隨著DevOps、云計算、人工智能、平臺工程等各種新思想及新技術(shù)逐漸得到眾多企業(yè)的認可，這些新技術(shù)也推動社會從信息化向數(shù)字化演進，而在整個演進的過程中，所需的技術(shù)體系構(gòu)建需要海量的知識與技術(shù)能力的支撐。開源（Open Source）以開放、平等、協(xié)作和共享的模式，加速技術(shù)迭代升級，逐漸形成技術(shù)主流。開源可以突破技術(shù)壁壘，推動技術(shù)創(chuàng)新；但也因為生態(tài)的多樣性與不確定性，導(dǎo)致更多的不穩(wěn)定因素的引入，提高了問題與風(fēng)險發(fā)生的概率，給企業(yè)帶來機遇的同時也帶來了多重挑戰(zhàn)。因此，如何進行有效地治理，成為目前企業(yè)亟需解決的問題。

01. 開源治理面臨的風(fēng)險

從目前的發(fā)展形勢來看，開源應(yīng)用主要面臨的風(fēng)險為：管理風(fēng)險、技術(shù)風(fēng)險、安全風(fēng)險及合規(guī)風(fēng)險。

1）管理風(fēng)險

開源應(yīng)用相較于傳統(tǒng)應(yīng)用有著更為復(fù)雜的供應(yīng)鏈，而在使用過程中，通過各種組合、依賴等形成了錯綜復(fù)雜的供應(yīng)關(guān)系，而使用者往往很難直觀地理清其中的脈絡(luò)。同時，企業(yè)因缺乏體系化的治理理念，導(dǎo)致全生命周期缺乏有效的管理規(guī)則及對應(yīng)的管理手段，如：權(quán)責不清、引入及退出機制不夠完善、分析評估權(quán)重合理性存疑、合規(guī)性檢查缺乏時效性、錯綜復(fù)雜的關(guān)聯(lián)依賴關(guān)系缺乏有效記錄等。從而導(dǎo)致治理工作難以覆蓋使用過程中的方方面面，使整個管理風(fēng)險無限放大。

而其中最具代表性的是開源應(yīng)用的多版本管理，從最初的版本到最新的版本可能都會存在使用，從而導(dǎo)致收斂度差，關(guān)系混亂。當出現(xiàn)漏洞時，為了明確哪些資產(chǎn)受到影響，往往需要使用人力去排查、統(tǒng)計及追溯，導(dǎo)致效率低下，且準確性、時效性、全面性都無法得到有力保障。

2）技術(shù)風(fēng)險

首先，從目前開源的類型來看，開源應(yīng)用包含產(chǎn)品、組件、框架、工具、代碼等多種類型，涉及軟件開發(fā)、云服務(wù)、數(shù)據(jù)服務(wù)等諸多領(lǐng)域，因為更新迭代快，相互之間存在錯綜復(fù)雜且隱蔽的依賴關(guān)系，從而給企業(yè)的自主掌控、運行維護帶來巨大的挑戰(zhàn)；其次，由于很多開源應(yīng)用是獨立開發(fā)者憑興趣開發(fā)與支撐，沒有商業(yè)盈利模式，從而無法保障安全與可靠性；再次，在使用過程中，企業(yè)因為更多的是外部采購，無法控制供應(yīng)商對開源技術(shù)的引用，而自身技能儲備不夠，存在配置不當，導(dǎo)致運行故障，從而影響系統(tǒng)的正常運行，引發(fā)一系列的業(yè)務(wù)震蕩問題。最后，日益復(fù)雜的國際形勢也對很多開源軟件的國內(nèi)外供應(yīng)鏈帶來較大影響。

3）安全風(fēng)險

開源應(yīng)用從出生起就秉持“開放、共享”精神，因其開放的特性，在安全性上天然不足，而從業(yè)者的素質(zhì)參差不齊，產(chǎn)品質(zhì)量良莠不齊，導(dǎo)致漏洞更容易被發(fā)現(xiàn)并被利用，甚至?xí)霈F(xiàn)惡意代碼、被人惡意“投毒”也見怪不怪，這也正是很多開源軟件提出免責聲明的重要原因。因此，在企業(yè)引用開源應(yīng)用后，如不能精準掌握并及時修復(fù)對應(yīng)的漏洞，就會把漏洞流入到生產(chǎn)環(huán)境，從而成為被滲透、攻擊的對象，引起服務(wù)中斷、數(shù)據(jù)泄露等嚴重事故，如何解決安全風(fēng)險也必將成為開源治理的重中之重。

