【开源许可与版权工程】企业开源办公室（OSPO）与开源 PMO 建设

在本系列的前面章节，我们从许可证分类、Copyleft 工程边界一直讨论到 SCA（Software Composition Analysis，软件成分分析）与 SBOM（Software Bill of Materials，软件物料清单）。这些工具和规则落到企业里，终究要回答同一个问题：谁来管？

不是某一个架构师管，不是法务一个人管，也不是安全团队单独管。稍微大一点的企业，开源治理都会跨越工程、法务、安全、市场、公关、对外投资等多个职能。为了把这些分散的职责收拢到一条清晰的责任链，近十年全球范围内逐步形成了一种专门的组织形态——OSPO（Open Source Program Office，开源办公室）。

本文讨论 OSPO 的定义、职责矩阵、主要实践、成熟度模型，以及从零开始搭建 OSPO 的工程落地路径。

一、OSPO 是什么，从哪里来

1.1 定义与历史

OSPO 是企业内部设立的、统筹开源相关事务的组织单元。它的核心使命可以概括为三句话：

1. 让企业合规地使用开源软件：入站（Inbound）合规。
2. 让企业体面地向外贡献开源：出站（Outbound）合规与贡献质量。
3. 让开源成为企业的战略资产：而不仅仅是成本中心。

这一组织形态并非一夜之间出现。回溯历史，大致可以分成几个阶段：

• 2000 年代初期：IBM、Sun、HP 等公司开始系统性使用与贡献 Linux 内核，为此设立了内部的”Linux Technology Center（Linux 技术中心）“类组织。其核心职责偏向技术贡献与内核维护。
• 2005 年前后：Google 成立 Open Source Programs Office，这是业界最早使用 “OSPO” 这一命名的组织之一。其最初职责集中在对外贡献审批、Summer of Code 等社区项目的运营。
• 2010 年代中期：随着 Linux、Kubernetes、TensorFlow 等项目成为关键基础设施，Facebook、Microsoft、Netflix、Uber 等互联网大厂纷纷建立 OSPO，职责从单纯的贡献审批扩展到合规、品牌、标准化等多领域。
• 2018 年之后：TODO Group（Talk Openly, Develop Openly）在 Linux 基金会下作为伞形组织，开始系统性发布 OSPO 的参考资料、调查报告与成熟度模型，OSPO 作为一门”学科”才算真正定型。
• 2020 年之后：中国厂商密集成立类似机构——华为开源能力中心与开源委员会、阿里巴巴开源技术委员会、腾讯开源联盟、字节跳动开源委员会等。同时，开放原子开源基金会成立（2020 年 6 月），国内 OSPO 生态进入快速成长期。

需要澄清的一点：OSPO 不是一个职位，而是一组职能。在不同规模的企业里，它可能表现为：

• 一个虚拟团队：由工程、法务、PR 部门的兼职成员组成，定期开会。
• 一个全职小组：独立于具体业务线，直接汇报给 CTO 或 CLO（Chief Legal Officer，首席法务官）。
• 一个正式部门：有自己的预算、KPI、专属人头编制。
• 一个委员会加一个执行机构：决策层叫”开源委员会”，执行层叫”开源办公室”或”开源能力中心”。

无论组织形式如何，核心职能是稳定的。本章后面会逐一拆解。

1.2 TODO Group 与 Linux 基金会的推动

TODO Group 是 Linux 基金会旗下关注 OSPO 最佳实践的开放社区，成员包括 Google、Microsoft、Meta、Red Hat、SAP、华为等。其公开资料中与 OSPO 直接相关的核心产出主要有几类：

• OSPO 定义与范围文档：阐述 OSPO 是什么、为什么需要、覆盖哪些职能。
• OSPO 成熟度模型：给出阶段划分与关键指标。
• Open Source Program Management 参考课程：与 Linux Foundation Training 合作的免费课程 LFC102 “Open Source Program Management”。
• 年度 OSPO 调查报告：统计各地区、各行业、不同规模企业的 OSPO 采纳度与职能分布。
• OSPO Template 仓库：策略样板、流程样板、度量指标样板。

TODO Group 的主要贡献不是发明 OSPO，而是把分散在各家公司内部的经验沉淀为可复用的参考，让后发企业不必从零摸索。

Linux 基金会本身也通过 LF Research、LF Training、CNCF 等子机构推动 OSPO 标准化，包括：

• OpenChain 标准：ISO/IEC 5230，关注供应链许可证合规流程。
• SPDX 规范：SBOM 与许可证表达的事实标准。
• OpenSSF（Open Source Security Foundation）：聚焦开源安全的供应链治理。

在中国，开放原子开源基金会扮演类似角色。它在 2020 年由阿里巴巴、百度、华为、浪潮、360、腾讯、招商银行、中国移动等首批企业共同发起成立，目前托管了 openEuler、OpenHarmony、MindSpore、TDengine 等项目。开放原子围绕”贡献者—项目—基金会—企业”的多层结构，逐步建立了中国语境下的开源治理参考体系，并联合中国信通院（CAICT）等机构推出了一些评测与认证项目。

需要强调：虽然 TODO Group、OpenChain、开放原子等机构提供了丰富的参考，但它们都不替代具体企业的内部治理。标准是地图，OSPO 是司机。

1.3 OSPO 与相邻组织的边界

实际工作中 OSPO 最容易与以下几个组织混淆，有必要先画清边界。

OSPO 与法务部：法务部关注的是”法律风险”，OSPO 关注的是”工程可执行”。法务说”GPL 传染性较强，请评估”，OSPO 翻译成”我们的 SaaS 后端禁止引入 GPL v3 组件，CI 配置红灯规则拦截”。两者相辅相成但不重合。

OSPO 与信息安全部：安全部关注的是”漏洞、入侵、数据泄露”，OSPO 关注的是”知识产权与合规”。两者的交集是供应链安全：SCA 工具、SBOM、CVE 跟踪往往由两个团队共同建设，但职责归属需要在章程中讲清楚。常见做法是：扫描平台由安全工程拥有，规则配置与合规判定由 OSPO 拥有。

OSPO 与研发效能团队（DevOps/DevEx）：研发效能关注”开发者生产力”，OSPO 关注”治理合规”。两者的潜在冲突在于：治理越严，开发者体验越差；完全放开合规又不行。好的 OSPO 必须与研发效能团队协作，把合规规则融入研发工具链，尽量不增加开发者的显式操作。

OSPO 与公关/市场部：开源项目的对外传播、品牌叙事是 OSPO 与 PR 的共管地带。一般原则是：技术内容 OSPO 主导，传播渠道 PR 主导；对外署名权 OSPO 把关。

OSPO 与开源 PMO：在有的企业里叫”开源 PMO（Project Management Office）“，职能与 OSPO 基本重合。差异在于 PMO 偏项目管理视角（计划、里程碑、交付），OSPO 偏治理视角（合规、战略、生态）。两者可以合一，也可以分立。

二、OSPO 的职责矩阵

一个成熟 OSPO 的职责，大致可以分成五个象限：合规审计、贡献审批、开源孵化、社区关系与品牌、法务对接。下面的表格给出一个较为规整的职责矩阵，后面各节分别展开。

