1270.1 Overall framework
本文件规定了开源治理总体框架,确立了治理原则和治理框架。
本文件适用于参与开源活动的各类组织,如政府、企业、基金会、行业协会、高校、科研机构等,指导其对开源治理规范的编制与使用。
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
T/CESA 1269-2023 信息技术 开源 术语与综述
T/CESA 1269-2023 界定的术语和定义适用于本文件。
为了促进组织有效、高效、合理地使用开源技术、贡献开源项目、发起并运营开源社区,尽可能在组织的开源战略规划、建设、运营和维护过程中,规定了开源技术相关的治理要求,从而实现战略一致、风险可控、运营合规和绩效提升的目标。
组织按本文件建立开源治理体系,形成文件并实施、持续改进,确保开源技术使用、开源项目贡献、开源社区运营的效能和合规性,以达到规避风险、加快发展、提升收益的目标。组织遵守如下治理原则。
- 建立开源治理的战略、制度、文化和创新机制,支撑组织业务模式变革、技术进步和管理提升;
- 确保利益相关方理解预期收益和发展目标,支持开源投入,关注治理成效并及时调整策略;
- 明确风险偏好和风险容忍度,明确符合国家安全规范,保证技术中立性,防范因违规造成的重大财务和声誉损失、监管处罚、法律制裁等;
- 开源治理的治理主体为开源治理最终结果负责。
治理框架由治理要素以及要素之间的结构组成。开源治理要素包含治理的利益相关方、治理主体、业务需求、治理策略模型、治理事项、审查策略和资源七大要素,要素之间的结构见图1。开源治理框架在企业开源治理中的应用见附录A。
治理主体由最高决策者与开源治理机构组成,应通过开源的战略和方针,建立本组织内外部治理策略与流程,并对开源治理相关的方案和规划进行评估与修正、对开源治理绩效和符合性进行监督,负责法律合规、安全、运营、内外部协调等事宜。在开源治理实施的过程中,开展自我监督、自我评估和审查工作,并持续改进。
治理策略模型是不同组织基于其特定情况制定的开源策略框架,包括以下方面:
- 主动采用:积极选择和采用现有的开源软件、工具或解决方案,以满足组织的数字化变革需求。
- 安全合规:重视项目的安全性和合规性,采取必要措施确保代码安全、数据保护和合法性,以建立信任和保护组织利益。
- 社区贡献:鼓励组织成员积极参与开源开发和社区贡献,提供开放的贡献流程和奖励机制,促进社区的活跃和成长。
- 生态共建:与其他组织和社区建立良好的生态系统,包括技术合作、资源共享和市场推广等,以促进项目的发展和生态的繁荣。
- 战略创新:注重战略规划和创新,持续推动项目的发展和未来方向,包括技术创新、业务模式创新和市场创新等。
本模型共包含 5 层,每层包含 5 个基本事项。基本事项说明如下。
| 编号 | 事项 | 说明 | 反馈 | 案例 |
|---|---|---|---|---|
| A1 | 明确开源技能与技术使用的基础信息 | 整理组织内使用、贡献和创建的开源组件的基本信息 | [反馈] | [案例] |
| A2 | 建立开源能力增长路线图 | 制定基本的开源技术发展计划,以提升组织的开源能力 | [反馈] | [案例] |
| A3 | 管理开源技术 | 了解当前开源技术的使用情况,并积极管理开源技术的使用 | [反馈] | [案例] |
| A4 | 管理开源技术解决方案供应方 | 主动选择适合组织业务领域的开源技术供应商或开源社区提供的解决方案 | [反馈] | [案例] |
| A5 | 管理开源技术开发技能与资源 | 管理开发人员的开源技能水平,同时优化整体开发流程、方法和工具的使用 | [反馈] | [案例] |
| 编号 | 事项 | 说明 | 反馈 | 案例 |
|---|---|---|---|---|
| B1 | 管理开源合规性 | 实施合法合规流程,确保使用和参与开源项目的合规性 | [反馈] | [案例] |
| B2 | 管理软件漏洞 | 管理已知漏洞,预防来自软件依赖项的威胁 | [反馈] | [案例] |
| B3 | 管理软件依赖项 | 识别和管理代码库中的软件依赖项 | [反馈] | [案例] |
| B4 | 监控治理事项 | 收集和监控关键治理事项的指标,为开源相关的日常管理决策和事务提供信息 | [反馈] | [案例] |
| B5 | 实施代码审查 | 在团队层面进行协作开发的代码审查 | [反馈] | [案例] |
| 编号 | 事项 | 说明 | 反馈 | 案例 |
|---|---|---|---|---|