4）合規(guī)風(fēng)險

開源應(yīng)用雖然代碼是對外公開的，但是同樣受開源許可協(xié)議的保護，開源許可證一樣是具有法律效力的合同。因此，在使用開源應(yīng)用的時候，需要清晰了解許可證的使用范圍。但是，因開源背后的許可問題專業(yè)性較強，而企業(yè)往往因為生存壓力、業(yè)務(wù)發(fā)展需求，以及提供業(yè)務(wù)應(yīng)用的供應(yīng)商能力高低不一，無法提供完整的使用清單，許可問題極易被忽略。稍有不慎就會讓使用開源應(yīng)用的企業(yè)面臨法律合規(guī)風(fēng)險，引起知識產(chǎn)權(quán)糾紛，甚至被迫開放代碼，給企業(yè)帶來不可估量的損失。

02. 體系建設(shè)最佳實踐

對開源應(yīng)用進行治理已逐漸成為各行各業(yè)的共識，嘉為藍鯨作為業(yè)界領(lǐng)先的數(shù)字研運解決方案品牌，以“安全、合規(guī)、高效”為基本原則，結(jié)合開源治理方法論，從組織架構(gòu)、管理體系、工具平臺等方面構(gòu)建開源治理體系，開展開源治理的探索，逐步形成一套開源應(yīng)用管理和使用的最佳實踐。

1）組建管理機構(gòu)，明確分工權(quán)責

首先，可以根據(jù)企業(yè)自身發(fā)展需要，成立對開源治理的組織（實體、虛擬都可），統(tǒng)籌規(guī)劃治理體系，同時協(xié)調(diào)架構(gòu)、運維、安全、質(zhì)量與配管等過程管控團隊，依據(jù)“誰引入、誰負責”及“誰使用、誰保障”的方針原則，結(jié)合軟件產(chǎn)品全生命周期理念，制定開源應(yīng)用全生命周期管理辦法，并按照各管控團隊特性，分工制定對應(yīng)的規(guī)范、量化規(guī)則及評估模型。

其次，組織運行機制上設(shè)立管理方、評審方、使用方；管理方統(tǒng)籌規(guī)劃治理流程、維護標準、方案實施決策與仲裁、同時推動治理工作；評審方為各方技術(shù)專家組成的評審團隊，負責引入評審工作及制定對應(yīng)的評估機制、評估規(guī)則，同時負責日常問題解決、持續(xù)改進、技術(shù)決策等技術(shù)性工作；使用方一般為項目方，負責發(fā)起引入申請、完成使用中的漏洞處理和其他日常性功能事務(wù)。

最后，建議在評審團隊中引入法務(wù)人員對合規(guī)性進行研究，并提供法務(wù)支持。同時，為了確保業(yè)務(wù)發(fā)展的安全性，應(yīng)引入安全及質(zhì)量人員，負責識別和跟蹤安全漏洞，提出解決方案，避免造成嚴重的安全風(fēng)險。

2）制定管理制度，規(guī)范使用流程

科學(xué)、完備的管理制度是體系建設(shè)的前提條件，因此，構(gòu)建合理、可執(zhí)行的開源治理體系需要從制度與規(guī)范開始設(shè)計，確立規(guī)范以支撐制度落地，健全制度以保障規(guī)范嚴格執(zhí)行，確保全生命周期做到“有法可依”。在制度層面，需要制定覆蓋開源應(yīng)用全生命周期的管理規(guī)程，對開源應(yīng)用的引入、使用、更新、退出全流程提出明確的規(guī)定，以保障引入的開源應(yīng)用處于安全可控范圍；同時，也需要制定對應(yīng)的緊急處理流程，建設(shè)“逃生通道”，以確保在風(fēng)險發(fā)生時可以及時處理，將風(fēng)險扼殺在萌芽。在規(guī)范層面，需要結(jié)合企業(yè)自身特色，制定對應(yīng)的選型依據(jù)、評分標準、漏洞定級、檢測方式等多維度的執(zhí)行標準。

