隨著DevOps、云計算、人工智能、平臺工程等各種新思想及新技術逐漸得到眾多企業的認可，這些新技術也推動社會從信息化向數字化演進，而在整個演進的過程中，所需的技術體系構建需要海量的知識與技術能力的支撐。開源（Open Source）以開放、平等、協作和共享的模式，加速技術迭代升級，逐漸形成技術主流。開源可以突破技術壁壘，推動技術創新；但也因為生態的多樣性與不確定性，導致更多的不穩定因素的引入，提高了問題與風險發生的概率，給企業帶來機遇的同時也帶來了多重挑戰。因此，如何進行有效地治理，成為目前企業亟需解決的問題。

01. 開源治理面臨的風險

從目前的發展形勢來看，開源應用主要面臨的風險為：管理風險、技術風險、安全風險及合規風險。

1）管理風險

開源應用相較于傳統應用有著更為復雜的供應鏈，而在使用過程中，通過各種組合、依賴等形成了錯綜復雜的供應關系，而使用者往往很難直觀地理清其中的脈絡。同時，企業因缺乏體系化的治理理念，導致全生命周期缺乏有效的管理規則及對應的管理手段，如：權責不清、引入及退出機制不夠完善、分析評估權重合理性存疑、合規性檢查缺乏時效性、錯綜復雜的關聯依賴關系缺乏有效記錄等。從而導致治理工作難以覆蓋使用過程中的方方面面，使整個管理風險無限放大。

而其中最具代表性的是開源應用的多版本管理，從最初的版本到最新的版本可能都會存在使用，從而導致收斂度差，關系混亂。當出現漏洞時，為了明確哪些資產受到影響，往往需要使用人力去排查、統計及追溯，導致效率低下，且準確性、時效性、全面性都無法得到有力保障。

2）技術風險

首先，從目前開源的類型來看，開源應用包含產品、組件、框架、工具、代碼等多種類型，涉及軟件開發、云服務、數據服務等諸多領域，因為更新迭代快，相互之間存在錯綜復雜且隱蔽的依賴關系，從而給企業的自主掌控、運行維護帶來巨大的挑戰；其次，由于很多開源應用是獨立開發者憑興趣開發與支撐，沒有商業盈利模式，從而無法保障安全與可靠性；再次，在使用過程中，企業因為更多的是外部采購，無法控制供應商對開源技術的引用，而自身技能儲備不夠，存在配置不當，導致運行故障，從而影響系統的正常運行，引發一系列的業務震蕩問題。最后，日益復雜的國際形勢也對很多開源軟件的國內外供應鏈帶來較大影響。

3）安全風險

開源應用從出生起就秉持“開放、共享”精神，因其開放的特性，在安全性上天然不足，而從業者的素質參差不齊，產品質量良莠不齊，導致漏洞更容易被發現并被利用，甚至會出現惡意代碼、被人惡意“投毒”也見怪不怪，這也正是很多開源軟件提出免責聲明的重要原因。因此，在企業引用開源應用后，如不能精準掌握并及時修復對應的漏洞，就會把漏洞流入到生產環境，從而成為被滲透、攻擊的對象，引起服務中斷、數據泄露等嚴重事故，如何解決安全風險也必將成為開源治理的重中之重。

4）合規風險

開源應用雖然代碼是對外公開的，但是同樣受開源許可協議的保護，開源許可證一樣是具有法律效力的合同。因此，在使用開源應用的時候，需要清晰了解許可證的使用范圍。但是，因開源背后的許可問題專業性較強，而企業往往因為生存壓力、業務發展需求，以及提供業務應用的供應商能力高低不一，無法提供完整的使用清單，許可問題極易被忽略。稍有不慎就會讓使用開源應用的企業面臨法律合規風險，引起知識產權糾紛，甚至被迫開放代碼，給企業帶來不可估量的損失。

02. 體系建設最佳實踐

對開源應用進行治理已逐漸成為各行各業的共識，嘉為藍鯨作為業界領先的數字研運解決方案品牌，以“安全、合規、高效”為基本原則，結合開源治理方法論，從組織架構、管理體系、工具平臺等方面構建開源治理體系，開展開源治理的探索，逐步形成一套開源應用管理和使用的最佳實踐。

1）組建管理機構，明確分工權責

首先，可以根據企業自身發展需要，成立對開源治理的組織（實體、虛擬都可），統籌規劃治理體系，同時協調架構、運維、安全、質量與配管等過程管控團隊，依據“誰引入、誰負責”及“誰使用、誰保障”的方針原則，結合軟件產品全生命周期理念，制定開源應用全生命周期管理辦法，并按照各管控團隊特性，分工制定對應的規范、量化規則及評估模型。

其次，組織運行機制上設立管理方、評審方、使用方；管理方統籌規劃治理流程、維護標準、方案實施決策與仲裁、同時推動治理工作；評審方為各方技術專家組成的評審團隊，負責引入評審工作及制定對應的評估機制、評估規則，同時負責日常問題解決、持續改進、技術決策等技術性工作；使用方一般為項目方，負責發起引入申請、完成使用中的漏洞處理和其他日常性功能事務。

