第2章:开源项目办公室(OSPO)的价值
概述
你的组织可能已经与开源建立了某种关系,即使它尚未意识到这一点。如今几乎所有的软件都包含开源组件,或者使用开源工具进行开发或托管。即使那些不开发软件的组织,通常也会使用包含开源组件的软件。
对于许多组织来说,如何通过积极管理与开源的关系来带来益处并降低风险是值得考虑的。正如前一章提到的,这涉及了解当前对开源的使用情况,然后评估如何更好地对其进行管理以支持组织目标。
本章将帮助你理解通过开源项目办公室(OSPO)管理开源可能为你的组织带来价值的领域。这将因每个组织而有所差异,因此了解你所在组织的战略和目标至关重要。
开源项目办公室(OSPO)的工作是了解开源能够为其组织带来价值的领域,并积极管理或监督所有相关活动。
根据《OSPO的商业价值》报告1,组织设立开源项目办公室(OSPO)的一些常见原因如下:
- 围绕开源构建标准化流程
- 学习如何与开源社区互动
- 拥抱开源项目的可持续性
- 管理合规性
- 扩大开放知识的获取
- 提高开发速度
- 减少安全风险
开源项目办公室(OSPO)如何增加价值?
如果你开发软件
这是一个常见且相对全面的OSPO例子,其他组织可能只需要考虑其中一部分问题。
有时,组织的利益相关者会认为他们的产品没有使用任何开源组件,因为他们的最终产品不是开源的。然而,当你审视整个软件供应链时,你会发现几乎所有的软件都包含开源依赖项或制品。如果从事这些开源项目工作的贡献者决定离开,该项目可能会变得过时,或者成为安全漏洞的目标。这会影响到组织使用或销售的任何软件,并可能直接影响其声誉、性能或收入。
开源项目办公室(OSPO)可以通过了解并积极管理软件中开源组件的使用来提供帮助。
开源项目办公室(OSPO)如何提供帮助
管理漏洞: 开源项目的安全漏洞可能来源于开源自身的产品。跟踪组织如何使用开源项目以及对已识别项目进行风险评估可能会很困难。当您在组织内识别出关键项目时,您可以通过跟踪常见漏洞和暴露来优先确保它们的安全。通常,企业架构团队是跟踪应用程序和技术的开源组件的团队,而OSPO则提供专业知识。
了解供应链中的风险: 开源领域庞大且分散,很难识别各个项目的贡献者以及对已识别项目进行风险评估。这些因素使得组织很难准确评估风险,也难以理解软件、硬件、数据等的安全和质量标准。
与关键开源项目建立健康的关系: 使用开源的商业组织通常热衷于为他们使用的项目做出贡献。然而,由于自身产品需要按时交付功能的压力,当事情变得繁忙时,开源贡献可能会被搁置。即使大家都知道,从长远来看,向上游项目贡献功能和修复漏洞比维护项目的分支要省力,但组织往往为了短期利益而优化,不愿花费额外的精力将更改推向上游。
支持和影响关键开源项目: 你的组织可能处于一个很好的位置,能够为开源项目提供资源。这可以通过编码、专业知识或金钱捐赠来激励修复常见漏洞。与行业工作组合作以全面解决安全问题也是富有成效的。制定一个与组织战略一致并为开源项目提供价值的计划,是成为一个有帮助的社区成员的好方法。
弥合受监管流程和开源流程之间的差距: 开源是一个动态的生态系统,其贡献应该尽可能顺畅和自然地发生。在高度受监管的环境中,如金融公司和政府部门,所面临的漫长采购流程,为开源贡献和参与创造了障碍。
提高开源素养以确保高效益、低风险的方法: 在组织中参与决策过程、管理或政策制定的其他领域,可能不会认真对待开源的概念。这将需要持续教育并展示开源在组织中的风险和价值。
为了从开源中获得最大的益处并降低风险,组织必须在文化和实践层面投资于妥善管理开源运营。这通常通过开源项目办公室(OSPO)来实现,因为它在组织内培养了坚定的跨职能协作,以解决各个团队或部门遇到的开源问题。OSPO作为卓越中心运作。
如果你提供公共服务
开源项目办公室(OSPO)如何提供帮助
