应对开源风险，为中小企业如何构建轻量级开源治理策略?|中小企业|开源软件|开源风险

开源 · 三句半

oss-roast

开源治理建团队
制度工具要完善
积极参与开源事
深度实践！

4月份曝光的“XZ后门事件”是一起历时两年半的“开源供应链投毒”典型案例，被定义为“核弹级漏洞事件”，其揭示了开源技术的安全短板，引发了众多企业的紧急响应，这一“核弹”为企业在开源治理上再次敲响了警钟。

我们经常说开源是一场技术浪潮，为企业带来前所未有的创新机遇和无限潜力，但正如“XZ后门事件”所示，未能妥善治理开源资源，让企业极易成为安全漏洞的牺牲品。如何在这股开源浪潮中既能够乘风破浪，充分利用开源的优势，又能够稳健前行，有效规避各种风险呢？这需要我们探讨一套有效的企业开源治理策略。

近年来，在多个机构和科技企业的努力下，与开源治理相关的“T/CESA 1270”、“T/CCSA 383”系列团体标准陆续发布，其中《T/CESA 1270.2—2023信息技术开源治理第2部分：企业治理评估模型》所给出的模型架构，相对于开源治理工作来说具有完整的指导作用。

然而，在面向众多中小型科技企业来说，其开源治理工作无法完全覆盖模型中涉及的全面内容。而根据模型要求，我们可以从以下几个方面构建一个轻量且有效的企业开源治理策略。

“轻量级“的开源治理策略

01 明确开源治理目标

中小企业在推进开源治理时，必须首先确立清晰的目标。目标可以围绕提升企业的技术创新能力、降低软件开发与维护成本、以及通过开源社区增强品牌影响力等。在设定了明确的目标之后，企业应针对性地制定开源治理策略，确保每一步行动都服务于这些核心目标，从而实现企业资源的高效利用和最大化回报。

02 建立精简的开源治理团队

为了有效执行开源治理策略，企业应组建一支精简而高效的团队。这个团队应由技术负责人领衔，并包括法务专家、项目经理以及软件架构师等关键角色。他们不仅需要对开源技术有深入了解，还需具备战略规划、风险管理和团队协作能力。这个团队将负责开源活动的全面规划、有力实施和持续监督，确保企业的开源治理工作稳步前行。

03 构建开源治理制度体系

虽然制定开源相关制度可能被视为繁琐，但这些制度在确保企业安全、高效地进行开源项目管理方面起着至关重要的作用。必不可少的制度包括开源项目使用规范、贡献指南以及风险管理措施等。这些制度能够为企业提供明确的操作框架，降低潜在风险，并确保开源活动的合规性。在上一篇文章《开源治理·聚光灯| 企业如何选择一个开源「好」项目？》，我们讲解了三个制度的作用。