中國(guó)信通院自2015年籌備成立國(guó)內(nèi)首個(gè)開源聯(lián)盟,率先提出“可信開源”理念,圍繞“安全”“合規(guī)”“持續(xù)”“健康”的開源生態(tài)發(fā)展目標(biāo),打造并持續(xù)豐富“可信開源”標(biāo)準(zhǔn)及評(píng)估體系。目前已形成覆蓋對(duì)外開源、開源項(xiàng)目、開源商業(yè)化、開源使用等方面的開源全生命周期系列標(biāo)準(zhǔn),為可信開源系列評(píng)估的開展提供堅(jiān)實(shí)依托。2023年上半年,中國(guó)信通院組織開展新一批“可信開源”評(píng)估,最新評(píng)估結(jié)果將在9月21日OSCAR開源產(chǎn)業(yè)大會(huì)上正式發(fā)布,敬請(qǐng)期待!
企業(yè)開源治理系列評(píng)估結(jié)果
企業(yè)開源治理成熟度評(píng)估(含證券行業(yè)首批)
評(píng)估對(duì)象為證券、銀行、通信等多個(gè)行業(yè)所有使用開源軟件的企業(yè),從過程維度和能力維度出發(fā),重點(diǎn)考察組織機(jī)制、管理制度、風(fēng)險(xiǎn)管理以及測(cè)評(píng)選型、使用管理、研發(fā)過程管理、運(yùn)維管理、定期健康評(píng)估、退出管理、存量管理、第三方管理等重點(diǎn)內(nèi)容,實(shí)現(xiàn)問題和風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)管理優(yōu)化等功能,提高企業(yè)開源軟件治理能力,提升企業(yè)合規(guī)性和可信度。
企業(yè)開源治理工具和平臺(tái)評(píng)估(首批)
評(píng)估對(duì)象為企業(yè)內(nèi)部使用的開源軟件治理工具鏈和平臺(tái),基于企業(yè)對(duì)于自動(dòng)化開源治理平臺(tái)的需求,從通用能力和研發(fā)流程集成能力出發(fā),重點(diǎn)考察臺(tái)賬管理、法律合規(guī)管理、漏洞管理、開源軟件資產(chǎn)可視化、引入審批管理、開源軟件運(yùn)維管理、服務(wù)平臺(tái)、開放接口以及準(zhǔn)入管控、組件管控、持續(xù)集成、交付準(zhǔn)出管控、下線影響分析等內(nèi)容,指導(dǎo)企業(yè)建立、保持和改進(jìn)開源軟件治理工具和平臺(tái)。
企業(yè)內(nèi)源治理能力評(píng)估(首批)
評(píng)估對(duì)象為已經(jīng)實(shí)施內(nèi)源的企業(yè),重點(diǎn)企業(yè)在高層領(lǐng)導(dǎo)支持、內(nèi)源治理職責(zé)分配、選任機(jī)制、社區(qū)治理、項(xiàng)目統(tǒng)籌、透明協(xié)作、內(nèi)源項(xiàng)目使用工具、內(nèi)源項(xiàng)目管理工具等八個(gè)方面的能力,引導(dǎo)企業(yè)快速了解內(nèi)源文化理念,以評(píng)促建,指導(dǎo)企業(yè)全面落成內(nèi)部協(xié)作能力,加速數(shù)智化轉(zhuǎn)型,釋放開源協(xié)作效能。
軟件產(chǎn)品開源合規(guī)能力評(píng)估(首批)
評(píng)估對(duì)象為使用開源組件/軟件的軟件產(chǎn)品,基于企業(yè)對(duì)開源軟件的合規(guī)管理需求,從許可證合規(guī)角度出發(fā),重點(diǎn)考察軟件產(chǎn)品的SBOM清單、持續(xù)感知、精準(zhǔn)定位、引入審批、發(fā)布驗(yàn)證、問題反饋、許可證授予權(quán)利行使、許可證規(guī)定義務(wù)履行等八大方面能力,幫助企業(yè)考察軟件產(chǎn)品的開源合規(guī)管理落地情況,引導(dǎo)企業(yè)遵循對(duì)應(yīng)開源許可證規(guī)定,從而降低企業(yè)使用開源軟件的法律風(fēng)險(xiǎn)。
項(xiàng)目開源治理能力評(píng)估
評(píng)估對(duì)象為企業(yè)內(nèi)部具體的軟件項(xiàng)目,從感知能力、預(yù)防能力、修復(fù)能力三個(gè)角度出發(fā),重點(diǎn)考察企業(yè)內(nèi)軟件項(xiàng)目的軟件臺(tái)賬、風(fēng)險(xiǎn)感知、精準(zhǔn)定位、引入管理、使用管理、運(yùn)維管理、持續(xù)跟蹤、退出管理、安全風(fēng)險(xiǎn)、法律合規(guī)等內(nèi)容,幫助企業(yè)對(duì)內(nèi)部軟件項(xiàng)目的開源規(guī)范性、合規(guī)性和安全性等方面進(jìn)行評(píng)估,為企業(yè)考察整體開源治理落地情況提供現(xiàn)實(shí)依據(jù)。
開源供應(yīng)鏈系列評(píng)估結(jié)果