2.1 合规审计

合规审计回答一个最基础的问题：我们用的开源软件，用得对不对？

“对不对”至少包括四个维度：

1. 许可证识别：每一个引入的第三方组件，其许可证是什么；是不是我们允许清单里的许可证。
2. 许可证冲突：组件之间、组件与项目整体许可证之间是否有相互排斥（比如 GPL 与 Apache 2.0 的专利条款冲突，或 AGPL 引入到未公开的 SaaS 项目）。
3. 义务履行：是否按要求附上 NOTICE、License 文本、源码披露链接（若触发 Copyleft）。
4. 漏洞与出口：是否引入了高危 CVE 或受出口管制限制的加密组件。

从工程视角看，合规审计就是把 SCA 工具接入到 CI/CD 流水线中，并对高风险变更建立审批流。具体工具与原理在第 16 章 SCA、SBOM 与软件成分分析 已经展开，本章只强调 OSPO 的治理维度：

• 谁来定”允许清单”？不是工具定，是 OSPO 定，法务背书。
• 谁来裁定”高风险变更”？一线工程无法独立决定引入 GPL v3 组件，必须走 OSPO 审批。
• 谁来拥有 SBOM？SBOM 不是扫描报告，是对客户、对合作方、对监管机构的产品属性声明，归 OSPO 统一对外。
• 谁来跟进披露义务？发版时的 NOTICE 合集、第三方组件清单，是 OSPO 与发布工程的共同产出。

合规审计的度量指标示例：

• 覆盖率：多少比例的核心仓库接入了 SCA 扫描？
• 时延：发现高危 CVE 到升级完成的 P50、P95 时延。
• 违规密度：每百万行代码中的许可证冲突数量。
• SBOM 完整度：有完整 SBOM 的产品占发布总数的比例。

2.2 贡献审批

出站合规是 OSPO 最古老也最容易被忽视的职能。

员工以个人名义提交一行 PR 到 Linux 内核，看似是他个人的行为，但在多数国家的劳动法与知识产权框架下，这行代码的职务作品归属归雇主。如果企业没有事先对员工的出站贡献进行授权，可能引发两类风险：

1. 权属风险：企业后来发现这段代码里用到了未公开的内部算法，要求下游停止使用，但代码已经以 GPL 许可证进入内核，撤不回来。
2. 署名风险：员工以个人身份签了 CLA（Contributor License Agreement，贡献者许可协议），事实上代表了公司权属，构成 CLA 中”有权代表雇主签署”条款的违反。

为此，OSPO 需要建立一个出站贡献审批流程，一般包括：

• 事前登记：员工发起对外贡献前，向 OSPO 登记仓库、预期贡献内容、许可证与 CLA/DCO 机制。
• 快速审批：对低风险的文档、bug fix 类贡献，走快速通道（例如 1 个工作日内）。
• 重点审查：对核心代码、涉及内部专有算法的贡献，走二级审查，由法务与业务负责人联合签字。
• 记录留痕：审批结果进入内部知识库，方便事后审计。
• 周期复核：对员工长期维护的上游项目（如某员工是 Kubernetes 维护者），采用周期授权而非逐 PR 审批。

CLA 与 DCO 的工程差异、法律差异、如何选择，将在第 18 章 CLA、DCO 与贡献者协议 详细讨论。这里仅点出 OSPO 需要在两者之间替企业作出一次战略选择：对于自研项目，是采用 CLA（权属更清晰，但门槛更高），还是 DCO（低门槛，但权属较弱）？

2.3 开源孵化

开源孵化是 OSPO 从”成本中心”走向”战略中心”的关键。典型场景：

• 业务团队做了一个内部工具，觉得不错，想对外开源，求助 OSPO。
• 公司想把某个明星项目捐赠给基金会，以增强生态中立性，求助 OSPO。
• 集团想整合旗下多个 BU 的相似项目，成立统一的外部社区，求助 OSPO。

孵化职能的典型动作：

1. 价值评估：为什么要开源？目标是人才吸引、标准话语权、生态协同、还是对外品牌？
2. 合规预扫描：开源前把内部代码过一遍 SCA，清除残留的第三方污染与硬编码敏感信息。
3. 许可证选择：根据目标决定 MIT、Apache 2.0、MPL、GPL 或 Mulan PSL 2.0（木兰宽松许可证第 2 版）。
4. 治理模型设计：是 BDFL（Benevolent Dictator For Life，仁慈独裁者）、Meritocracy（英才制）、还是基金会托管？
5. 品牌与商标：项目名是否可注册、与现有商标是否冲突、是否需要把商标托管给基金会。
6. 发布准备：README、CONTRIBUTING、SECURITY、CODE_OF_CONDUCT、LICENSE、NOTICE 模板化。
7. 初始社区建设：首批 Maintainer 指派、CLA/DCO 接入、Issue 响应 SLA（Service Level Agreement，服务级别协议）。

对于有意向基金会捐赠的项目，还要配合基金会的孵化流程，例如 Apache Incubator、CNCF Sandbox/Incubation/Graduation、Linux Foundation Project、开放原子孵化项目等各自有独立的评审与路径。

2.4 社区关系与品牌

开源本质上是”把代码作为社交产品”。OSPO 需要承担 DevRel（Developer Relations，开发者关系）与品牌叙事职能：

• 对外叙事：年度开源报告、开源指标白皮书、项目生态报告。
• 开发者体验：开发者门户（developer portal）、官方示例、文档站、Sample 仓库。
• 布道与演讲：KubeCon、ApacheCon、COSCon、开放原子开发者大会等活动的议题投递与支持。
• Maintainer 培养：为内部员工成为上游项目 Maintainer 提供时间与资源。
• 社区运营：微信群、Slack、Discord、Matrix 等渠道的日常运营。

度量指标示例：

• GitHub Star、Fork、Contributor 数量（警惕刷数据）。
• 外部贡献者占比（External Contributor Ratio）。
• Bug 修复时延 P50/P95。
• RFC 从提出到合入的平均时延。
• 上游社区 Maintainer/Committer 员工人数。

2.5 法务对接

法务对接不等于 OSPO 直接做法务。OSPO 的角色是工程与法务之间的翻译器：

• 当工程发现一个 AGPL 组件，OSPO 需要评估业务场景、翻译给法务，再把法务意见翻译回工程侧的可执行规则。
• 当收到外部 License 违规警告信，OSPO 作为第一响应人组织合规复核、与法务协作起草回函。
• 当企业参与一个专利池（Patent Pool，如 OIN），OSPO 评估工程影响、组织签署流程。
• 当员工面临上游社区的 DMCA（Digital Millennium Copyright Act，数字千年版权法）下架通知，OSPO 是对接窗口。

法务对接的质量，决定了 OSPO 的”可执行性”。一个只会说”这个许可证不合规”却拿不出替代方案的 OSPO，很快会被业务绕过。

2.6 职责矩阵的 RACI 表达

上述五类职能在实际落地时，要进一步落到具体角色的 RACI（Responsible、Accountable、Consulted、Informed）表达。下面给出一份参考模板：

该矩阵仅供参考，具体企业应根据实际组织结构调整。关键原则是：每一个开源治理活动都必须有明确的”A（Accountable）“，即最终承责人，且同一活动只有一个 A。

2.7 KPI 与 OKR 设计

OSPO 的度量一直是难点。过度追求”定量”可能把 OSPO 逼向数字游戏（比如刷 GitHub Star），过度”定性”又容易沦为汇报文学。建议分层设计：

合规类指标（基线）：

• SCA 扫描覆盖率（核心仓库 / 全部仓库）。
• 红灯许可证违规数 / 万行代码。
• P0 CVE 从披露到修复的 P95 时延。
• SBOM 产品化覆盖率（对外交付产品中有完整 SBOM 的比例）。

