1.6 开源治理框架

[PureNatural]

在开源组织中定义角色、运作策略、决策结构和责任制的规则与惯例。

开源治理框架是指用于指导和实施开源治理的一套方法和工具。它包括一系列的原则、策路、流程和实践，用于指导开源项目的决策、策
略制定、风险管理、合规性等方面。

对开源应用进行治理已逐渐成为各行各业的共识，作为业界领先的数字研运解决方案品牌，以“安全、合规、高效”为基本原则，结合开源治理方法论，从组织架构、管理体系、工具平台等方面构建开源治理体系，开展开源治理的探索，逐步形成一套开源应用管理和使用的最佳实践。

1、组建管理机构，明确分工权责

首先，可以根据企业自身发展需要，成立对开源治理的组织（实体、虚拟都可），统筹规划治理体系，同时协调架构、运维、安全、质量与配管等过程管控团队，依据“谁引入、谁负责”及“谁使用、谁保障”的方针原则，结合软件产品全生命周期理念，制定开源应用全生命周期管理办法，并按照各管控团队特性，分工制定对应的规范、量化规则及评估模型。

其次，组织运行机制上设立管理方、评审方、使用方；管理方统筹规划治理流程、维护标准、方案实施决策与仲裁、同时推动治理工作；评审方为各方技术专家组成的评审团队，负责引入评审工作及制定对应的评估机制、评估规则，同时负责日常问题解决、持续改进、技术决策等技术性工作；使用方一般为项目方，负责发起引入申请、完成使用中的漏洞处理和其他日常性功能事务。

最后，建议在评审团队中引入法务人员对合规性进行研究，并提供法务支持。同时，为了确保业务发展的安全性，应引入安全及质量人员，负责识别和跟踪安全漏洞，提出解决方案，避免造成严重的安全风险。

2、制定管理制度，规范使用流程

科学、完备的管理制度是体系建设的前提条件，因此，构建合理、可执行的开源治理体系需要从制度与规范开始设计，确立规范以支撑制度落地，健全制度以保障规范严格执行，确保全生命周期做到“有法可依”。在制度层面，需要制定覆盖开源应用全生命周期的管理规程，对开源应用的引入、使用、更新、退出全流程提出明确的规定，以保障引入的开源应用处于安全可控范围；同时，也需要制定对应的紧急处理流程，建设“逃生通道”，以确保在风险发生时可以及时处理，将风险扼杀在萌芽。在规范层面，需要结合企业自身特色，制定对应的选型依据、评分标准、漏洞定级、检测方式等多维度的执行标准。

除此之外，还需要打通全生命周期数据链。全过程数据联动，以此来建设从引入到运营的关联关系可视化视图，提升追溯能力；同时建立从引入到运营管理节点的负责机制，落实责任，进一步提高引入及运营管理的质量。

3、融合管理规范，建设管理平台

体系化的开源治理，将“安全、合规、高效”作为整个建设的顶层战略目标。为了实现这个目标，除了需要完备的管理制度，规范化的流程，用来落地实践的工具平台也是必不可少的。制度、流程、平台三者应该相辅相成，相互闭环，形成三位一体的立体化开源治理体系方案。具体体现如下：

1. 用制度规范流程，避免出现管理错位，可以做到“有法可依”；
2. 将流程融入平台，平台固化流程，在实现可视化与自动化的同时，也提高沟通效率；
3. 用流程支撑制度、规范的落地，使制度、规范具象化，在保障制度落地不出现偏差的同时，也使管理有“抓手”；
4. 制度与规范相互支撑，按照制度打造符合的平台，同时将制度中的规则进行量化落地在平台中，持续推动平台；
5. 平台根据实践验证制度的准确性，持续完善制度，最终形成闭环，使开源治理体系在企业内部形成“内循环”以保障业务的持续发展。

https://cloud.tencent.com/developer/article/2383490

[PureNatural]

在开源组织中定义角色、运作策略、决策结构和责任制的规则与惯例。

详细解释：

开源治理框架是指导和实施开源项目管理和决策的体系。随着开源软件在各行业中的广泛应用，如何确保开源项目的合规性、安全性和高效性成为企业管理的重要课题。开源治理框架帮助企业通过系统化的方法来管理开源项目的引入、使用和退出，确保项目在生命周期的每个阶段都符合企业的标准和要求。

1. 组建管理机构，明确分工权责

开源治理的首要任务是建立管理机构，并明确各方的分工和责任。通常情况下，企业根据自身的发展需求，设立一个开源治理组织，该组织可以是实体化的团队或虚拟化的工作组，负责统筹开源治理的规划和执行。治理机构协调开发、运维、安全、质量等多个团队，确保各团队根据软件产品全生命周期的原则履行相应职责。

开源治理的管理架构中一般包括三个角色：管理方、评审方和使用方。管理方负责总体规划治理流程，维护标准，并做出关键决策。评审方则由技术专家组成，负责审核开源项目的引入、解决技术问题，并对日常管理流程提出改进意见。使用方是项目的发起者，负责开源项目的实际使用、漏洞修复和日常维护。

2. 制定管理制度，规范使用流程

科学、完备的管理制度是开源治理体系的核心。一个良好的治理体系必须从制度和规范开始构建，并确保这些制度能够有效执行。企业应制定涵盖开源项目全生命周期的管理规程，确保项目的引入、使用、更新和退出都有明确的流程规定。这有助于保证引入的开源项目在整个使用过程中处于可控状态。

管理制度不仅要规范项目的使用流程，还应制定相应的紧急处理机制，以便在出现安全风险时能及时应对。此外，企业还需要建立一套针对开源项目的多维度执行标准，例如选型依据、漏洞定级、检测方式等。这些标准帮助企业在不同阶段进行有效的风险评估，并采取相应的补救措施。

管理制度还应贯穿整个生命周期的数据链，构建从引入到运营的可视化管理视图，提升追溯能力。这种机制能够明确各个节点的责任，确保项目的合规性和安全性得到有效保障。

3. 融合管理规范，建设管理平台

为了将“安全、合规、高效”这一目标转化为可执行的实践，企业必须结合管理规范和技术平台进行治理。一个良好的开源治理平台可以通过自动化工具来实现管理流程的固化和可视化，从而减少人工干预，提高沟通和决策的效率。

平台的设计应与管理制度和流程相辅相成，形成一个闭环的治理系统。制度为平台提供了规则依据，平台则通过实际操作来验证制度的准确性，并根据实践中的反馈不断优化和完善制度。平台不仅可以帮助企业监控开源项目的使用情况，还能提升整体沟通效率、减少管理错位，使治理体系更加智能化和自动化。

通过平台，企业可以将管理制度具象化，确保每个操作环节都有法可依、有据可循。同时，平台还能够不断完善企业的开源治理制度，形成企业内部的自我优化循环机制。最终，开源治理框架不仅能提升企业的开源项目使用质量，还能保障企业的持续健康发展。

开源治理框架作为企业管理开源项目的核心工具，涵盖了从管理架构到制度制定再到技术平台的方方面面。它能够帮助企业有效地规避风险、提升项目使用效率，并在日益复杂的开源生态中确保项目的合规性和安全性。