跟随项曙明走进中兴通讯，探索企业开源风险治理优秀实践

点击收听“大咖访谈”第 11 期：https://m.ximalaya.com/sound/625970244?from=pc

（建议在 WiFi 下播放）

开源雨林：请您简短地向观众介绍自己

大家好，我是项曙明，目前在中兴通讯做开源合规治理工作，是中兴通讯开源合规 & 安全治理总监、开源社正式成员、2022 中国开源先锋 33 人。

开源雨林：请问您何时开始接触开源？为何对开源治理感兴趣？

我从 2014 年开始接触开源，对开源治理感兴趣主要与我的工作经历有关，我本人曾担任 EPG 组长，对研发过程改进非常熟悉，开源治理对我来说就是研发过程改进中新增的一部分外部约束而已，从无序到有序，我个人有天然的偏好，也是职业的使然。

开源雨林：请问您何时及为何投身开源治理？

中兴通讯很早就构建了完善的研发管理机制和风险管控体系，每年均要在自身从事的业务领域寻找 TOP 风险，2014 年左右我在公司产品平台部门工作，市场一线的风险是产品线关注的焦点，平台部门的风险识别我认为开源合规是一个长期而艰巨的风险点，它应该属于研发过程改进的一部分，将与产品研发过程及其改进长期共存，是一个很好的职涯研究方向，构建降低开源使用风险的企业级管控机制对企业、对个人都有好处，也比较有挑战性，所以从那时起我开始投身开源治理的学习和研究。

开源雨林：请问您对国内企业开源治理的现状有何评价？

我个人认为，国内已经过了开源治理的布道阶段，大家已不再讨论是否需要使用开源的问题。更多的开始关注如何合规和安全地使用开源，但是在如何系统化地构建企业有效的开源合规 & 安全管控机制方面，绝大多数的企业没有这方面的意识或者不知道该如何着手，更多的还只是停留在具体的许可证合规、某一个安全漏洞的消除等细节点上，中兴通讯很早就加入了国际化的行列，并把合规和开源合规作为整个企业的经营基石之一。

开源雨林：TODO Group 提到了使用期、参与期、贡献期、领导期这样这几个阶段，那像中兴通讯这样的先行者，您觉得贵司目前处在哪一阶段呢？

我觉得中兴通讯目前在开源治理方面应该是处于整个行业的领导期阶段，我们在组织层面经过了大概六七年的探索与实践，遇到和克服了很多不同的业务治理场景，已经积累了相当多的开源治理经验和教训，同时也积极参与外部开源社区，贡献开源社区。

实际上，大多数企业第一个阶段都是使用开源，把开源软件运用于产品的研发过程中，为企业的产品开发和经营服务。企业在使用开源软件的过程中会发现，开源软件本身的合规和安全问题非常多，而且这些风险是必须要企业自己来承担的。这些开源软件绝大多数在企业里是没有专门的团队来进行守护的，也不可能将所有的开源软件都守护起来，那么在这样的场景下，企业如何高效地将这些使用到的开源软件合规和安全方面的风险降低，是否能通过内部开源的方式将这些开源项目以另一种研发模式进行异地/异步开发，将其守护起来？现在行业里也在讨论开源社区的项目是否能按照可信开源项目进行运营管理，以提升其合规性和安全性、降低相应风险。企业可以根据自己的实际情况进行选择。

开源雨林：贵司的开源治理单位是怎么组建起来的？这中间有没有什么挑战和困难？

开源治理涉及软件开发、经营的所有领域和过程，所以开源治理单位注定只能是一个虚拟的组织，从公司 OSPO 办公室，到开源治理领域的相关专家，直至覆盖到有软件开发的所有项目团队，有相关开源治理职责的团队成员至少有几百人。涉及的角色主要有：开源 COP 团队成员、过程改进专家、法务专家、产品/平台经理、研发代表、项目开源治理接口人、系统工程师、项目团队、开源软件守护项目/守护人、知识产权专家、IPR 经理、配置管理员、QA/PME、ECC、项目合规经理、安全团队、供应链团队、标准团队、开源贡献团队。

由于开源治理涉及面非常广，很难在一个组织内成立一个专职的部门来进行管理，所以从 2014 年开始，我们首先是在研究院层面建立开源治理团队，到 2016 年在公司层面成了开源 COP（Community of Practices：实践社区）团队，覆盖到公司所有使用到软件的产品和团队，逐步构建了一套覆盖 EAR（Export Administration Regulations，美国出口管理条例）合规、开源合规、产品安全和 GDPR（一般数据保护条例）在内，从市场商机到产品运维全过程的管控应对机制，以降低产品的合规 & 安全风险，提升客户使用我司产品的满意度和信任度。主要的挑战是如何有效地协调各方共同参与到开源的治理工作中来。

开源雨林：在开源使用方面，有没有一些比较有意思的事情或者挑战可以分享？

第一个挑战：企业用了多少开源软件？用了多少许可证？这些开源软件是怎么用的？这一块儿就非常难以回答；第二个挑战：如何把存量使用的开源管理好、合规使用好？第三个挑战：开源软件看不见摸不着，如何高效和有效地进行管理以配合开源软件的合规管控需要。