| C1 | 推广开源最佳实践 | 在团队中定义、推广和实施开源的最佳实践 | [反馈] | [案例] |
| C2 | 主动贡献开源项目 | 鼓励为使用的开源项目做出贡献,避免成为被动的消费者 | [反馈] | [案例] |
| C3 | 建立成员对开源社区的归属感 | 培养开发人员对开源社区的归属感,持续为开源社区做出贡献 | [反馈] | [案例] |
| C4 | 促进人力资源部门对开源贡献的认可 | 让人力资源部门认识到开源贡献带来的好处,并调整人力资源政策 | [反馈] | [案例] |
| C5 | 制定开源上游优先策略 | 提高组织成员对回馈和执行上游优先策略的认识 | [反馈] | [案例] |
| 编号 | 事项 | 说明 | 反馈 | 案例 |
|---|---|---|---|---|
| D1 | 制定组织层面参与开源项目与社区的策略 | 在组织层面推动开源贡献,让所有成员认识到开源贡献的价值 | [反馈] | [案例] |
| D2 | 积极参与开源生态的持续建设 | 与开源生态中的各种组织机构进行积极互动和融合 | [反馈] | [案例] |
| D3 | 制定与开源技术供应商的高效合作策略 | 鼓励与重要的开源技术供应商合作,以维护组织的持续发展和支持开源生态 | [反馈] | [案例] |
| D4 | 公开声明组织使用到的开源项目,做到信息透明 | 公开声明在组织信息系统、应用程序或新产品研发中使用到的开源技术 | [反馈] | [案例] |
| D5 | 制定有利于开源生态发展的开源采购策略 | 建立高效的选择、获取、购买开源技术和服务的流程 | [反馈] | [案例] |
| 编号 | 事项 | 说明 | 反馈 | 案例 |
|---|---|---|---|---|
| E1 | 制定组织层面开源战略,获取开源生态中有利位置 | 为组织内部的开源治理设立明确的战略,确保内外部参与贡献的一致性和可见性 | [反馈] | [案例] |
| E2 | 建立组织层面开源文化 | 将开源融入到整个组织战略和工作中,自上而下地推动开源战略 | [反馈] | [案例] |
| E3 | 建立基于开源的数字主权 | 通过开源战略解除供应商的束缚,实现自主的数字主权 | [反馈] | [案例] |
| E4 | 建立开源赋能创新的体系 | 利用开源带来的多样性、协作性和开放性,提升创新能力 | [反馈] | [案例] |
| E5 | 建立开源驱动的数字化转型策略 | 将开源作为数字化转型的核心推动要素 | [反馈] | [案例] |
治理事项是在某个具体的开源治理参与策略指导下,解决某一具体的治理问题或主题的行动事项。不同的开源策略,对应不同的治理事项。
作为开源治理具体操作执行的核心,其事项规范包含以下 6 项:
- 事项描述:治理事项涉及的主题和摘要,对完成该治理事项的关键点和流程进行说明;
- 目标管理:对开源治理的特定目标进行管理,详细说明开展该项治理工作的原因、时间以及需要解决的问题。
- 过程评估:对具体的治理事项进行进度监控与效果评估,通过定义目标驱动的指标体系,明确评估治理事项所需的验证点,进而支持治理路线图、优先事项、以及绩效评价等工作;
- 评价方法:提供实现和完成治理事项的手段、技术、数据或工具列表,进而高效的交付治理成果,支撑治理主体科学有效的开展工作;
- 建议指导:从开源治理各方参与者中广泛收集最佳实践,定期更新用户的反馈意见,以及有助于各个事项管理的建议与指导。
审查策略是实施执行开源治理的重要方法与工具,是根据治理组织的特点和需求,围绕如何实现高质量开源治理而进行系统设计的策略,组织根据自身需要选择合适的审查策略模型进行实施。
开源治理的支撑资源能够有效覆盖组织开展治理工作过程中所用到的工具与资源,包括人员、软件工具、基础设施、数据、咨询、培训、文档等方面。
在企业治理的应用方面,可以基于本标准制定企业开源治理框架,见图A.1。根据图1中的各个要素,企业作为开源治理主体,根据法律法规、企业章程、监管职责、利益相关方期望、以及业务要求等因素,制定企业开源战略与方针,并选择与之匹配的治理策略模型,进而开展开源引入、对外开源等活动,同时,通过监督、评估、指导的闭环形成不断迭代与优化的治理过程。
[1] GB/T 34960.1—2017 信息技术服务 治理 第1部分:通用要求
[2] ISO 37000:2021 Governance of organizations – Guidance
[3] The OW2 Open Source Good Governance Handbook, 2021