開源軟件治理：方法與實踐

目錄
上篇 理念與方法
第1章 開源軟件介紹 2
1.1 開源軟件的定義 2
1.1.1 開源的定義 2
1.1.2 開源軟件 3
1.1.3 開源軟件許可證 4
1.2 開源軟件的發展狀況 4
1.2.1 發展沿革 4
1.2.2 發展現狀 5
1.3 常見開源軟件譜系 7
1.3.1 開源軟件技術領域譜系 7
1.3.2 開源軟件包生態譜系 14
1.4 開源軟件的價值 17
1.4.1 技術普及 17
1.4.2 促進創新 18
1.4.3 促進社會公平 19
1.4.4 推動產業變革 20
第2章 開源軟件治理概述 21
2.1 開源軟件治理的定義 21
2.1.1 開源軟件治理的背景與重要性 21
2.1.2 開源軟件治理及相關工作的定義 21
2.1.3 開源軟件治理的範圍 21
2.2 開源軟件治理的必要性 23
2.2.1 風險應對 23
2.2.2 降低成本 24
2.2.3 技術創新及產業發展 24
2.3 國外開源軟件政策及治理現狀 24
2.3.1 政府開源軟件治理政策 24
2.3.2 開源基金會的開源軟件治理機制 27
2.3.3 開源社區的開源生態 29
2.3.4 商業公司推進開源項目安全應用 31
2.4 我國開源軟件政策及治理現狀 31
2.4.1 國家制定開源軟件治理法律與政策 32
2.4.2 開源基金會引領開源軟件治理方向 34
2.4.3 開源社區促進開源軟件治理生態發展 35
2.4.4 企業落實開源軟件治理實踐 36
2.5 開源軟件供應鏈介紹 37
2.5.1 開源軟件供應鏈定義 38
2.5.2 開源軟件供應鏈的特點 39
2.5.3 安全挑戰 40
第3章 開源軟件治理總體框架與生命周期 42
3.1 開源軟件治理的總體框架 42
3.1.1 組織架構 44
3.1.2 制度流程 45
3.1.3 工具平臺 45
3.1.4 社區運營 48
3.2 開源軟件治理的生命周期 49
3.2.1 開源軟件的引入 49
3.2.2 開源軟件的使用 52
3.2.3 開源軟件的退出 54
第4章 開源軟件治理：組織架構 55
4.1 組織架構與業務協同 55
4.1.1 目標規劃 55
4.1.2 組織架構設置 59
4.1.3 開源軟件治理協作 64
4.2 開源軟件治理的文化建設 68
4.2.1 意識培訓 68
4.2.2 開源軟件治理激勵機制 72
第5章 開源軟件治理：流程管理 75
5.1 引入評估 75
5.1.1 總體要求 75
5.1.2 管理流程 76
5.1.3 評估內容 77
5.2 使用及維護管理 78
5.2.1 使用及維護管理的總體要求 78
5.2.2 使用及維護管理的流程 78
5.2.3 使用及維護評估的具體內容 82
5.3 停用和退出管理 84
5.3.1 停用和退出的總體要求 84
5.3.2 停用和退出流程 84
5.3.3 停用和退出評估的內容 85
5.4 第三方軟件管理 86
5.4.1 總體要求 86
5.4.2 管理流程 86
5.4.3 管理內容 87
5.5 貢獻管理 87
5.5.1 總體要求 88
5.5.2 貢獻流程 88
5.5.3 評估內容 89
第6章 開源軟件治理：開源社區 90
6.1 開源社區的基礎建設 91
6.1.1 開源社區組織架構設計 91
6.1.2 特別興趣小組 92
6.1.3 開源社區制度建設 95
6.1.4 開源社區基礎設施規劃運維 96
6.2 開源社區的運營與治理 97
6.2.1 開源社區合規管理 97
6.2.2 開源社區運營 97
6.2.3 開源社區治理 98
6.2.4 開源社區決策 98
6.3 常見的開源社區治理類型和商業模式 99
6.3.1 社區驅動型 99
6.3.2 基金會支持型 100
6.3.3 企業主導型 100
6.3.4 混合模式 100
6.3.5 商業模式分類介紹 101
6.4 開源軟件的企業內部開源 102
6.4.1 定義與特征 103
6.4.2 為什麼企業需要內部開源 103
6.4.3 企業內部開源的核心理念 104
6.4.4 企業內部開源的關鍵要素 104
6.4.5 挑戰與解決方案 105
6.4.6 企業內部開源的實施步驟 107
6.4.7 最佳實踐 107
中篇 技術與服務
第7章 開源軟件治理技術及工具 112
7.1 SBOM 113
7.1.1 SBOM定義 113
7.1.2 SBOM結構 115
7.1.3 SBOM技術面臨的挑戰 118
7.1.4 如何應對SBOM技術面臨的挑戰 119
7.1.5 SBOM在開源軟件治理中的應用 122
7.2 SBOM相關工具和平臺 123
7.2.1 SCA工具 123
7.2.2 SBOM平臺 130