在这些场景下，要有一套行之有效的管理体系，能真实、清晰地了解企业到底用了哪些开源软件，这些软件在项目版本中是如何使用的。没有这些基础能力，做开源治理的效果肯定会大打折扣。此外，对于 License 的管理，我所看到的是大家都还停留在比较浅显的层面上。我认为还是要想清楚以上几点，也就是解决管理中 “ 我在哪里？” 的问题，并结合组织战略明确开源治理的目标，也就是 “ 我要去哪里？”，然后通过对标，才能提出开源治理过程中的改进需求，否则真的很难提出治理目标和每年的治理需求，也就难以入手治理了。

开源雨林：供应链管理方面，关于安全、合规的管理复杂吗？

复杂。一个产品一开始可能只需一个开发团队开发，后面随着组织规模扩大和产品多元化，就会提出平台化开发需求而变成多个项目组（产品、平台、组件）共同开发一个产品。开源软件的引进，软件开发逐步演变为以模块化、组装化、多元化的混源开发模式。但我们发现，公司内部团队直接开发的软件，一般会按照组织的研发管理要求，其合规性和安全性相对来说是有保障的，而引进的开源软件，由于开源软件的固有属性其合规性、安全性是不能保证的。

此外，项目组在外部引入的过程中，不仅会从开源社区引入，还会有一些商业软件、外包软件、开发软件、SDK 等第三方软件的引入，并成为产品组成的一部分。所以在引入上述第三方软件时，第三方组织是否理解开源合规，其在版本分发时的合规性和安全性能否得到保障，这个也是需要管控的。

市面上还有很多所谓的开放软件，我们在社区或者是公开的地方都能下载到，这些软件的风险也非常大。如果没有对开发人员的 “开源软件” 引入过程进行管控，这些软件就很容易地被引入进来，但其往往都存在开源合规和安全的风险。

所以我认为要想把它做好，需要将引入、使用、治理和应对等方方面面的“管控漏洞”建立起一套有效的管理体系，对所有开源软件和第三方软件进行全生命周期管理。而这些开源软件和第三方软件的全生命周期管理，由于不同的类别在企业里其引入时涉及的领域、部门都不相同，相应的流程要分别去梳理和建立，过程会很复杂，比较难实现。

开源雨林：中兴通讯在开源治理方面这么多的经验，有没有考虑将实践经验及理念对外界做分享呢？

大家都知道开源要做合规和安全的管控，也有很多企业会做一些优秀实践的分享，我认为还是要根据自身的实际情况以及特有的流程，结合自己的实践，才能真正有效地落地。

中兴通讯近几年来，积极参与国际国内开源社区、标准化组织的各种分享、标准制定工作，特别是有关开源治理方面的经验和理念的分享已经有很多。

开源雨林：对 TODO Group 的期望?

其实很多做软件开发的企业，我觉得他们在不同场景下遇到的问题应该和中兴通讯、华为、甚至国外头部企业遇到的问题是一样的，所以在参与国内社区，以及国外的一些 TODO Group 时，大家在实际治理过程中遇到的问题，这些问题出现后是怎么解决或者如何将问题风险降低的，互相之间都有一些参考价值，所以期望 TODO Group 能够积极收集治理过程中的问题和治理实践，多多提供协作、交流分享，互相学习的机会。

开源雨林：对国内企业开源治理的未来发展有什么期望？

开源治理的要求不是外部强加到项目或者企业身上额外的负担，而是整个行业发展到一定程度后市场的必然需要，是企业健康长久经营和发展的必然选择。企业经营是原生的动力。从企业经营者角度看，企业内部合规和安全的治理，要围绕着企业的经营来。所以如何构建一个环境，从要我做到我要做，这是我希望能看到的期望，这样我国的软件企业才更有竞争力，我们大家也能更放心地使用软件产品。

开源雨林：您对开源雨林有什么建议，接下来期望开源雨林做哪些事情？

希望开源雨林能够成为开源治理生态的播种机。现在很多做软件开发的企业，他们的项目管理、流程控制这些是比较弱的，引进开源软件后，靠原来粗放式的管理是很难达到效果的。希望开源雨林能够成为开源治理生态的播种机，把该怎么做的这一套机制进行播种，在国内企业里生根发芽。

开源雨林围绕开源通识、开源使用、开源贡献三大方面构建知识体系，愿把长期积累的经验系统化分享给企业，在团队、机制、项目三方面提供合作，推动各企业更高效地使用开源、贡献开源，提升全行业开源技术与应用水平。

开源雨林的内容已开源，并托管在 https://github.com/opensource-rainforest ，欢迎通过 Pull Request 的形式贡献内容，通过 Issue 的形式展开讨论，共同维护开源雨林的内容。

欢迎关注“开源雨林”公众号，获取最新、最全的消息。