我们看到,越来越多的公共部门组织意识到开源项目办公室(OSPO)的价值,以实现其数字政策目标,更好地服务公民,并推动组织向实现这些目标的方向转型。
公共部门组织在管理其开源运营时面临着独特的挑战,包括需要遵守严格的法律法规,以及提供透明和可问责的运营的要求。开源项目办公室(OSPO)可以帮助政府和公共部门组织克服这些挑战。
提高合规性: 开源项目办公室(OSPO)有助于确保其开源运营符合相关法律法规,包括数据隐私法、采购法规和透明度要求。这有助于组织避免昂贵的法律和监管挑战,并保持其作为负责任的公共部门组织的声誉。
加强协作: 开源项目办公室(OSPO)有助于促进不同部门之间以及与外部利益相关者之间的协作,包括其他公共部门组织、开源社区和民间社会组织。这种增加的协作有助于组织获取更广泛的人才和资源,并开发更好的开源解决方案。
优化资源配置: 开源项目办公室(OSPO)有助于更有效地分配资源,确保开源运营得到充分支持,并为关键项目提供成功所需的资源。这有助于组织最大化开源技术的效益,并推动创新和增长。
提升服务交付: 开源项目办公室(OSPO)有助于提升公共服务的交付,通过使其能够采用创新且具有成本效益的技术,并与外部利益相关者合作开发更好的解决方案。这有助于组织为公民提供更好的服务,并满足社区不断变化的需求。
欧盟委员会的开源项目办公室(OSPO)启动了一个新的门户网站,该网站作为一个维基或知识库,为公共管理者提供有关OSPO相关主题最新进展的信息。该门户网站为有兴趣进一步了解OSPO相关主题的读者提供了各种资源,包括有用的研究、演示文稿、用例、指南等。可在本章末尾的“资源”部分找到网址。
作为一种文化影响
在一个由软件主导的世界里,开源项目办公室(OSPO)在组织内充当强大的文化催化剂。它们的作用不仅限于管理开源解决方案的技术整合,更通过促进开放协作、透明度和创新,从根本上转变组织文化。
随着组织越来越多地依赖开源来解决关键任务问题——无论是社会、经济还是技术问题——OSPO的文化影响力在重塑思维和工作流程方面变得至关重要。这种文化转变使组织能够超越仅仅将开源视为一种获取价值的资源,朝着成为更广泛的开源生态系统中的积极贡献成员的方向发展。通过在整个组织中嵌入开源的价值观和实践,OSPO培养了内部倡导者,建立了协作规范,并培养了一种知识共享蓬勃发展的文化。
这种文化转型不仅支持风险管理与创新,还确保了他们所依赖的开源社区的可持续性。若无OSPO持续的文化影响,组织可能会面临开源专业知识的流失、安全与法律漏洞的增加、社区参与度的降低以及声誉受损的风险。
开源是一种隐性的关键需求,而OSPO的文化影响对于推动组织文化的演变和知识的积累至关重要,有助于构建更安全、更可持续的开源软件(OSS)。
开源项目办公室(OSPO)如何提供帮助
作为顾问: 有时,战略方法只是意味着退后一步,花时间思考一些关于哪种参与模式适合特定项目以及组织应在每个项目中参与多深的棘手问题。还有何时对现有项目做出贡献而不是创建一个新项目才有意义的问题。进行这些战略层面对话的开源项目办公室(OSPO)能够为不同团队的工作人员提供指导方针,这样工作人员在尝试解决问题时就不必每次都考虑不同开源参与模式的商业影响了。
作为协调者: 开源项目办公室(OSPO)还在组织团队与决策者对开源的兴趣以及开源社区的需求之间发挥着某种“翻译”的作用。他们还帮助组织应对与开源社区有效且健康地互动所需的文化、流程和工具方面的变化。
作为倡导者: 开源项目办公室(OSPO)可以在不同组织单位中推广开源及其最佳实践的使用。这有助于组织实现开源的益处,以及吸引人们为开源项目做出贡献或启动新的项目。
作为开源生态守护者: 开源项目办公室(OSPO)可以通过解决安全、维护和项目健康等问题,帮助组织长期支持和维持开源项目。这有助于确保开源项目长期保持健康状态,并继续惠及更广泛的社区。