可信開源代碼庫評(píng)估(首批)
評(píng)估對(duì)象為具有托管開源代碼或鏡像的開源代碼庫,分別從功能性、靈活性、安全性、易用性四個(gè)維度進(jìn)行評(píng)估,幫助規(guī)范和提升開源代碼庫基礎(chǔ)能力,同時(shí)為采購(gòu)此類產(chǎn)品的用戶提供選型參考。
開源治理平臺(tái)解決方案評(píng)估(首批)
評(píng)估對(duì)象為用戶搭建具備開源治理統(tǒng)一收口管理的平臺(tái),分別從臺(tái)賬管理、法律合規(guī)管理、漏洞管理、開源資產(chǎn)可視化、引入審批管理、開源軟件運(yùn)維管理、服務(wù)平臺(tái)、開放接口八個(gè)維度能力進(jìn)行評(píng)估,幫助規(guī)范和提升開源治理平臺(tái)的搭建能力,同時(shí)為采購(gòu)此類產(chǎn)品的用戶提供選型參考。
軟件自研創(chuàng)新能力評(píng)估(首批)
評(píng)估對(duì)象為軟件行業(yè)企業(yè)自研創(chuàng)新產(chǎn)品,分別從代碼自研率、代碼安全、開源代碼合規(guī)、代碼管理四個(gè)維度,通過源碼級(jí)別的開源同源匹配技術(shù),分析軟件產(chǎn)品的代碼組成成分,幫助用戶了解其中的開源應(yīng)用情況,實(shí)現(xiàn)“自研率高”“安全性強(qiáng)”“合規(guī)度高”“穩(wěn)定性好”四大目標(biāo), 提升自研創(chuàng)新產(chǎn)品的可信度。
開源供應(yīng)鏈-OpenChain雙評(píng)估
評(píng)估對(duì)象為基于開源軟件提供商業(yè)解決方案的軟件提供商或者提供云服務(wù)的云服務(wù)商,評(píng)估類型包括企業(yè)開源供應(yīng)鏈風(fēng)險(xiǎn)管理能力評(píng)估和產(chǎn)品開源供應(yīng)鏈風(fēng)險(xiǎn)管理能力評(píng)估,幫助軟件提供商和云服務(wù)商規(guī)范開源軟件引入、開發(fā)和交付流程和制度,幫助企業(yè)降低開源供應(yīng)鏈風(fēng)險(xiǎn)。
開源治理工具評(píng)估(SCA)
評(píng)估對(duì)象為具有開源組成和安全性分析功能的開源組件掃描工具,對(duì)其基本能力,技術(shù)支持能力,易用性,部署能力,安全性,兼容性進(jìn)行評(píng)估,幫助規(guī)范和提升開源治理工具質(zhì)量,同時(shí)適用于采購(gòu)此類工具的開源用戶,幫助用戶企業(yè)采購(gòu)此類工具作為選型參考,評(píng)估評(píng)估類型包括SaaS版評(píng)估、本地部署版評(píng)估、SaaS版+本地部署版評(píng)估。
開源項(xiàng)目系列評(píng)估結(jié)果
開源項(xiàng)目能力評(píng)估
評(píng)估對(duì)象為社區(qū)版的開源項(xiàng)目。重點(diǎn)考察開源項(xiàng)目在許可證合規(guī)性、軟件安全性、軟件活躍度、技術(shù)成熟度、服務(wù)支持力和軟件兼容性六個(gè)方面的能力,全面衡量社區(qū)版開源項(xiàng)目的健康程度,為開源項(xiàng)目使用方提供選型的參考依據(jù)。
開源社區(qū)成熟度評(píng)估
評(píng)估對(duì)象為開源社區(qū),開源社區(qū)=人+項(xiàng)目+基礎(chǔ)設(shè)施平臺(tái),一個(gè)好的開源社區(qū)有助于開源項(xiàng)目營(yíng)造良好的開源生態(tài)并擴(kuò)大影響力。可信開源社區(qū)評(píng)估從基礎(chǔ)設(shè)施、社區(qū)治理、社區(qū)運(yùn)營(yíng)與社區(qū)開發(fā)等角度,梳理開源社區(qū)應(yīng)關(guān)注的內(nèi)容及指標(biāo),聚焦于如何構(gòu)建活躍的開發(fā)者生態(tài)與可信的開源社區(qū)。
2023年OSCAR開源產(chǎn)業(yè)大會(huì)將于2023年9月21日舉辦。本屆大會(huì)聚集國(guó)內(nèi)外頂級(jí)開源基金會(huì)和開源社區(qū)負(fù)責(zé)人、開源廠商代表、優(yōu)秀開源企業(yè)用戶、頂尖開源開發(fā)者同臺(tái)論道,共同探索開源生態(tài)發(fā)展未來。此外大會(huì)還將發(fā)布《開源生態(tài)白皮書》(2023年)等多本白皮書報(bào)告、對(duì)最新可信開源標(biāo)準(zhǔn)體系進(jìn)行梳理和解讀、在開源治理、開源合規(guī)、開源項(xiàng)目和社區(qū)、數(shù)字公共品、開源安全和供應(yīng)鏈等方面與業(yè)內(nèi)專家共同探討技術(shù)產(chǎn)業(yè)發(fā)展方向。