除此之外，還需要打通全生命周期數(shù)據(jù)鏈。全過程數(shù)據(jù)聯(lián)動，以此來建設(shè)從引入到運營的關(guān)聯(lián)關(guān)系可視化視圖，提升追溯能力；同時建立從引入到運營管理節(jié)點的負責機制，落實責任，進一步提高引入及運營管理的質(zhì)量。

3）融合管理規(guī)范，建設(shè)管理平臺

體系化的開源治理，將“安全、合規(guī)、高效”作為整個建設(shè)的頂層戰(zhàn)略目標。為了實現(xiàn)這個目標，除了需要完備的管理制度，規(guī)范化的流程，用來落地實踐的工具平臺也是必不可少的。制度、流程、平臺三者應(yīng)該相輔相成，相互閉環(huán)，形成三位一體的立體化開源治理體系方案（如圖1）。具體體現(xiàn)如下：

• 用制度規(guī)范流程，避免出現(xiàn)管理錯位，可以做到“有法可依”；
• 將流程融入平臺，平臺固化流程，在實現(xiàn)可視化與自動化的同時，也提高溝通效率；
• 用流程支撐制度、規(guī)范的落地，使制度、規(guī)范具象化，在保障制度落地不出現(xiàn)偏差的同時，也使管理有“抓手”；
• 制度與規(guī)范相互支撐，按照制度打造符合的平臺，同時將制度中的規(guī)則進行量化落地在平臺中，持續(xù)推動平臺；
• 平臺根據(jù)實踐驗證制度的準確性，持續(xù)完善制度，最終形成閉環(huán)，使開源治理體系在企業(yè)內(nèi)部形成“內(nèi)循環(huán)”以保障業(yè)務(wù)的持續(xù)發(fā)展。

為了使上述管理架構(gòu)、規(guī)范制度真正落地，持續(xù)提升開源治理能力，建議圍繞資產(chǎn)庫打造“1+2+3”整體解決方案。即：1個統(tǒng)一資產(chǎn)庫（由1個前置子庫，1個過程子庫，1個生產(chǎn)子庫組成1個虛擬統(tǒng)一資產(chǎn)庫），2個生命周期（開源治理生命周期、軟件研發(fā)生命周期），3個核心工具平臺（DevOps平臺、安全工具平臺、流程管控平臺）。其中最重要的資產(chǎn)庫架構(gòu)設(shè)計如圖2。

使用統(tǒng)一的資產(chǎn)庫的目的在于結(jié)束重復(fù)建設(shè)后帶來的管理混亂，同時達到資產(chǎn)統(tǒng)一管控的目標，統(tǒng)一資產(chǎn)庫收納的資產(chǎn)內(nèi)容主要包含：自研、開源、供應(yīng)商提供的資產(chǎn)；各資產(chǎn)庫作用如下：

• 前置庫：企業(yè)內(nèi)部私有庫，用來存儲所有引入的開源應(yīng)用；
• 過程庫：應(yīng)用研發(fā)過程庫，用來存儲研發(fā)過程中需要的依賴、原生鏡像、開源組件；同時用來存儲研發(fā)過程半成品、送測制品及準出制品等版本的制品；并承擔將上線的制品推送到生產(chǎn)庫，用于對外發(fā)布；
• 生產(chǎn)庫：主要用于存儲兩部分內(nèi)容，一是用于發(fā)布的上線制品；二是用于存儲運維管理的各類鏡像、工具等；
• 備份庫：用于備份生產(chǎn)庫，按照相關(guān)法規(guī)保存對應(yīng)的時長（6個月到3年）。

① 前置庫設(shè)置在DMZ區(qū)域，用來聯(lián)通外部源，各類型庫啟用臨時庫，當外部的應(yīng)用需要進入前置庫的時候，先進入臨時庫，并通過安全、質(zhì)量、合規(guī)（開源常見協(xié)議許可請參考圖3）相關(guān)檢測工具進行檢測，同時，由評審團隊對引入的開源應(yīng)用進行評審，通過后進入正式庫；并將對應(yīng)的開源應(yīng)用加入清單。

