。随着国家政策的引导、基础软件的崛起、企业的大力投入……毫无疑问，这是开源最好的时代。处于开源热潮之下，如何把握开源发展趋势，迎接未来挑战，成为企业、开源组织与开发者不可不知的“必修课”。针对水平不一的市场参与者，中国信息通信研究院（以下简称“中国信通院”）将在2022年继续推动开源治理类评估，以帮助企业降低开源软件的使用风险，为开源市场的良性发展提供指引。

中国信通院本次可信开源治理类评估所涉及的标准包括：

• 【开源软件治理能力评价方法 第1部分：面向自发开源企业】；

• 【开源软件治理能力评价方法 第3部分：成熟度模型】；

• 【开源软件治理能力评价方法 第5部分：治理工具和平台】；

• 【开源软件治理能力评价方法 第6部分：项目治理能力】。

中国信通院可信开源治理类评估

可信开源 | 企业对外治理能力评估

近几年开源技术快速发展，在云计算、移动互联网、大数据等领域逐渐形成技术主流。我国企业在参与国际开源项目，跟随主流开源技术的同时，更多地影响和主导开源项目，逐步探索引领开源的可能。本标准适用于开源企业对面向外部开源的项目进行管理，帮助开源企业规范开源流程，提升企业的开源治理能力。主要规范企业在主导开源项目过程中，在开源治理组织架构、开源项目管理制度、开源工具平台建设、开源项目申请、开源项目审批、开源项目发布、开源项目运行维护、开源社区管理、开源项目关闭九个方面需遵循的规范和应具备的能力。

可信开源 | 企业开源治理成熟度评估

近几年开源技术快速发展，企业已经在内部大量使用开源软件，但是用户引入开源软件的同时也面临着巨大的风险，包括：缺乏统一的管理架构与制度规范导致大量的开源软件难以监控管理；企业内部针对开源软件运维成本巨大；开源软件的漏洞和缺陷威胁系统安全运行；开源软件知识产权风险影响企业实际业务等。为了解决以上问题，企业内部构建科学有效的开源治理体系具有重要意义。本标准通过规范企业内部开源治理体系，帮助企业构建从开源软件引入、使用、维护到退出的全生命周期治理制度，梳理开源使用中的开源知识产权、开源安全漏洞风险以及通过供应链传递的开源风险，帮助企业提升开源软件管理能力，符合行业相应安全合规需求。

可信开源 | 开源治理工具和平台评估（首批评估）

开源治理初期的关键动作是梳理开源软件，企业初期可以使用表单手工上报的方式进行开源软件清单梳理，但随着企业引入开源软件的数量剧增，并且软件存在层层依赖问题，仅靠手工形式很难准确掌握开源软件信息变化。在此背景下，企业对于自动化开源治理平台的需求逐渐产生，通过借助专业工具推动开源治理专业化发展。本标准旨在帮助企业构建从开源软件引入、使用、维护到退出的全生命周期治理平台，可以掌握开源软件许可证变更、安全漏洞、软件闭源、停服等变化情况，及时识别开源软件风险、持续跟踪开源前沿技术，实现企业开源常态化管理，提升开源软件应用质量与效率。

可信开源 | 项目治理能力评估（首批评估）

企业在享受开源引入带来的成本降低、技术迭代速度加快等便利的同时，也面临着管理风险、安全风险、运维风险、知识产权风险等，为了更好的规避开源软件上述风险问题，保证合规、安全、高效的使用、贡献、发布开源软件，企业需逐步开展开源治理工作。本标准规范了企业内部项目的治理能力，规定了具体项目应关注的内容及指标，具体包括感知能力、预防能力与修复能力三大部分。标准适用于企业对内部项目的开源规范性、合规性和安全性等方面进行评估，为企业考察具体项目的开源治理落地情况提供依据。

中国信通院可信开源治理类评估全家福

时间安排

咨询报名联系人

俊哲

中国信通院

电话：18900125677（微信同号）

邮箱：junzhe@caict.ac.cn

校  审 | 陈  力、珊  珊

编  辑 | 凌  霄

推荐阅读