作为看门人: 开源项目办公室(OSPO)可以帮助执行开源政策并加强开源治理。这有助于组织确保合规并降低开源安全风险。
作为向去中心化开源管理模式过渡的中间步骤
开源项目办公室(OSPO)有助于将开源作为一种持续的活动进行管理,并努力将其很好地整合到组织的所有单位中。一些组织正在更进一步,将其常规结构和功能内开源的全面管理承担起来。有一个开放性的问题与OSPO是否会成为实现这一目标的中间步骤有关。
答案取决于你如何看待开源项目办公室(OSPO)。除了OSPO可以拥有的多种不同结构外,它从根本上来说是关于其人员的。OSPO是一群开源领域的专家,提供与所有开源活动相关的支持、知识和管理。随着更多开源的整合不可避免,这些人员不仅必须被保留,还必须得到加强和有效地资助,以应对未来。
在理想情况下,开源知识、技术专长和文化应该像其他员工技能一样被整合。然而,现实情况是距离实现这一目标还有很长的路要走。目前,找到能够有效弥合开源社区和特定工作单位(例如:安全、法律和业务)之间差距的开源专家已经很有挑战性,更不用说在业务的每个部分都安排足够的人了。
然而,在未来几年中,可能会发生变化的是对开源项目办公室(OSPO)的集中式观点。这种传统观念可能会逐渐减弱,从而导致团队和业务单位之间出现更分散的结构。
[来源:OSPO,开源可持续性的关键杠杆]1
在组织里实践 OSPO
评估开源的使用的价值
组织可能会低估它们已经对开源的使用有多大的依赖。有几项研究分析了行业对开源软件(OSS)的使用情况。例如,《2024年Synopsys开源安全与风险分析报告》2发现, 平均软件项目由77%的开源软件组成。此外,哈佛商学院的一项研究3估计,广泛使用的开源软件的供应侧价值为41.5亿美元,而需求侧价值则大得多,达到8.8万亿美元。此外,OpenForum Europe的一项研究4估计,开源软件对欧盟国内生产总值的贡献在650亿到950亿欧元之间,并为该地区的数字经济提供了显著的增长机会。
通过采取以下步骤来评估您自己组织的这一价值:
收集有关开发和运营团队使用了哪些开源软件(OSS)的信息。
了解你购买的商业软件或使用的服务中包含哪些开源组件。例如,你可以要求供应商提供他们使用的开源软件清单,即软件物料清单(SBOM)。
通过评估如果用商业替代品替换当前开源软件会花费多少成本来评估当前开源使用的成本节省。
评估使用现有的开源组件如何能够提高创新速度或工程敏捷性。
考虑你的开源项目办公室(OSPO)未来可能带来的价值
随着组织战略和目标的变化,开源项目办公室(OSPO)对组织的价值可能会随时间增加。OSPO应定期审查其对组织的价值,并在需要时计划提高其成熟度级别。有关OSPO成熟度的更多信息可在介绍成熟度模型主题的第3章找到。
与利益相关者沟通
在向组织传达开源项目办公室(OSPO)的价值时,最佳途径是提出与组织战略最明确一致的2-3个价值领域。OSPO可能在许多其他领域也增加了价值,但研究表明,冗长的利益清单会削弱商业案例,而不是加强它(你可以在网上搜索“弱论证效应”以获取更多信息)。努力制定一个清晰、有说服力的简短价值主张,使其能够突出重点,并将其作为在所有情况下介绍OSPO的锚点。
不要依赖一般的“最佳实践”论点。尽管这些论点可能基于事实,但通常不太有说服力,也不利于在组织内建立强大的认同感。
不要依赖开源项目办公室(OSPO)满足未来可能的需求来体现其价值。做好准备固然很好,但如果没有什么明确的即将启动的项目能用得上OSPO的帮助,那么最好还是专注于OSPO当下能够提供的价值。
OSPO 价值示例
为了说明你的开源项目办公室(OSPO)如何为你的组织带来价值,一些示例故事可能是建立认同感的好方法。以下是两个OSPO可能至关重要的示例:
管理软件供应链中的漏洞
