行业投资评级 - 报告未明确给出行业投资评级 [1] 核心观点 - 2024年中国企业开源治理全景观察报告深入分析了来自七大行业共121家企业的开源治理活动匿名数据 [7] - OSGMM框架由开源软件应用治理的3个能力要素和7个过程环节组成 包括组织机构 管理制度 风险管理 软件测评 开发测试 运维管理 持续跟踪 退出管理 存量软件管理 第三方软件管理等领域的40余项活动 [12] - 2024开源治理全景观察数据池中观察到次数最多的10项活动 包括制定开源软件的引入 使用 维护 退出等方面的制度规定 在引入开源软件后 对开源漏洞 许可证信息进行持续跟踪等 [14] 行业分析 金融行业 - 金融行业受到监管机构的严格监管和法规要求 在风险管理 软件测评和退出管理等方面处于领先地位 [40] - 金融行业对安全性和数据保护通常具有更高的要求 更加注重安全漏洞管理 漏洞修复和持续监测 [40] 通信行业 - 通信行业在开源软件治理方面存在不同的侧重点和成熟度水平 [37] 汽车行业 - 汽车行业在管理制度和开发测试方面表现较优 [43] - 汽车行业对软件的开发和测试往往更注重安全和功能性要求 在开源软件的开发测试方面可能投入更多资源 [46] 能源行业 - 能源行业在第三方软件管理和运维管理方面较为成熟 [43] - 能源行业通常涉及复杂的系统和设备 并依赖于多个供应商和合作伙伴提供软件解决方案 [43] 制造行业 - 制造行业的开源软件治理能力整体相对较弱 [43] - 制造行业注重自主研发和专有技术 对开源软件的使用相对较少或较为有限 [46] 软件和信息服务行业 - 软件和信息服务行业相对于互联网行业在开源软件治理能力成熟度方面表现较高 [49] - 软件和信息服务行业更注重存量软件管理 组织机制 软件测评和开发测试等方面的实践活动 [49] 互联网行业 - 互联网行业特点是业务快速迭代和创新 导致开源软件治理方面投入相对较少 [49] - 互联网公司需要依赖广泛的开源软件生态系统 确保大量开源软件的合规性和安全性可能是一个挑战 [49] 企业案例 中国联通软件研究院 - 中国联通软件研究院于2015年7月成立 经历了7年多的时间 从CB1 0到CB2 0上线 从启动云化架构到全面云原生架构 持续构建平台化 生态化 全栈云平台——联通云 使用开源 商业及自主研发的软件300多种 开源组件20000多个 支撑中国联通1300多个生产业务系统 [82] - 自2021年 中国联通软件研究院启动了开源治理工作 并在联通软研院内部建立开源治理组织保障机制 包括决策团队 专家团队 运营团队 专业团队 法务团队及安全团队 为开源软件治理工作奠定基础 [82] - 2022年9月 中国联通软件研究院参与OSGMM评估工作 该评估帮助软研院梳理和整合了其在开源治理相关资源和机制 并帮助其实现了开源治理工作从松散管理 到统一管控 再到统一治理的能力跨越 [82] 某银行 - 经过赋能计划服务后 该银行已达开源治理成熟度评估增强级水平 [89] - 赋能前 该银行无开源治理团队 开源治理处于权责不清的状态 无开源治理相关制度手册 未制定相关开源治理制度 对开源软件引入数量及风险无认知 开源软件在银行引入到退出的全生命周期管理手段缺失 [90] - 通过赋能计划 该银行制定了组织职责分工与流程 建立了开源软件扫描工具 梳理了重点系统开源软件使用情况 完善了开源组件资产清单 将自动化检测融入研发和交付环节 开展了全量系统开源软件使用情况梳理和开源组件漏洞修复 [90]