② 過程庫主要用于保障研發(fā)過程的需求，依賴庫直接將代理指向前置庫；同時在使用過程中，對接相關(guān)工具平臺，對于依賴及依賴間的組合進行檢測，并生成對應(yīng)的關(guān)聯(lián)依賴圖，保障整個制品包的穩(wěn)定可靠；

③ 當上線申請通過后，由流程自動將過程庫中的上線制品推送到生產(chǎn)庫，保障后續(xù)上線及升級。并將對應(yīng)的服務(wù)器信息反饋到資產(chǎn)庫，通過資產(chǎn)建立對應(yīng)的關(guān)聯(lián)關(guān)系，便于后期風(fēng)險排查及追溯。

同時，建議各資產(chǎn)庫按照開源類型進行分類，各類型庫分類存儲的開源應(yīng)用類型如圖4。

為了實現(xiàn)開源治理從“引入、使用、退出”全生命周期的管控，同時為了提高整體治理效率，建議將整個治理過程按照研發(fā)生命周期階段進行劃分及對應(yīng)；通過流程進行結(jié)合，將整個治理能力嵌入端到端研發(fā)過程中，進行分類、分階段管控，從而實現(xiàn)安全、高效的管理；同時按照引入的內(nèi)容建立內(nèi)部的關(guān)聯(lián)依賴關(guān)系，便于在出現(xiàn)問題后的快速追溯及定位。

整個實現(xiàn)過程為：

① 引入：起始點對齊研發(fā)生命周期的設(shè)計階段，開源應(yīng)用的引入，需要架構(gòu)團隊主導(dǎo)，聯(lián)合安全、質(zhì)量、運維依據(jù)相關(guān)規(guī)范及開源應(yīng)用清單進行評估，確保引入的開源應(yīng)用的安全可靠；

② 使用：各引入團隊按照自身需求，使用對應(yīng)的開源應(yīng)用；借助DevOps平臺流水線在實現(xiàn)活動標準化編譯的同時，采用統(tǒng)一的資產(chǎn)庫，確保來源合法性與唯一性。同時在流水線不同環(huán)節(jié)加入檢測及門禁功能，確保最終版本的安全與穩(wěn)定；

③ 退出：退出的前提是不能影響業(yè)務(wù)的正常運行。因此，在不降低業(yè)務(wù)連續(xù)性的影響的前提下，首先在有突發(fā)風(fēng)險時，應(yīng)先使用防護硬件及工具做緩沖，減輕集中的升級壓力，避免引起不可預(yù)期的風(fēng)險；然后按照業(yè)務(wù)系統(tǒng)重要程度、升級難度及可能受攻擊面的大小進行評估后按計劃升級；其次需要定時定期地組織專家團隊，從開源應(yīng)用使用情況、歷史漏洞情況等多方面對已在用的開源應(yīng)用進行綜合評估，并聯(lián)合研發(fā)、配管等職能團隊制定退出計劃，推動應(yīng)用升級，并將退出的軟件加入對應(yīng)的黑名單。達到清理存量、管住增量的目標，同時逐步向統(tǒng)一化演進。

流程是管理制度現(xiàn)實的保障手段，嚴謹、科學(xué)、符合發(fā)展的開源治理流程可以有效地降低沖突、控制風(fēng)險，開源應(yīng)用生命周期管理所涉及的引入、使用、退出流程建議按照最新的價值流理念，將流程中有價值的活動進行組件化，便于后期靈活適配與標準化；因此，流程大致上應(yīng)該包含：引入、檢測、審核、查詢、上傳/同步、下載/引用、清退等活動。而引入流程建議參考圖5。

03. 實現(xiàn)階段及過程

為了實現(xiàn)“安全、合規(guī)、高效”的目標，將整個治理過程分成三個階段進行。

第一階段管理機制建設(shè)；包括組織級團隊建設(shè)與規(guī)章制度建設(shè)

• 組織級團隊建設(shè)：主要是建立專門的管理團隊，同時劃分權(quán)責，協(xié)調(diào)其他項目級管理職能團隊共同開展治理工作；
• 規(guī)章制度建設(shè)：主要是編制規(guī)范制度、標準流程、計劃制定、存量資產(chǎn)梳理、工具平臺建設(shè)、準入、準出管控規(guī)則等。