例如:一次社交工程攻击针对了xz/liblzma5,这是一个重要的开源库。该攻击经过精心策划,在发动恶意攻击之前先在社区中赢得信任。这一事件是被一个无关的项目偶然发现的,这突显了此类漏洞的复杂性和隐蔽性。开源项目办公室(OSPO)面临的挑战在于识别并缓解这些漏洞,这些漏洞并非总是在发生后才显现出来。尽管存在既定的程序和政策,OSPO认识到需要有机制来主动衡量并应对这些威胁。
开源项目办公室(OSPO)如何提供帮助
准备好符合软件物料清单(SBOM)合规性: 确保所有软件组件都通过自动生成的软件物料清单(SBOM)进行了记录。这种记录有助于在披露漏洞后快速识别可能被篡改的组件。
自动化安全检查: 实施自动化安全检查,例如OpenSSF Scorecard6,以持续评估项目的安全状况。这种主动措施可以突出显示需要进一步调查的漏洞或异常情况。
组建计算机应急响应小组(CERT) 在组织内设立计算机应急响应小组(CERT),并让开源项目办公室(OSPO)与之密切合作。这个专业团队应该配备有应对安全事件的工具和权力,以便能够迅速做出反应。团队内预先建立的关系有助于快速进行内部沟通,评估事件的严重性。
评分卡管理: 保持安全和漏洞评分卡的更新。这些评分卡应反映最新的安全检查和评估结果,有助于在危机期间快速做出决策。
自动化反馈循环: 开发良好的自动化反馈循环,用于报告和修复漏洞。了解谁负责解决特定漏洞,并确保此过程尽可能自动化,可以显著减少响应时间。
管理软件供应链中的许可变更
开源项目办公室(OSPO)面临着应对许可变更和评估软件可信度的挑战。当像Redis这样的项目变更其许可条款7时, 这可能会对使用、分发和贡献产生重大影响。OSPO需要清晰地传达这些变更,并理解新许可条款所规定的角色和责任。此外,OSPO还负责评估软件的可信度,这可能会因项目是由单一供应商维护还是由基金会托管而有所不同。例如,AlmaLinux操作系统基金会8就是一个案例,将项目捐赠给基金会减轻了与单一供应商治理相关的风险,从而增强了对该项目的信任。
开源项目办公室(OSPO)如何提供帮助
- 关于许可影响的教育倡议: 开发教育材料和组织内部培训课程,帮助开发人员和用户了解不同许可证的细微差别。这种理解将帮助他们在使用或贡献开源项目时做出明智的决策。
- 明确的许可条款: 与法律团队合作,确保许可条款尽可能明确且不含糊。清晰的条款有助于避免误解和潜在的法律冲突。
- 软件信任评级系统: 实施一个系统来评估和评定软件的可信度,考虑诸如治理结构、维护实践以及社区参与等因素。由于监督和治理的存在,由知名基金会托管的项目在可信度上可能会得到更高的评级。
- 鼓励基金会托管项目: 倡导将项目捐赠给基金会,以减轻与单一供应商控制相关的风险。突出像AlmaLinux这样的成功案例,来说明这种方法的好处,例如增加信任和社区支持。
- 在许可决策中让利益相关者参与: 让包括开发人员、法律顾问和最终用户在内的广泛利益相关者参与关于许可变更或新项目采用的讨论。他们的见解有助于做出与组织的价值观和风险承受能力相一致的平衡决策。
可能遇到的问题及应对方法
在本节中,你可以找到一系列在组织中进行开源管理时遇到的真实场景。对于每个场景,你都可以找到来自开源专业人士的真实经验中的建议。
问题
如果整个组织对开源实践缺乏了解该如何进行?
建议
如果组织对开源缺乏了解,那么展示开源项目办公室(OSPO)的价值可能会很困难。专注于谈论你的关键价值领域,并利用故事的力量,将帮助你迅速在组织内建立理解。分享关于你的组织如何使用开源的真实故事,以及分享OSPO如何拯救组织免受风险的警示故事,可以通过易于重复的叙述来教育人们。
随着时间的推移,你可以通过提供教育研讨会、创建易于获取的资源以及在不同部门建立开源倡导者来促进整个组织对开源实践的更好理解,从而培养一种开源素养的文化。
问题
如果开源项目办公室(OSPO)的价值被视为销售利润或营销工具,该如何处理?