贡献类指标（增长）：

• 员工对外贡献 PR 总数与合入率。
• 公司员工在上游关键项目的 Maintainer/Committer 数量。
• 对外发布新开源项目的数量。

生态类指标（战略）：

• 外部贡献者占比（External Contributor Ratio）。
• 新开源项目 12 个月存活率。
• 捐赠到基金会并成功毕业/孵化的项目数。
• 公司开源项目的下游使用案例数（公开披露）。

体验类指标（内部满意度）：

• OSPO 工单平均响应时延与满意度评分。
• 员工对开源政策的知晓率（通过年度问卷）。

一个实用的经验是：每个季度不要超过 8 个指标。多了就照不过来，决策反而瘫痪。

下面各小节列举国内几家大型科技企业公开披露的开源治理组织与实践。为避免以讹传讹，本节只引用企业官网、开放原子开源基金会公开资料、Linux 基金会与 TODO Group 公开报告等来源，不引入媒体二次解读的猜测性信息。

3.1 华为开源委员会

华为的开源治理在公开信息层面呈现为多层结构：

• 开源委员会：企业级决策机构，负责开源战略方向、关键项目投资方向、对外捐赠等重大决策。
• 开源能力中心：执行层，覆盖合规审计、工具平台、能力建设等。
• 各产品线开源 SPG（Sub Project Group）：落地层，在每个产品线内部驻守合规与贡献审批。

华为托管或主要贡献的代表性开源项目包括：

• openEuler（欧拉）：服务器操作系统，2021 年捐赠给开放原子开源基金会。
• OpenHarmony（开源鸿蒙）：分布式操作系统，2020 年捐赠给开放原子。
• MindSpore（昇思）：深度学习框架，捐赠给开放原子。
• openGauss：数据库。
• 大量 Apache、Linux Foundation、CNCF 项目的深度参与（如 Kubernetes、Istio、Karmada、Volcano 等）。

openEuler、OpenHarmony 的治理章程、TSC（Technical Steering Committee，技术指导委员会）章程等均在社区公开，可作为国内项目治理的参考范式。

3.2 阿里巴巴开源技术委员会

阿里巴巴在 2018 年前后公开成立开源技术委员会（Open Source Committee），统筹集团开源战略。其特点：

• 委员会制：由集团 CTO、各 BU 技术负责人、法务等组成，负责战略决策。
• OSPO 执行层：存在专门的团队负责合规工具链与流程。
• 项目池：阿里巴巴开源项目数量众多，官方开源站点 opensource.alibaba.com 做了统一索引。

代表性项目：

• Apache Dubbo、Apache RocketMQ、Apache ShardingSphere（部分贡献）、Apache Seata：多个已毕业于 Apache 软件基金会。
• Nacos、Sentinel、Higress：微服务治理生态。
• OpenYurt：CNCF Sandbox/Incubating 阶段。
• PolarDB 系列（部分开源）。
• Fluid：CNCF Sandbox。

阿里巴巴的公开实践中值得关注的一点：对”捐赠给基金会”的战略使用较为成熟，不少项目主动走 Apache Incubator 路径以换取生态中立性与长期可持续。

3.3 腾讯开源联盟

腾讯在 2019 年前后将开源相关组织统一为腾讯开源联盟，并在公开报告中披露了治理结构：

• 开源管理办公室（OSPO 定位）：统筹跨 BG（Business Group）开源事务。
• 开源合规平台：内部 SCA 与 SBOM 平台，支撑合规自动化。
• CODING 等开发者工具：对内对外同时提供。

代表性开源项目：

• TDengine（涛思数据与腾讯云合作场景中的投入）、TKEStack。
• TencentOS Tiny（嵌入式实时操作系统）。
• 腾讯云 TARS：微服务 RPC 框架，在 Linux Foundation 旗下成立 TARS 基金会。
• 腾讯云 Angel、ncnn、tntorch：AI/ML 相关。
• 大量 CNCF 项目的贡献与联合维护。

腾讯开源联盟的官网（opensource.tencent.com）对外披露了项目目录与贡献者故事。

3.4 字节跳动开源委员会

字节跳动相对较晚成立正式的开源治理组织，但节奏密集。公开信息显示：

• 开源委员会：2021 年前后公开成立。
• OSPO：统筹合规、贡献审批、开源布道。
• 开源战略：偏向基础设施与 AI，代表性项目包括 CloudWeGo（Kitex、Hertz 等微服务框架，已进入 CNCF Landscape）、Monoio（Rust 异步 runtime）、ByConity（OLAP 数据库，ClickHouse 分叉）等。

字节跳动的开源站（opensource.bytedance.com）做了项目索引。

3.5 百度

百度在国内较早将开源做成战略级议题，代表性工作：

• PaddlePaddle（飞桨）：深度学习框架，是国内最具影响力的 AI 框架之一。
• Apollo：自动驾驶开放平台。
• OpenEdge / BIE（智能边缘）：部分组件开源。
• 百度开源站 github.com/baidu 索引项目若干。

百度的开源组织对外公开信息相对少一些，但从其参与 OpenAtom、Linux Foundation AI & Data 的公开角色可以看出相应的治理能力。

3.6 蚂蚁集团

蚂蚁集团在开源治理方面的可见度也较高：

• SOFAStack：金融级分布式中间件（SOFABoot、SOFARPC、SOFAMesh 等）。
• SOFARegistry、SOFAJRaft、MOSN：底层组件。
• OceanBase（社区版）：分布式数据库，2021 年开源。
• OpenSumi：IDE 内核。
• KusionStack：云原生配置栈。

蚂蚁集团官方开源站 opensource.antfin.com 和 GitHub 组织列出了全部项目。蚂蚁在治理模型上公开探索”平台工程 + 开源”的结合，是较有代表性的样本。

小结

以上几家的共性：

1. 都区分了”决策委员会 + 执行办公室”两层结构。
2. 都建立了内部 SCA/SBOM 平台与合规流水线。
3. 都通过捐赠给开放原子、Apache、Linux Foundation、CNCF 来增强项目的生态中立性。
4. 都把 DevRel 与品牌叙事作为 OSPO 的重要 KPI。

差异点：

• 基础设施厂商（华为、阿里云、腾讯云）更关注”平台级项目 + 基金会捐赠”。
• 互联网厂商（字节、百度）更关注”工程框架 + 开发者生态”。
• 金融背景厂商（蚂蚁）更关注”合规工程 + 金融级可用”。

这些实践都是 OSPO 学习的样本，但直接照搬到中小企业未必合适。下一节讨论最小可行 OSPO。

3.7 其他值得关注的样本

除上述企业外，国内还有若干公开开源治理实践值得参考：

• 美团：代表性开源项目包括 Leaf（分布式 ID）、Doris（OLAP 数据库，已捐赠给 Apache，毕业为顶级项目）、Dianping/Cat（应用监控）。
• 京东：代表性项目包括 ShardingSphere（早期贡献，后捐赠给 Apache 并毕业）、JDL/JoyLive。
• 滴滴：代表性项目包括 Apollo（配置中心，与携程同名）、DDMQ、LogiKM。
• 网易：Kyuubi（Apache 顶级项目）、Curve（开放原子项目）等。
• 招银/招商银行：作为金融行业代表，公开参与开放原子、Finos 等生态，且在 OCP（Open Compute Project）与金融开源领域有实际投入。
• PingCAP、涛思、StreamNative 等开源原生公司：这些公司的”公司即社区”特点，使得 OSPO 与产品团队事实上合一，是另一种治理范式。