第二階段：能力建設(shè)；主要包含基礎(chǔ)能力、平臺能力、過程能力建設(shè)

能力建設(shè)應(yīng)以場景建設(shè)為出發(fā)點，逐步在各領(lǐng)域建設(shè)構(gòu)建治理能力；以“以點帶面，橫縱結(jié)合”的方式，逐步從試點到推廣分步走，同時與開發(fā)、安全、質(zhì)量、合規(guī)、運維等多部門配合，確保平臺建設(shè)方案落地，給治理工作提供平臺支撐。

• 基礎(chǔ)能力建設(shè)：主要為依據(jù)規(guī)章制度，對整體流程進行分解，對其中有價值的活動進行提取、組合，實現(xiàn)流程可視化；
• 平臺能力建設(shè)：包括建設(shè)統(tǒng)一資產(chǎn)庫、DevOps平臺、安全工具平臺、知識庫等支撐能力的建設(shè)；
• 過程能力建設(shè)：流程與工程相融合，安全與質(zhì)量掃描工具與資產(chǎn)庫和DevOps平臺的對接、流程卡點與工程門禁的相互映射與互鎖等形成接口統(tǒng)一、數(shù)據(jù)標準統(tǒng)一的價值流閉環(huán)；同時，通過軟件成分分析、關(guān)聯(lián)互鎖等手段建設(shè)關(guān)聯(lián)圖譜。

第三階段：全場景覆蓋能力建設(shè)

逐步將開源治理工作從組織級往項目級管控轉(zhuǎn)變，將治理的具體工作通過賦能、規(guī)則等方式將職責與權(quán)限下放到項目級；同時覆蓋自研、供應(yīng)商、供應(yīng)商+自研等所有應(yīng)用場景。

04. 治理成效

從2022年6月到目前為止，嘉為藍鯨輔助某大型金融企業(yè)進行開源治理體系建設(shè)，已經(jīng)基本完成了企業(yè)級治理體系建設(shè)；并通過對組織架構(gòu)、規(guī)范化流程、管理平臺等方案的落地實踐，驗證了方案的可行性與可靠性，在確保了治理體系的高效運轉(zhuǎn)的同時，化解了開源應(yīng)用引入帶來的安全風(fēng)險，有力地保障了全生命周期管理過程可追溯、可度量、可評價。在整個建設(shè)過程中，累計清退開源應(yīng)用已超500個，總計完成200次以上的版本升級，消除潛在風(fēng)險隱患100余次。

然而，由于開源的特性，開源生態(tài)中良莠不齊，現(xiàn)有的安全漏洞無法全面涵蓋整個生態(tài)，存在明顯的局限性。同時也不能排除別有用心的個人和組織從源頭“投毒”，也給整個治理工作帶來了很多不確定的因素，出現(xiàn)了很多不可預(yù)料的狀況。盡管如此，但可視化的依賴關(guān)聯(lián)關(guān)系圖譜在應(yīng)對風(fēng)險時發(fā)揮了巨大作用。通過該圖譜，整個使用過程變得清晰可見，實現(xiàn)了真正的端到端聯(lián)動，并能在秒內(nèi)定位問題。這大大縮短了溝通時間，總計超過300小時，使整個治理工作更加高效。

05. 未來發(fā)展思考與探索

開源的技術(shù)發(fā)展日新月異，同時也是一個不斷演化的過程，也就導(dǎo)致了開源治理體系建設(shè)注定是一個長期而艱苦的過程。因此，一方面需要適應(yīng)新技術(shù)的迭代與變化，持續(xù)改進治理體系；另一方面，通過持續(xù)完善治理體系，加強規(guī)范化管理能力，提高應(yīng)用的整體安全可控性。可以進一步滿足業(yè)務(wù)發(fā)展需求，同時促進企業(yè)自動化、數(shù)字化的轉(zhuǎn)型需要。

隨著新技術(shù)的發(fā)展，AI、智能化的不斷演進，未來在開源治理體系中可以引入對應(yīng)的技術(shù)，通過風(fēng)控模型、態(tài)勢感知、大數(shù)據(jù)匹配、智能判斷等手段進一步促進開源治理體系的發(fā)展。