最后，建議在評審團隊中引入法務人員對合規性進行研究，并提供法務支持。同時，為了確保業務發展的安全性，應引入安全及質量人員，負責識別和跟蹤安全漏洞，提出解決方案，避免造成嚴重的安全風險。

2）制定管理制度，規范使用流程

科學、完備的管理制度是體系建設的前提條件，因此，構建合理、可執行的開源治理體系需要從制度與規范開始設計，確立規范以支撐制度落地，健全制度以保障規范嚴格執行，確保全生命周期做到“有法可依”。在制度層面，需要制定覆蓋開源應用全生命周期的管理規程，對開源應用的引入、使用、更新、退出全流程提出明確的規定，以保障引入的開源應用處于安全可控范圍；同時，也需要制定對應的緊急處理流程，建設“逃生通道”，以確保在風險發生時可以及時處理，將風險扼殺在萌芽。在規范層面，需要結合企業自身特色，制定對應的選型依據、評分標準、漏洞定級、檢測方式等多維度的執行標準。

除此之外，還需要打通全生命周期數據鏈。全過程數據聯動，以此來建設從引入到運營的關聯關系可視化視圖，提升追溯能力；同時建立從引入到運營管理節點的負責機制，落實責任，進一步提高引入及運營管理的質量。

3）融合管理規范，建設管理平臺

體系化的開源治理，將“安全、合規、高效”作為整個建設的頂層戰略目標。為了實現這個目標，除了需要完備的管理制度，規范化的流程，用來落地實踐的工具平臺也是必不可少的。制度、流程、平臺三者應該相輔相成，相互閉環，形成三位一體的立體化開源治理體系方案（如圖1）。具體體現如下：

• 用制度規范流程，避免出現管理錯位，可以做到“有法可依”；
• 將流程融入平臺，平臺固化流程，在實現可視化與自動化的同時，也提高溝通效率；
• 用流程支撐制度、規范的落地，使制度、規范具象化，在保障制度落地不出現偏差的同時，也使管理有“抓手”；
• 制度與規范相互支撐，按照制度打造符合的平臺，同時將制度中的規則進行量化落地在平臺中，持續推動平臺；
• 平臺根據實踐驗證制度的準確性，持續完善制度，最終形成閉環，使開源治理體系在企業內部形成“內循環”以保障業務的持續發展。

為了使上述管理架構、規范制度真正落地，持續提升開源治理能力，建議圍繞資產庫打造“1+2+3”整體解決方案。即：1個統一資產庫（由1個前置子庫，1個過程子庫，1個生產子庫組成1個虛擬統一資產庫），2個生命周期（開源治理生命周期、軟件研發生命周期），3個核心工具平臺（DevOps平臺、安全工具平臺、流程管控平臺）。其中最重要的資產庫架構設計如圖2。

使用統一的資產庫的目的在于結束重復建設后帶來的管理混亂，同時達到資產統一管控的目標，統一資產庫收納的資產內容主要包含：自研、開源、供應商提供的資產；各資產庫作用如下：

• 前置庫：企業內部私有庫，用來存儲所有引入的開源應用；
• 過程庫：應用研發過程庫，用來存儲研發過程中需要的依賴、原生鏡像、開源組件；同時用來存儲研發過程半成品、送測制品及準出制品等版本的制品；并承擔將上線的制品推送到生產庫，用于對外發布；
• 生產庫：主要用于存儲兩部分內容，一是用于發布的上線制品；二是用于存儲運維管理的各類鏡像、工具等；
• 備份庫：用于備份生產庫，按照相關法規保存對應的時長（6個月到3年）。

① 前置庫設置在DMZ區域，用來聯通外部源，各類型庫啟用臨時庫，當外部的應用需要進入前置庫的時候，先進入臨時庫，并通過安全、質量、合規（開源常見協議許可請參考圖3）相關檢測工具進行檢測，同時，由評審團隊對引入的開源應用進行評審，通過后進入正式庫；并將對應的開源應用加入清單。

② 過程庫主要用于保障研發過程的需求，依賴庫直接將代理指向前置庫；同時在使用過程中，對接相關工具平臺，對于依賴及依賴間的組合進行檢測，并生成對應的關聯依賴圖，保障整個制品包的穩定可靠；

③ 當上線申請通過后，由流程自動將過程庫中的上線制品推送到生產庫，保障后續上線及升級。并將對應的服務器信息反饋到資產庫，通過資產建立對應的關聯關系，便于后期風險排查及追溯。

同時，建議各資產庫按照開源類型進行分類，各類型庫分類存儲的開源應用類型如圖4。

為了實現開源治理從“引入、使用、退出”全生命周期的管控，同時為了提高整體治理效率，建議將整個治理過程按照研發生命周期階段進行劃分及對應；通過流程進行結合，將整個治理能力嵌入端到端研發過程中，進行分類、分階段管控，從而實現安全、高效的管理；同時按照引入的內容建立內部的關聯依賴關系，便于在出現問題后的快速追溯及定位。