这些样本的共同启示是：开源治理没有唯一的正确形态。互联网厂商、基础设施厂商、金融厂商、AI 厂商、开源原生公司，各有各的权重。OSPO 设计时要先回答”我们是哪种形态”，再决定学习样板。

3.8 与海外企业的对比

把视野拉到全球，以下几个海外 OSPO 的实践也有参考价值（仅引用其公开披露的内容）：

• Google Open Source Programs Office：最早使用 OSPO 命名的组织之一。运营 Google Summer of Code、Google Open Source Peer Bonus 等项目，官方站点 opensource.google 公开了内部治理原则与贡献指南模板。
• Microsoft Open Source Programs Office：建设了内部 SBOM 工具链（Component Governance、SBOM Tool 等），并对外开放部分工具。
• Meta Open Source：维护 React、PyTorch（已捐赠给 Linux Foundation 下的 PyTorch Foundation）等关键项目。
• Red Hat Open Source Program Office：作为开源原生公司，OSPO 与研发组织的边界极为模糊，更像是”全员 OSPO”。
• SAP Open Source Program Office：在 TODO Group 中贡献了大量模板与课程。
• Bloomberg Open Source Program Office：金融机构中较少见的对外透明 OSPO，公开披露了贡献流程与工具链。

相较海外 OSPO，国内 OSPO 的特点：

1. 起步晚但密度高：2020 年之后中国大厂几乎同步建设 OSPO。
2. 基金会落地选择多元：既可捐赠海外基金会（Apache、CNCF、LF），也可捐赠开放原子，形成”双轨”路径。
3. 更强的政策监管维度：国内 OSPO 要额外关注《网络安全法》《数据安全法》《个人信息保护法》等法规下的开源使用合规，以及关键信息基础设施的供应链透明度要求。
4. 行业联盟化：开放原子、中国信通院、COPU、木兰开源社区等机构相对活跃，行业层面的标准化工作较多。

四、最小可行 OSPO（Minimum Viable OSPO）

一个 50 人、200 人、1000 人的公司，没有能力搭华为或阿里那样的多层结构。但仍然需要 OSPO——只是需要”最小可行”的版本。

最小可行 OSPO，核心三件套：一个流程文档 + 一个 CI 扫描 + 一个审批人。

4.1 一个流程文档

流程文档要回答以下问题，篇幅可以是一页 A4：

1. 我们使用开源软件需要走什么流程？
2. 我们发布自己的项目到 GitHub 需要走什么流程？
3. 我们员工以个人身份对外贡献需要走什么流程？
4. 出问题（比如收到 License 警告）找谁？

下面是一个可以直接裁剪使用的极简模板（假设公司名为 ACME，内部系统名为示例占位符）：

# ACME 开源使用与贡献管理规定（v0.1）

## 1. 适用范围
本规定适用于 ACME 全体员工在工作期间使用、引入或对外贡献开源软件的所有行为。

## 2. 允许的开源许可证
- 绿灯（自由使用）：MIT、BSD-2-Clause、BSD-3-Clause、Apache-2.0、ISC。
- 黄灯（需 OSPO 审批）：MPL-2.0、LGPL-2.1、LGPL-3.0、EPL-2.0、Mulan PSL v2。
- 红灯（原则禁止，特批除外）：GPL-2.0、GPL-3.0、AGPL-3.0、SSPL、BUSL、CC-BY-NC、自定义非标准许可证。

## 3. 引入新的开源组件
- 所有新增第三方依赖必须通过 `package.json` / `go.mod` / `pom.xml` 等正式依赖文件引入，不得以复制粘贴源码形式引入。
- 引入后 CI 会自动触发 SCA 扫描；红灯许可证会阻断合入。
- 如需使用黄灯组件，通过 OSPO 工单申请，提供场景、替代方案评估、合规义务计划。

## 4. 对外贡献
- 员工以任何身份（含个人账号）对外开源项目提交代码、文档、Issue 回复，属于职务行为范畴，须事先在 OSPO 工单系统登记。
- 单次 PR 不超过 50 行且不涉及内部算法的，走快速审批，SLA 1 个工作日。
- 涉及核心业务逻辑、算法、架构设计的，走重点审批，SLA 5 个工作日，需业务负责人与 OSPO 联合签署。

## 5. 对外发布自研项目
- 任何 ACME 内部项目对外开源前，须经 OSPO 审批通过后方可发布。
- 审批内容包括：许可证选择、商标检查、合规预扫描、安全预审、文档齐备度。

## 6. 违规处理
- 未经审批对外开源或贡献，按内部 IT 安全规定处理。
- 明知故犯引入红灯许可证导致业务整改的，按绩效管理制度处理。

## 7. 联系方式
- OSPO 工单：<内部链接>
- OSPO 值班邮箱：ospo@acme.example
- 紧急联系：<责任人>

这份文档不到 50 行，但已经能覆盖 80% 的日常场景。建议发给全员并要求一次性阅读确认。

4.2 一个 CI 扫描

配套一条 CI 扫描。最简单的做法：

# .github/workflows/license-check.yml
name: license-check
on: [pull_request]
jobs:
  scan:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4
      - name: SBOM via Syft
        uses: anchore/sbom-action@v0
        with:
          format: spdx-json
          output-file: sbom.spdx.json
      - name: License Audit via ScanCode or FOSSology CLI
        run: |
          pip install scancode-toolkit
          scancode --license --json-pp scan.json .
      - name: Check forbidden licenses
        run: |
          python tools/check_licenses.py scan.json

其中 tools/check_licenses.py 实现”红灯清单”比对：

#!/usr/bin/env python3
import json, sys

FORBIDDEN = {"gpl-2.0", "gpl-3.0", "agpl-3.0", "sspl-1.0", "busl-1.1"}

with open(sys.argv[1]) as f:
    data = json.load(f)

violations = []
for file in data.get("files", []):
    for lic in file.get("licenses", []):
        key = (lic.get("key") or "").lower()
        if key in FORBIDDEN:
            violations.append((file["path"], key))

if violations:
    print("License violations found:")
    for p, k in violations:
        print(f"  {k:12s}  {p}")
    sys.exit(1)
print("OK: no forbidden licenses detected.")