建议
由于开源项目办公室(OSPO)在支持与开源社区和合作伙伴的关系方面发挥作用,因此销售和市场营销部门可能会认为这种参与对他们具有一定的价值。
作为OSPO,你只能通过时间的推移与第三方建立信任来履行你的职责。与销售和市场营销部门设定界限,并对那些可能降低你在生态系统中声誉的事情说“不”。努力在组织内部建立对OSPO作为组织数字、软件或IT战略的组成部分的理解,并突出那些促进开源最佳实践、促进技术创新并支持整个组织目标的工作。
问题
开源项目办公室(OSPO)的价值被视为次要的或可自由支配的,而不是组织核心功能的关键。
建议
这个问题的原因要么是开源项目办公室(OSPO)与组织的需求不一致,要么是OSPO没有很好地传达其价值。重新审视OSPO的价值,并计划你的沟通,以突出OSPO如何增强关键业务流程、推动创新并直接支持战略目标,从而将其作为组织运营框架的一个基本组成部分进行整合。
问题
开源项目办公室(OSPO)在获得高层支持和认同方面存在困难。
建议
高管需要一种特定类型的沟通方式。他们需要清晰了解组织中每个部分所扮演的角色和带来的价值。如果信息过于详细或模糊,或者主题过于专业,他们可能会难以理解。作为开源项目办公室(OSPO),你需要传达开源的战略价值以及OSPO在管理开源方面所做的工作。通过案例研究、成功故事或数字报告来展示明显的益处,可以帮助通过清晰简洁的展示来突出OSPO的举措与组织的关键优先事项相契合。
资源与脚注
资源
- Log4Shell真实漏洞示例: https://en.wikipedia.org/wiki/Log4Shell
- 开源与软件供应链-约翰·马克·沃克: https://opensource.com/article/16/12/open-source-software-supply-chain
- 策略:FINOS成熟度模型的终局-维克多·卢: https://docs.google.com/presentation/d/1jJtR6-fvU-dCrGq_gTm4P1Awv90oCu4RClj1919970A/edit#slide=id.g1ed9ae7029f_0_29
- 确保软件供应链安全:开源项目办公室(OSPO)的作用 —— 杰西卡·马茨: https://www.intel.com/content/www/us/en/developer/articles/community/securing-software-supply-chain-the-role-of-ospo.html
- 简单常见问题解答开源项目办公室(OSPO)指南-日本开源项目办公室特别工作组(OSPO SWG Japan): https://qiita.com/owada-k/items/017d1b98d0e437766bd0
- 《开源项目办公室(OSPO)的商业价值》报告-Linux基金会: https://www.linuxfoundation.org/research/business-value-of-ospo
- 《欧洲委员会开源项目办公室》- 欧盟委员会 Joinup: https://joinup.ec.europa.eu/collection/ec-ospo
- 公共服务应支持关键开源软件 - FOSSEPS: https://joinup.ec.europa.eu/collection/ec-ospo
- 《政府如何希望利用开源项目办公室(OSPOs)实现自我转型》- 西万·佩奇: https://joinup.ec.europa.eu/collection/open-source-observatory-osor/news/growing-case-ospos-government
- 《2022年开源安全与风险分析报告-新思科技》: https://www.synopsys.com/software-integrity/resources/analyst-reports/open-source-security-risk-analysis.html
- 开放技术 - 谢尔德、杰伦和科曼: https://www.researchgate.net/publication/254920512_Open_Technology#pf7
- 开源软件的利与弊 - 哈利勒·哈拉夫: https://medium.com/@kylekhalaf/the-pros-and-cons-of-open-source-software-d498304f2a95
脚注
《OSPO报告的商业价值》: https://www.linuxfoundation.org/research/business-value-of-ospo ↩︎
《新思科技2024年开源安全与风险分析报告》: https://www.synopsys.com/content/dam/synopsys/sig-assets/reports/rep-ossra-2024.pdf ↩︎
《哈佛商学院研究》: https://www.hbs.edu/ris/Publication%20Files/24-038_51f8444f-502c-4139-8bf2-56eb4b65c58a.pdf ↩︎
《欧洲开放论坛研究》: https://openforumeurope.org/publications/study-about-the-impact-of-open-source-software-and-hardware-on-technological-independence-competitiveness-and-innovation-in-the-eu-economy/ ↩︎
《针对xz/liblzma的社会工程攻击》: https://research.swtch.com/xz-timeline ↩︎
《OpenSSF记分卡》: https://scorecard.dev/ ↩︎
《Redis更改了他们的条款》: https://www.theregister.com/2024/03/22/redis_changes_license/ ↩︎
《AlmaLinux操作系统基金会》: https://thenewstack.io/jack-aboutboul-how-almalinux-came-to-be-and-why-it-was-needed/ ↩︎