7.3 軟件產品源代碼管理和分析 132
7.3.1 軟件產品源代碼可信托管與協作的技術和工具 132
7.3.2 軟件產品源代碼分析的技術和工具 133
7.3.3 軟件源代碼管理和分析的開源軟件治理應用場景 134
7.4 開源軟件治理平臺 135
7.4.1 開源軟件治理平臺的設計 135
7.4.2 開源軟件治理平臺的規劃建議 135
7.5 開源軟件可信庫 138
7.5.1 企業可信庫規劃策略 139
7.5.2 企業可信庫運行管理建議 141
第8章 開源軟件安全與風險管理 147
8.1 開源軟件的安全風險類別 147
8.1.1 安全漏洞 147
8.1.2 許可證合規性風險 149
8.1.3 供應鏈風險 150
8.1.4 其他風險 153
8.2 開源軟件的風險評估與處置 154
8.2.1 安全漏洞檢測 154
8.2.2 許可證合規性檢查 158
8.2.3 供應鏈風險評估 166
8.2.4 社區活躍度評估 171
8.3 開源軟件風險的持續跟蹤 175
8.3.1 開源軟件風險管理 175
8.3.2 安全機構和監管機構的安全風險跟蹤 184
第9章 開源軟件治理的度量與分析 187
9.1 開源軟件治理成熟度評估主流參考模型 187
9.2 開源軟件治理的量化評估管理 194
9.2.1 開源軟件治理成熟度評估的方法 195
9.2.2 開源軟件治理的改進提升 197
9.3 開源軟件治理的度量分析 207
9.3.1 開源軟件治理的量化指標 207
9.3.2 開源軟件治理數據可視化分析 215
第10章 開源軟件治理的長效機制 218
10.1 發起並主導重要開源項目 218
10.1.1 將自身業務相關軟件主動開源 219
10.1.2 持續投入引領開源項目發展 221
10.2 參與開源生態的持續建設 222
10.2.1 參與上遊開源軟件開發維護 223
10.2.2 參與開源軟件供應鏈關鍵節點維護監測 226
下篇 實踐與案例
第11章 銀行開源軟件治理案例 230
11.1 中國工商銀行案例 230
11.2 光大銀行案例 233
11.2.1 開源軟件治理背景 233
11.2.2 開源軟件治理體系簡介 234
11.2.3 總結與思考 235
11.3 北京銀行案例 236
11.3.1 總體方案 236
11.3.2 管理態建設 236
11.3.3 運行態建設 241
11.3.4 研發態建設 242
11.3.5 結語 242
11.4 廣發銀行案例 242
11.4.1 開源軟件分類分級 243
11.4.2 組織架構 243
11.4.3 制度規範 243
11.4.4 引入流程 243
11.4.5 開源軟件管理工具平臺 244
11.5 中國銀聯案例 244
11.5.1 主要原則 245
11.5.2 管理機制 245
11.5.3 平臺建設 246
11.6 保險業開源軟件治理案例 247
第12章 證券業開源軟件治理案例 248
12.1 國泰海通證券（原國泰君安證券）案例 248
12.1.1 建設目標 248
12.1.2 建設舉措 248
12.1.3 建設成效 249
12.2 國泰海通證券（原海通證券）案例 250
12.2.1 開源軟件治理建設背景 250
12.2.2 開源軟件治理建設路徑 250
12.2.3 開源軟件治理落地實踐 251
12.2.4 開源軟件治理建設效果 253
12.3 興業證券案例 253
12.3.1 開源軟件安全管理探索 253
12.3.2 開源軟件在研發管理平臺的落地實踐 255
12.3.3 總結 256
第13章 能源電力開源軟件治理案例 257
13.1 南方電網案例 257
13.1.1 相關背景 257
13.1.2 整體思路和框架 258
13.1.3 開源軟件治理的管理措施 259
13.1.4 開源軟件治理技術保障措施 261
13.1.5 “電鴻”開源的未來 262
13.2 河北電網案例 262
13.2.1 開源軟件工具建設目標和原則 262
13.2.2 開源軟件管理流程 262
13.2.3 開源可觀測性平臺選型案例 263
13.2.4 開源混沌工程平臺選型案例 264
第14章 通信運營開源軟件治理案例 265
14.1 中國電信案例 265
14.2 中國移動案例 267
14.2.1 建章立制，構建開源軟件治理體系 267
14.2.2 組織保障，鍛造開源軟件治理隊伍 268
14.2.3 自研平臺，提供開源軟件治理工具 268
14.2.4 多措並舉，推進持續運營治理 270
第15章 中國開源軟件治理的未來展望 271
15.1 開源軟件生態系統的重要性 271
15.1.1 開源軟件生態系統的定義與組成 271
