大家下午好，今天我為大家帶來“企業級開源治理標準解讀”。

這項工作是中國信通院去年底開始做的，大概持續到2019年上半年做了首批試評估，這一年時間內，我們在持續探索企業級開源治理的路徑，歡迎業界跟我們做共同的探討和研究，幫助我們持續進步。

背景。

國內開源項目也是近幾年來開始較多的，之前一般是聚焦國外的項目。（表）華為、騰訊、阿里，包括今天上午主會場也給很多企業開源項目進行了頒獎，國內開源氛圍已經慢慢形成了，看到很多優秀的國內開源項目正在涌現，包括很多開源項目數也不少，有很多人在使用，并且在持續地貢獻，而且國內一些項目貢獻到國際頂級基金會，可以看到國內這方面開源精神，包括國內科技企業開源熱潮有一個較好的上升趨勢。

  用戶側開源使用

開源的使用以前考慮問題是到底要不要用開源，現在考慮的問題已經變成了用開源有沒有什么問題，關注一些風險點，大家已經接受了我們必須要用開源的這個事實。

開源軟件對于企業來講，以前是可以選買商業的BI軟件，封閉式的一些巨頭等等，但現在云計算、大數據、人工智能這些領域里面比較新的技術，包括比較熱的技術，都是開源的，因為只有通過開源這種模式才能夠快速去占領市場。

今天是云計算開源產業大會，云計算里OpenStack等這種頂級的項目，包括他們在市場上的占有率基本是No.1，開源已經成為一種趨勢，用戶不可避免要用開源。由此看到我們用開源并不代表一定就要用社區版的，直接從GitHub或官方下載下來自己用，而是可以選擇買一些服務基于開源的商業產品。

基于OpenStack提供服務和產品的企業，這些年這些企業非常多，基于開源提供產品或提供服務的方面做得越來越好。跟行業用戶、金融機構去聊，大家愿意買這種產品或服務，其實對于用戶側企業來講，編程或信息系統并不是它的產品，而是為它提供前臺業務的一個手段。在這種情況下，大家其實愿意通過這種方式去購買服務活產品來保證自己的核心信息系統穩定運行。

   開源的風險。

自發開源企業風險，如科技公司，騰訊或阿里等公司把自己的項目貢獻出去其實是有風險的。如，安全，企業內部一些數據、IP或企業內部一些信息如果在開源之前不去查，放到GitHub上會有信息泄露的。合規和知識產權問題，今天我們邀請到了中國信息通信研究院專門做知識產權的老師畢春麗主任，也會專門針對這一塊對大家做分享。

我們簡單講一些開源知識產權方面的問題，如許可證、知識產權專利、開源規則變化。2018年出了很多大家比較關心的事情，一些非常有名的開源軟件修改許可證，當然原因可能跟云服務商有很大的關系，希望通過修改許可證的方式去限制云服務商對開源軟件的使用，而不去貢獻社區的這種行為。自發開源企業來講這方面要重點關注。

  管理風險。

自發開源企業對于開源如果都是項目組自己愿意開源就開源，沒有統籌管理，里面涉及到的風險沒有辦法把控，如果代碼里有專利等問題，沒有做一些提前的申請，對企業來講后續會有一些困擾。

 用戶風險。

包括管理方面的風險，今天上午給幾家企業做了開源治理評估，也把優秀案例分享到了《金融行業開源治理白皮書》中，歡迎各位關注我們的成果。在里面邀請了很多企業寫他們企業怎么做開源的，一會兒也有專家分享。我們認為，開源方面的風險首先要管，要知道自己企業里有什么開源軟件，不能什么都不知道，這個風險其實最大。

再有是運維和技術風險，用戶核心訴求并不是這個軟件，而是基于這種軟件和信息系統去提供前臺業務，其實沒有那么多開發人員，也沒有那么多精力去做軟件的運維，包括技術支持，所以對于用戶側來講雖然沒有花錢買軟件，但反而付出了更多其他的成本。

安全漏洞和缺陷問題。我們講安全漏洞并不是開源軟件和閉源軟件哪個安全問題更嚴重，只是開源軟件有安全問題、有漏洞問題，大家要關注。之前購買軟件是有廠商提供運維支持，香港免備案主機，包括安全方面的支持，但很多開源軟件這方面需要你自己持續跟蹤、持續更新，包括社區會針對一些漏洞做版本的更新，如果不跟蹤的話，這個漏洞還保存在現在信息系統里，有風險。

   開源許可證涉及知識產權問題。