这段 CI 与第 16 章的 SCA 体系是同一套，差别仅在规则粒度。最小可行 OSPO 不求扫描覆盖所有维度，只求拦住最危险的一类。

4.3 一个审批人

最小可行 OSPO 只需要一位被明确授权的审批人——可以是 CTO、架构师、安全负责人或合规负责人，只要这位审批人：

1. 有权拒绝业务的开源引入与对外贡献；
2. 有能力在必要时拉上法务做二级判断；
3. 每周能抽出 2–5 小时处理 OSPO 工单；
4. 年度向管理层汇报一次开源治理情况。

这个人加一份流程文档加一条 CI，就是最小可行 OSPO。之后随着业务规模扩张，再逐步演化。

4.4 一份审批工单模板

除了流程文档与 CI 扫描，审批工单的模板化也是最小可行 OSPO 的关键。下面给出一份对外贡献审批模板（对应第 4.1 节流程文档的第 4 节）：

# 对外开源贡献审批申请

## 基本信息
- 申请人：<姓名 / 工号 / 部门>
- 申请日期：YYYY-MM-DD
- 目标仓库：<GitHub/GitLab URL>
- 仓库许可证：<MIT / Apache-2.0 / GPL-2.0 / ...>
- 仓库贡献机制：<CLA / DCO / 无>
- 本次贡献形式：□ 代码 □ 文档 □ Issue 回复 □ Review □ 其他：______

## 贡献内容摘要
- 拟提交 PR 简述（50 字以内）：
- 大致变更行数：______
- 是否涉及新增功能：□ 是 □ 否
- 是否包含性能、算法或架构的关键改动：□ 是 □ 否

## 风险自评
- 是否涉及公司内部专有逻辑的泄露：□ 是 □ 否，说明：
- 是否涉及未公开的专利技术：□ 是 □ 否
- 是否使用了公司内部数据集进行训练或验证（AI 相关）：□ 是 □ 否

## 审批结论（由 OSPO 填写）
- [ ] 快速通道批准
- [ ] 重点审查批准
- [ ] 需补充材料
- [ ] 拒绝（理由）：

## 签字
- OSPO 审批人：______  日期：______
- 业务负责人（重点审查时）：______  日期：______
- 法务（红线事项时）：______  日期：______

类似地，“引入新开源组件”也可以模板化：

# 开源组件引入审批申请

## 组件信息
- 名称与版本：<例：log4j-core 2.17.1>
- 上游仓库：<URL>
- 许可证：<标准 SPDX 标识符>
- 依赖类型：□ 运行时 □ 编译时 □ 测试时 □ 构建工具
- 是否会嵌入最终交付物：□ 是 □ 否

## 使用场景
- 目标项目：
- 拟引入模块：
- 预计影响范围：□ 核心业务 □ 内部工具 □ SaaS 后端 □ 终端分发

## 替代方案评估
- 是否存在绿灯许可证的等价组件：□ 是（列出：______） □ 否
- 自研替代可行性与成本：

## 合规义务（如触发）
- NOTICE / LICENSE 文件位置：
- 源码披露义务承接人：
- 专利条款风险：

## 审批
- OSPO：______  日期：______
- 法务（触发红线时）：______  日期：______

这些模板并非一成不变，随着工单系统能力提升，部分字段会自动从 CI 扫描结果回填。重点是最初就把字段固定下来，让工程师习惯于这种结构化输入。

4.6 从零到一的 30 天启动计划

对于刚决定建立 OSPO 的团队，下面给出一份可直接套用的 30 天启动清单（按周划分）：

第 1 周：盘点与对齐

• 约谈 CTO/CLO/安全负责人，确认 OSPO 的初始授权范围。
• 盘点公司对内对外仓库清单、现有开源组件依赖状况。
• 约谈 3–5 位核心业务技术负责人，了解开源使用痛点。
• 产出：OSPO 筹备内部备忘录（Internal Memo）。

第 2 周：起草政策

• 依据本章 4.1 节模板起草 v0.1 政策文档。
• 起草红黄绿许可证清单，与法务对齐初稿。
• 与安全工程对齐扫描工具选型。
• 产出：政策文档 v0.1（Review 稿）。

第 3 周：搭建最小工具链

• 部署 Syft + Trivy 或同等工具到 CI。
• 写一份 check_licenses.py 规则脚本。
• 搭建 OSPO 工单入口（可以基于 GitHub Issues/Jira/Feishu/企业微信群）。
• 产出：一个可运行的合规流水线。

第 4 周：发布与培训

• 在全员会议或邮件正式发布 OSPO 政策。
• 组织一次 30 分钟的全员线上培训。
• 与各 BG/BU 确定对口联络人（Liaison）。
• 产出：政策 v1.0、培训记录、联络人名单。

30 天后 OSPO 至少达到 Documented 阶段，后续按第 6 章路径演进。

4.5 低成本工具链组合

预算紧张的团队可以用下面这套全开源或免费工具组合起步：

五人规模的 OSPO 完全可以用这套工具链覆盖 Policed 阶段的 70% 能力。之后如果规模扩大，再评估 FOSSA、Black Duck、Snyk、Sonatype Nexus Lifecycle 等商业方案。

TODO Group 及其他研究机构发布过若干 OSPO 成熟度模型，综合起来可以抽象为四阶：Informal → Documented → Policed → Strategic。下表给出对比：

5.1 Informal（非正式阶段）

特征：

• 开源使用普遍存在，但公司从未正式讨论过”能不能用 GPL”这样的问题。
• 员工对外贡献全凭自觉。
• 一旦出现合规事件，公司临时拼凑应对，事后无复盘。

常见于早期创业公司（< 50 人）或未有外部融资的业务。风险是”大而不自知”——GPL 引入已经发生，只是还没被外部发现。

5.2 Documented（文档化阶段）

特征：

• 有一份流程文档，明确写明绿灯、黄灯、红灯许可证。
• 有一位兼职审批人。
• 有手工抽查的扫描，但未集成到 CI。
• 员工对外贡献有登记制度，但执行取决于自觉。

这一阶段已经比 Informal 好很多，但仍属于”君子约定”。重点是往下一阶段走，让约定变成强制。

5.3 Policed（强制执行阶段）

特征：

• 流程文档成为内部正式制度，纳入新员工培训。
• SCA/SBOM 集成到 CI，红灯许可证自动阻断合入。
• 对外贡献通过工单系统审批，SLA 可度量。
• OSPO 有小型专职团队或半专职虚拟团队。
• 有年度开源治理报告向管理层汇报。
• SBOM 可按客户要求对外提供。

这一阶段覆盖了大多数中型企业的诉求。再往上就是战略议题了。

5.4 Strategic（战略阶段）

特征：

• 开源被列为企业战略议题，董事会级别关注。
• OSPO 是独立部门，有专属预算与 KPI。
• 战略性开源项目捐赠给基金会（Apache、CNCF、Linux Foundation、开放原子）。
• 公司以维护上游关键项目为荣（如 Kubernetes、Linux 内核、OpenJDK）。
• 对外发布年度开源报告、参与开源标准制定。
• OSPO 与业务线的 OKR 对齐，比如”年度新增 N 个外部贡献者”。

这一阶段的企业已经把开源视为”第二条研发线”。本系列第 20 章 企业开源战略 将专题讨论。

5.5 自评问卷

下面给出一份 20 题的 OSPO 自评问卷，每题 1 分，20 分满分。得分与成熟度的大致对应：

• 0–5 分：Informal。
• 6–10 分：Documented。
• 11–15 分：Policed。
• 16–20 分：Strategic。

政策层（5 题）

1. 公司有一份正式发布的开源使用与贡献政策文档。
2. 政策文档明确列出了允许/禁止/需审批的许可证清单。
3. 政策文档纳入了新员工入职培训。
4. 政策文档至少每 18 个月更新一次。
5. 政策覆盖了 AI 模型权重与数据集的许可证管理。

工具层（5 题）

6. 核心仓库接入了自动 SCA 扫描。
7. 红灯许可证会自动阻断合入。
8. 每次构建产出都附带 SBOM 制品。
9. CVE 监控与 SBOM 联动，可回查受影响产品清单。
10. 合规扫描规则库由 OSPO 专人维护。

流程层（5 题）

11. 员工对外贡献需要事先通过工单审批。
12. 公司自研项目对外开源前有强制评估流程。
13. 对外发布的 SBOM/NOTICE 有统一负责人审核。
14. OSPO 工单有明确的 SLA 并可度量。
15. 每年至少一次全员合规培训。