15.1.2 中國開源生態的現狀與重要性 271
15.1.3 中國開源生態建設的關鍵因素 272
15.2 未來展望與建議 273
15.2.1 未來發展趨勢預測 273
15.2.2 加速開源生態建設的建議 274
15.2.3 跨部門合作推動 275
15.2.4 AI輔助開源軟件治理 275
15.3 行業引導實例 275
15.3.1 開放原子開源基金會 276
15.3.2 中國開源軟件推進聯盟 277
15.3.3 Linux基金會 278
15.3.4 Apache軟件基金會 279
附錄A 主要開源軟件組織（含基金會、社區） 281
A.1 國外基金會和開源社區介紹 281
A.1.1 基金會 281
A.1.2 開源社區 285
A.2 國內基金會和開源社區介紹 289
A.2.1 開放原子開源基金會 289
A.2.2 中國計算機學會開源發展委員會 291
A.2.3 中國開源軟件推進聯盟 292
A.2.4 開源中國社區 293
A.2.5 Gitee開源社區 294
A.2.6 openEuler 294
附錄B 開源軟件許可證介紹 295
B.1 許可證的內容結構 295
B.1.1 許可證基本信息 295
B.1.2 許可證內容結構 296
B.1.3 許可證檢索 298
B.2 許可證的類型 299
B.2.1 寬松許可證 299
B.2.2 著佐權許可證 300
B.2.3 中間型許可證 301
B.2.4 雙重許可證 302
B.3 引入開源技術時對許可證的評估 302
B.3.1 引入單一開源技術的許可證評估 302
B.3.2 開源技術組合使用的許可證評估 302
B.3.3 上遊開源軟件許可證變化的影響 302
B.4 開源項目許可證的選擇 303
B.4.1 開源軟件許可證的合規性 303
B.4.2 開源項目的動機 303
B.4.3 開源項目的目標受眾 304
B.4.4 雙許可證的商業選擇 305
B.5 常見的許可證使用指南 305
B.5.1 GPL 306
B.5.2 LGPL 307
B.5.3 AGPL 308
B.5.4 MPL許可證 308
B.5.5 BSD許可證 309
B.5.6 MIT許可證 310
B.5.7 Apache許可證 310
B.5.8 木蘭寬松許可證 310
B.6 開源軟件許可證兼容性 311
B.6.1 不同類型開源軟件許可證間的兼容性 312
B.6.2 開發使用時的兼容性 314
B.7 開源軟件的分發 315
B.7.1 軟件分發觸發著佐權 315
B.7.2 遠程服務觸發著佐權 315
B.7.3 不會觸發著佐權的商業場景 316
B.7.3 其他可能觸發著佐權的商業場景 316
B.8 開源軟件聲明 317
B.8.1 聲明的作用 317
B.8.2 聲明的形式 318
B.8.3 聲明的管理 318
B.9 開源軟件版權、專利和商標風險 319
B.9.1 版權要求 320
B.9.2 專利要求 320
B.9.3 商標要求 321
附錄C 開源軟件的知識產權合規風險案例 322
C.1 北京某網絡技術有限公司訴某科技有限公司等侵犯計算機軟件著作權糾紛案 323
C.1.1 基本案情 323
C.1.2 關於GPL傳染性問題 324
C.1.3 本案啟示 324
C.2 濟寧市羅某科技有限公司訴廣州市玩某網絡科技有限公司等侵害計算機軟件著作權糾紛案 325
C.2.1 基本案情 325
C.2.2 本案爭議焦點以及開源軟件核心法律問題 326
C.2.3 本案啟示 328
C.3 濟寧某網絡科技有限公司訴福建某科技有限公司等侵害計算機軟件著作權糾紛案 328
C.3.1 基本案情 328
C.3.2 本案爭議焦點 329
C.3.3 本案啟示 332
C.4 南京未某高新技術有限公司訴江蘇雲某信息科技有限公司等侵害計算機軟件著作權糾紛案 333
C.4.1 基本案情 333
C.4.2 GPL對於軟件的傳染性與隔離性問題 334
C.4.3 本案啟示 335
C.5 不某電子商務（北京）有限公司訴北京閃某信息技術有限公司侵害計算機軟件著作權糾紛案 335
C.5.1 基本案情 335
C.5.2 後端代碼對開源規則的適用問題 336
C.5.3 本案啟示 337
C.6 蘇州某科技公司訴浙江某通信科技公司、蘇州某網絡科技有限公司等侵害計算機軟件著作權糾紛案 337
C.6.1 基本案情 337
C.6.2 本案中的開源軟件著作權認定問題 338
C.6.3 本案啟示 339
C.7 浙江阿某電子商務有限公司訴天津市網某科技有限責任公司侵害計算機軟件著作權糾紛案 339
C.7.1 基本案情 339
C.7.2 使用開源語言編寫的軟件是否具有開源屬性問題 340
C.7.3 本案啟示 341
參考文獻 342