整個實現過程為：

① 引入：起始點對齊研發生命周期的設計階段，開源應用的引入，需要架構團隊主導，聯合安全、質量、運維依據相關規范及開源應用清單進行評估，確保引入的開源應用的安全可靠；

② 使用：各引入團隊按照自身需求，使用對應的開源應用；借助DevOps平臺流水線在實現活動標準化編譯的同時，采用統一的資產庫，確保來源合法性與唯一性。同時在流水線不同環節加入檢測及門禁功能，確保最終版本的安全與穩定；

③ 退出：退出的前提是不能影響業務的正常運行。因此，在不降低業務連續性的影響的前提下，首先在有突發風險時，應先使用防護硬件及工具做緩沖，減輕集中的升級壓力，避免引起不可預期的風險；然后按照業務系統重要程度、升級難度及可能受攻擊面的大小進行評估后按計劃升級；其次需要定時定期地組織專家團隊，從開源應用使用情況、歷史漏洞情況等多方面對已在用的開源應用進行綜合評估，并聯合研發、配管等職能團隊制定退出計劃，推動應用升級，并將退出的軟件加入對應的黑名單。達到清理存量、管住增量的目標，同時逐步向統一化演進。

流程是管理制度現實的保障手段，嚴謹、科學、符合發展的開源治理流程可以有效地降低沖突、控制風險，開源應用生命周期管理所涉及的引入、使用、退出流程建議按照最新的價值流理念，將流程中有價值的活動進行組件化，便于后期靈活適配與標準化；因此，流程大致上應該包含：引入、檢測、審核、查詢、上傳/同步、下載/引用、清退等活動。而引入流程建議參考圖5。

03. 實現階段及過程

為了實現“安全、合規、高效”的目標，將整個治理過程分成三個階段進行。

第一階段管理機制建設；包括組織級團隊建設與規章制度建設

• 組織級團隊建設：主要是建立專門的管理團隊，同時劃分權責，協調其他項目級管理職能團隊共同開展治理工作；
• 規章制度建設：主要是編制規范制度、標準流程、計劃制定、存量資產梳理、工具平臺建設、準入、準出管控規則等。

第二階段：能力建設；主要包含基礎能力、平臺能力、過程能力建設

能力建設應以場景建設為出發點，逐步在各領域建設構建治理能力；以“以點帶面，橫縱結合”的方式，逐步從試點到推廣分步走，同時與開發、安全、質量、合規、運維等多部門配合，確保平臺建設方案落地，給治理工作提供平臺支撐。

• 基礎能力建設：主要為依據規章制度，對整體流程進行分解，對其中有價值的活動進行提取、組合，實現流程可視化；
• 平臺能力建設：包括建設統一資產庫、DevOps平臺、安全工具平臺、知識庫等支撐能力的建設；
• 過程能力建設：流程與工程相融合，安全與質量掃描工具與資產庫和DevOps平臺的對接、流程卡點與工程門禁的相互映射與互鎖等形成接口統一、數據標準統一的價值流閉環；同時，通過軟件成分分析、關聯互鎖等手段建設關聯圖譜。

第三階段：全場景覆蓋能力建設

逐步將開源治理工作從組織級往項目級管控轉變，將治理的具體工作通過賦能、規則等方式將職責與權限下放到項目級；同時覆蓋自研、供應商、供應商+自研等所有應用場景。

04. 治理成效

從2022年6月到目前為止，嘉為藍鯨輔助某大型金融企業進行開源治理體系建設，已經基本完成了企業級治理體系建設；并通過對組織架構、規范化流程、管理平臺等方案的落地實踐，驗證了方案的可行性與可靠性，在確保了治理體系的高效運轉的同時，化解了開源應用引入帶來的安全風險，有力地保障了全生命周期管理過程可追溯、可度量、可評價。在整個建設過程中，累計清退開源應用已超500個，總計完成200次以上的版本升級，消除潛在風險隱患100余次。

然而，由于開源的特性，開源生態中良莠不齊，現有的安全漏洞無法全面涵蓋整個生態，存在明顯的局限性。同時也不能排除別有用心的個人和組織從源頭“投毒”，也給整個治理工作帶來了很多不確定的因素，出現了很多不可預料的狀況。盡管如此，但可視化的依賴關聯關系圖譜在應對風險時發揮了巨大作用。通過該圖譜，整個使用過程變得清晰可見，實現了真正的端到端聯動，并能在秒內定位問題。這大大縮短了溝通時間，總計超過300小時，使整個治理工作更加高效。

05. 未來發展思考與探索

開源的技術發展日新月異，同時也是一個不斷演化的過程，也就導致了開源治理體系建設注定是一個長期而艱苦的過程。因此，一方面需要適應新技術的迭代與變化，持續改進治理體系；另一方面，通過持續完善治理體系，加強規范化管理能力，提高應用的整體安全可控性。可以進一步滿足業務發展需求，同時促進企業自動化、數字化的轉型需要。

隨著新技術的發展，AI、智能化的不斷演進，未來在開源治理體系中可以引入對應的技術，通過風控模型、態勢感知、大數據匹配、智能判斷等手段進一步促進開源治理體系的發展。