战略层（5 题）

16. OSPO 有独立预算或明确资源分配。
17. 公司至少有一个项目成功捐赠给外部基金会。
18. 公司员工中有上游关键项目的 Maintainer/Committer。
19. 公司每年对外发布开源治理相关报告。
20. OSPO 负责人直接汇报到 CTO / CLO / CEO 级别。

自评结果应作为每年 OSPO 年度规划的起点。

下面给出一个从 0 到可持续 OSPO 的分阶段时间表，适合 200–2000 人规模、从零开始搭建 OSPO 的企业。

6.1 第 0 周：资产清点

目标：弄清家底。

动作：

• 用 Syft、Trivy、ScanCode 或 FOSSology 之一对核心仓库进行全量扫描，输出初版 SBOM。
• 清点公司 GitHub/GitLab/Gitee 上所有对外公开仓库，确认所属人、活跃度、许可证。
• 梳理员工在上游项目的 Maintainer/Committer 身份。
• 向业务方做一次问卷：是否使用任何自研修改过的开源组件，是否有对外开源计划。

输出：一份公司开源现状报告（Internal Only）。

6.2 第 1-4 周：建立合规流水线

目标：CI 阻断。

动作：

• 起草红黄绿许可证清单，与法务、安全、核心业务 Leader 对齐。
• 把 SCA 工具集成到 CI，配置阻断规则。
• 起草并发布最小可行 OSPO 流程文档。
• 指定审批人与 SLA。

输出：

• .github/workflows/license-check.yml 或等价配置。
• docs/ospo/policy.md。
• 内部 OSPO 工单系统上线（可以简陋，Jira/GitHub Issues 模板足矣）。

6.3 第 2-3 月：贡献审批流程

目标：出站合规。

动作：

• 设计贡献审批工单模板：包括仓库、PR 链接、内容摘要、风险评估、许可证与 CLA 信息。
• 与 HR、法务联合修订员工手册中关于”职务成果与对外发布”的条款。
• 对员工进行一次专题培训，讲清楚为什么需要审批、如何申请、不审批的风险。
• 为长期维护上游项目的员工设计”周期授权”机制。

输出：

• 出站审批工单模板。
• 员工手册修订说明。
• 培训材料与签署记录。

6.4 第 4-6 月：战略开源项目评估

目标：从合规走向战略。

动作：

• 梳理公司内部有潜力开源的项目，做一轮孵化评估（价值、合规、治理、品牌）。
• 为 2–3 个项目制定孵化路线图，包括命名、商标、基金会选择（如果需要）。
• 正式发布第一份年度开源治理报告。
• 与开放原子、Linux Foundation、CNCF 等建立公开对话渠道。

输出：

• 项目孵化评估表与路线图。
• 第一份年度开源报告（对内版本，为第二年对外版本做准备）。
• 外部合作备忘录。

完成这四阶段后，企业已经具备稳定运行的 OSPO。后续年度重点是成熟度从 Policed 向 Strategic 演进。

6.5 第 6-12 月：工具平台化与度量体系

目标：从流水线走向平台，从人工判断走向数据驱动。

动作：

• 把零散的 SCA、SBOM、CVE、审批工单整合到一个统一的开源合规平台（可基于 Dependency-Track、自研或商业方案）。
• 建立 OSPO 数据看板，对内披露上节所列 KPI，季度更新。
• 把开源合规纳入上线发布门禁（Release Gate），每个对外版本必须通过 OSPO 检查。
• 设计事件响应剧本（Runbook）：License 违规、专利诉讼、CVE 零日、下架通知各一份。

输出：

• 开源合规平台 v1.0。
• OSPO 数据看板（内部）。
• 事件响应剧本集。

6.6 第 12-24 月：生态与捐赠

目标：从内部治理走向外部生态影响力。

动作：

• 选定 1–2 个战略项目，启动基金会捐赠流程（Apache Incubator、CNCF Sandbox、开放原子孵化、Linux Foundation 子项目等）。
• 支持员工参选上游项目的 PMC、TSC、TOC（Technical Oversight Committee）等治理岗位。
• 对外发布第一份年度开源报告，公开 OSPO 关键数据。
• 与高校、开源社区合作，支持实习、开源之夏、GSoC（Google Summer of Code）、OSPP（开源软件供应链点亮计划）等项目。

输出：

• 基金会捐赠项目进度。
• 对外开源年度报告。
• 开源实习与社区合作成果。

6.7 里程碑检查清单

一个可以直接打印贴在墙上的检查清单：

• 有一份不超过 3 页的 OSPO 政策文档。
• 有一份明确的许可证红黄绿清单。
• 核心仓库接入了 SCA 扫描。
• 红灯许可证会自动阻断 CI。
• 每次构建产出 SBOM。
• 有一位被授权的 OSPO 审批人。
• 有一套对外贡献审批工单模板。
• 员工手册修订了对外发布条款。
• 每季度度量一次 OSPO 指标。
• 每年一次全员培训与政策复核。
• 至少一份事件响应剧本可用。
• 对外发布的产品都有 SBOM 与 NOTICE。
• 至少一位员工担任上游项目 Maintainer。
• OSPO 有明确的年度预算或工时预算。
• OSPO 负责人可向最高管理层汇报。

打钩率 < 40%：尚处 Informal；40%–70%：Documented；70%–90%：Policed；> 90%：Strategic。

6.8 常用 Runbook 模板

下面给出三份事件响应剧本（Runbook）的骨架，供 OSPO 直接剪裁使用。

Runbook A：收到外部 License 违规警告信

触发：企业收到来自 SFC（Software Freedom Conservancy）、gpl-violations.org、
      某公司法务部或个人版权持有人的书面通知，指称我司违反了某开源许可证。

一、首小时动作
  1. OSPO 值班人签收通知，在工单系统建立 P0 事件，抄送法务。
  2. 不回复、不争辩、不销毁任何相关内部通信记录。
  3. 通知涉事产品线负责人，冻结相关模块对外发布。

二、24 小时动作
  1. 法务主导，OSPO 配合，研究通知的具体指控（缺失源码披露、缺失 NOTICE、
     动态链接争议、Tivoization 条款等）。
  2. OSPO 从 SBOM 数据库回查涉事组件的使用位置、版本历史、引入时间。
  3. 技术评估：整改成本（补披露、替换组件、重构）。

三、7 天动作
  1. 由法务起草正式回函，OSPO 提供技术事实清单作为附件。
  2. 如确属违规，准备整改计划与时间表。
  3. 内部复盘会议，定位为什么合规流水线没发现。

四、事后
  1. 更新许可证规则库，把这一类场景纳入 CI 拦截。
  2. 对内发布匿名化案例复盘。

Runbook B：CVE 零日披露（如 Log4Shell 级别）

触发：上游披露一个高危 CVE，影响面广、利用链成熟。

一、首 30 分钟
  1. OSPO/安全联合值班，在工单系统建立 P0 事件。
  2. 从 SBOM 数据库查询受影响组件分布，输出产品清单。
  3. 通知受影响产品线。

二、首 4 小时
  1. 拉通技术 Leader，决定缓解动作（升级、WAF 规则、临时禁用）。
  2. 对外客户应急：预备"是否受影响 / 我司应对"的统一回复模板。
  3. OSPO 更新 SBOM，标记受影响组件版本。

三、首 24 小时
  1. 完成核心产品的升级与验证。
  2. 对外发布安全公告（若客户需要）。

四、首 7 天
  1. 全部产品升级闭环。
  2. 复盘：SBOM 为什么没覆盖全部制品？是否需要扩展扫描范围？

Runbook C：内部项目意外开源泄露

触发：发现公司内部代码被员工以个人身份意外推送到公共仓库，
      可能包含未公开算法、内部凭据或专有数据。

一、首 10 分钟
  1. OSPO/安全值班人确认事实，截屏存证。
  2. 联系当事人，立即下架（Git push --force 删除并 invalidate 凭据）。
  3. 注意：GitHub 一旦 fork 会永久存在，必须同步向 GitHub Support 申请 cache 清理。

二、首 4 小时
  1. 安全团队评估凭据泄露面，轮换所有可能受影响的 secret。
  2. 法务评估 IP 泄露程度，决定是否需要向客户或合作方披露。
  3. OSPO 保存事件证据链。

三、事后
  1. HR 介入，按员工手册处理。
  2. OSPO 复盘：为什么该仓库未走发布审批？如何在工具层面拦截？
  3. 引入 gitleaks、trufflehog 等 secret 扫描到开发者本地与 CI。

这三份 Runbook 不追求完备，而追求第一时间有章可循。每家企业都应根据自身业务和风险画像调整。

下面是实际落地中反复出现的坑，列出以警示。在每条后面补充一段”建议对策”，方便直接应用。

1. OSPO 被当作”开源警察”而非”开源顾问”。

如果 OSPO 只会说”这个不能用”，业务绕过是时间问题。OSPO 必须同时提供替代方案与合理审批通道。每次拒绝一条 GPL 依赖，OSPO 应给出至少一个 Apache/MIT 的替代方案或迁移路径评估。

2. 流程文档长达 50 页。

太长没人读。最小可行版本应控制在 1–3 页。细则可另起附录。

3. 红黄绿清单只有红和绿，没有黄。

一刀切的策略意味着大量黄灯组件要么被错误归入红灯（业务受阻），要么被漏网（合规失控）。必须有黄灯，即”可用但需审批”。

4. CI 扫描的误报不做治理。

SCA 工具的误报率不低。如果 OSPO 不积极维护许可证规则库、不做白名单与同义词映射，工程师很快会学会加 --skip-license-check 标记。

5. SBOM 只在发版时生成一次。

SBOM 的价值在于持续更新。发版后的 CVE 爆发、依赖版本变化需要 SBOM 追溯。建议 SBOM 在每次构建产出，并随制品一起存档。

6. 员工对外贡献审批变成”流程审查”。

审批人只看格式不看内容，审批沦为盖章。应设置抽查机制，每月对 10% 已通过的审批重新审读。

7. 只审开源入站，不审 AI/模型入站。

近年大模型权重的许可证（如 Llama 社区许可证、部分”开放权重”的自定义许可证）比传统开源更复杂。OSPO 的范围必须扩展到模型资产。

8. 忘记出口管制。

加密组件、某些国产密码库、部分受限工具链受出口管制影响。对跨境发布的产品，OSPO 与法务需要联合复核。这个议题将在第 19 章专题讨论。

9. 只看许可证不看专利。

许可证只是知识产权的一部分。Apache 2.0 自带专利授权，MIT 并没有显式授权；专利池（如 OIN）的成员身份直接影响诉讼风险。OSPO 需要关注但不必精通，交叉对口知识产权团队即可。

10. 忘记将 OSPO 的工作度量化。

“感觉做了很多事” 不等于”真的做了事”。每季度至少报一次可量化指标：扫描覆盖率、工单响应时延、违规密度、外部贡献者数、Maintainer 数等。

11. 迷信基金会捐赠。

捐赠给 Apache 或 CNCF 并不自动带来社区繁荣，还会失去一部分控制权。应先评估项目是否具备”基金会化”的前提：多元贡献者、清晰的治理章程、独立于单一公司的路线图。否则贸然捐赠，往往换来的是”名义中立，实质衰落”。

12. 把 OSPO 完全建在工程侧，法务缺位。

OSPO 如果没有法务的定期介入，红线判定容易出现系统性偏差（比如把 LGPL 与 GPL 混为一谈，或者把 SSPL 当作 AGPL 的等价物）。建议固定每月一次 OSPO–法务联席会议。

13. 把 OSPO 完全建在法务侧，工程缺位。

另一种极端：政策写得滴水不漏，但工程师读不懂也执行不了。政策文档应由 OSPO 主笔，语言工程友好，关键概念用例子说明。

14. 只关注对外贡献，忽视对内复用（Inner Source）。

Inner Source（内部开源）本来可以显著降低重复造轮子的成本，是 OSPO 的自然延伸。很多 OSPO 只看对外合规，错过了内部效能收益。

15. 年度治理报告只对管理层讲漂亮话。

年度报告是 OSPO 的”审计报告”，应包括不漂亮的部分：多少违规事件、多少 SLA 未达、多少项目未能捐赠成功。长期只汇报成绩的 OSPO，迟早会失去资源。

16. 忽视离职员工的账号移交。

员工以公司名义维护的上游 Maintainer 身份，离职时需要移交而不是留在其个人账号。OSPO 应与 HR 协同，离职流程中纳入”开源身份移交”一项。

17. 以为注册商标就万事大吉。

商标注册的地域性极强。仅在中国注册并不能阻止他人在海外使用。对战略性开源项目，应至少在中美欧三地注册，并考虑捐赠给基金会以获得更系统的商标保护。

18. 把 AI 模型的许可证当代码许可证处理。

大模型权重的许可证（例如 Llama 社区许可证、Gemma 使用条款、Qwen 系列中部分商用条款）很多不是 OSI 批准的开源许可证，存在使用人数门槛、场景限制、禁止蒸馏等条款。OSPO 必须专门建立”模型许可证清单”而非混入代码许可证清单。

19. 忽视文档与数据集的许可证。

文档（CC-BY、CC-BY-SA、CC-BY-NC 等）与数据集（CDLA、ODbL、非商用条款）有独立的许可证体系。把它们与代码混为一谈会引入许可证冲突。

20. 没有灾备计划。

OSPO 关键人员（尤其是唯一审批人）请假或离职，整个审批链条瘫痪。成熟 OSPO 应有至少两位轮值审批人，关键决策会议有书面纪要。

不同规模的企业如何落地 OSPO？下面给一个简化决策树。

企业规模与业务性质？
├─ < 50 人，非开源依赖型业务
│   └─ 最小动作：一份策略文档 + 一位审批人 + 开源黑名单
│      不必设 OSPO，CTO 兼任。
├─ 50 ~ 500 人，中度依赖开源
│   └─ Documented 阶段：
│      - 正式策略文档
│      - SCA 手工或半自动
│      - 兼职 OSPO 虚拟团队（安全 1 + 法务 0.2 + 架构 0.3）
├─ 500 ~ 5000 人，高度依赖开源、对外输出产品
│   └─ Policed 阶段：
│      - CI 强制执行
│      - 专职 OSPO（2–6 人）
│      - SBOM 产品化
│      - 对外贡献审批
│      - 年度治理报告
└─ > 5000 人，或开源是业务核心
    └─ Strategic 阶段：
       - 独立部门 + 开源委员会
       - 自研合规平台
       - 基金会捐赠战略
       - 对外年度开源报告
       - DevRel 团队

在实际选型中，还要考虑几个关键维度：

• 行业监管：金融、电信、能源等行业对供应链安全与开源透明度的监管要求较高，SBOM 与合规平台投入应前置。
• to B/to C 结构：to B 产品通常要按客户要求提供 SBOM 与合规声明，OSPO 要早建；to C 产品（尤其是前端）合规风险相对可控。
• 全球化：若需发往欧盟、美国市场，除 OSS 许可证合规外，还需考虑 GDPR、出口管制、CISA SBOM 要求。
• AI 业务比重：大模型时代，模型与数据集的许可证管理至少要与代码平级，OSPO 从第一天就要纳入。

8.2 自建 vs 外包

中小企业常见的一个问题：OSPO 是完全自建，还是可以外包一部分？建议如下：

核心判定原则：涉及权属与义务承担的动作不可外包，纯粹的流程与工具可外包。

8.3 工具链选型决策

8.3 工具链选型决策

工具选型建议遵循 “先开源后商业、先单点后平台” 的原则：

1. 起步阶段（0–50 人 OSPO 覆盖规模）：Syft + Trivy + Dependency-Track，全开源，零授权费用。
2. 成长阶段（50–500 人覆盖规模）：开源栈 + 自建轻量 UI，或选用 FOSSA Community、Snyk Open Source 免费档。
3. 成熟阶段（500+ 人覆盖规模）：评估商业 SCA（FOSSA、Black Duck、Sonatype、Snyk、Veracode 等），重点看其与内部工单系统、SBOM 平台、法务工作流的集成能力。
4. 战略阶段（上市公司 / 跨国交付）：除 SCA 外，可能需要加入 OpenChain 自评工具、商业法务合规平台（如 ClearlyDefined 数据、FossID），并建设自研门户。

切勿颠倒顺序从商业平台起步——先接下天价合同，再发现覆盖率与误报问题没解决，是常见的反面模式。

九、开放原子与 OSCar 社区资源

以下是国内外可公开获取、对 OSPO 建设直接有用的资源清单（全部为公开资源，不含商业广告）：

• TODO Group：https://todogroup.org/ —— OSPO 参考资料、模板、调查报告。
• Linux Foundation Research：https://www.linuxfoundation.org/research —— 定期发布 OSPO 调查报告。
• OpenChain Project：https://www.openchainproject.org/ —— ISO/IEC 5230 标准与自评工具。
• OpenSSF：https://openssf.org/ —— 开源安全相关最佳实践与工具。
• SPDX：https://spdx.dev/ —— SBOM 标准。
• 开放原子开源基金会：https://www.openatom.org/ —— 中国本土基金会，托管 openEuler、OpenHarmony、MindSpore 等。
• 中国开源推进联盟（COPU）：公开的行业交流平台。
• 开源中国（OSCHINA）社区：国内开源项目导航与新闻。
• Apache Software Foundation：https://www.apache.org/ —— 项目捐赠与孵化参考。
• CNCF：https://www.cncf.io/ —— 云原生领域基金会，Sandbox/Incubating/Graduated 路径。
• LF Training LFC102：免费 OSPO 入门课程。

关于这些资源的侧重差异简单对比：

一般来说，起步阶段先读 TODO Group 的 OSPO 定义与成熟度模型，再读 OpenChain 自评问卷，把自己所在企业的位置摸清楚；然后根据项目属性选择 SPDX/OpenSSF 等具体技术标准；最后看基金会选择——Apache、CNCF、Linux Foundation、开放原子各有侧重。

9.1 社区类活动与学习资源

对 OSPO 从业者个人成长而言，下面几类活动/资料值得长期关注：

• COSCon 中国开源年会：国内开源领域年度综合会议。
• 开放原子开发者大会（OpenAtom Conference）：开放原子基金会主办。
• KubeCon + CloudNativeCon：CNCF 年度会议，涵盖治理议题。
• Open Source Summit（Linux Foundation）：北美、欧洲、亚洲分站。
• ApacheCon Asia / ApacheCon North America。
• TODO Group OSPOCon：OSPO 从业者的专题会议。
• OSPOlogy / OSPO++：OSPO 行业沙龙。
• 《大教堂与集市》（Eric S. Raymond）、《Producing Open Source Software》（Karl Fogel）：开源治理的经典著作，后者可免费在线阅读。

9.2 与本系列其他章节的关联

本章所讨论的 OSPO 是一个整合性的”总控”视角，它依赖并整合了前后文多个章节的结论：

• 第 3 章”许可证分类”是 OSPO 红黄绿清单的知识基础。
• 第 6–9 章（MIT/BSD/Apache、GPL/LGPL、AGPL/SSPL/BUSL、Mulan）是具体许可证判定的依据。
• 第 16 章 SCA、SBOM 与软件成分分析 是 OSPO 合规流水线的核心工具基础。
• 第 18 章 CLA、DCO 与贡献者协议 是 OSPO 贡献审批与项目发布的必备机制。
• 第 19 章”出口管制”是 OSPO 跨境合规的专题延伸。
• 第 20 章 开源战略 把 OSPO 从合规提升到战略。

建议读者按章节依次阅读，以获得完整的”许可证—工具—组织—战略”视图。

本文为工程参考，不构成法律意见。涉及具体法律风险请咨询专业法律顾问。

十、参考资料

以下来源均为公开可访问，列出供读者进一步查阅。为避免”引用腐烂”，具体子页面 URL 未逐一展开，读者可通过各机构官网检索到最新版本。

1. TODO Group，OSPO 定义与范围文档、年度 OSPO 调查报告、OSPO Templates 仓库，见 https://todogroup.org/。
2. Linux Foundation Research，年度 Open Source Program Offices 系列调查报告，见 https://www.linuxfoundation.org/research。
3. OpenChain Project，OpenChain ISO/IEC 5230 标准与自评工具，见 https://www.openchainproject.org/。
4. OpenSSF，开源安全最佳实践与工具（Scorecard、Allstar 等），见 https://openssf.org/。
5. SPDX，Software Package Data Exchange Specification，见 https://spdx.dev/。
6. 开放原子开源基金会，基金会章程、项目目录、贡献者手册，见 https://www.openatom.org/。
7. 华为，华为开源官方网站与 openEuler、OpenHarmony 社区公开治理章程，见 https://www.huawei.com/cn/open-source、https://www.openeuler.org/、https://www.openharmony.cn/。
8. 阿里巴巴，阿里巴巴开源项目索引与开源技术委员会公开信息，见 https://opensource.alibaba.com/。
9. 腾讯，腾讯开源联盟官方网站，见 https://opensource.tencent.com/。
10. 字节跳动，字节跳动开源官方网站与 CloudWeGo 社区，见 https://opensource.bytedance.com/、https://www.cloudwego.io/。
11. 百度，PaddlePaddle、Apollo 社区官方文档。
12. 蚂蚁集团，蚂蚁集团开源项目索引与 OceanBase、SOFAStack 社区公开资料。
13. Apache Software Foundation，Apache Incubator 孵化指南，见 https://incubator.apache.org/。
14. CNCF，CNCF Sandbox / Incubating / Graduated 项目标准，见 https://www.cncf.io/。
15. Linux Foundation Training，LFC102 Open Source Program Management 课程。
16. ISO/IEC 5230:2020，Information technology — OpenChain Specification。
17. SPDX ISO 标准：ISO/IEC 5962:2021。

上一篇：SCA、SBOM 与软件成分分析 | 下一篇：CLA、DCO 与贡献者协议