1270.1 Overall framework
本文件规定了开源治理总体框架,确立了治理原则和治理框架。
本文件适用于参与开源活动的各类组织,如政府、企业、基金会、行业协会、高校、科研机构等,指导其对开源治理规范的编制与使用。
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
T/CESA 1269-2023 信息技术 开源 术语与综述
T/CESA 1269-2023 界定的术语和定义适用于本文件。
为了促进组织有效、高效、合理地使用开源技术、贡献开源项目、发起并运营开源社区,尽可能在组织的开源战略规划、建设、运营和维护过程中,规定了开源技术相关的治理要求,从而实现战略一致、风险可控、运营合规和绩效提升的目标。
组织按本文件建立开源治理体系,形成文件并实施、持续改进,确保开源技术使用、开源项目贡献、开源社区运营的效能和合规性,以达到规避风险、加快发展、提升收益的目标。组织遵守如下治理原则。
- 建立开源治理的战略、制度、文化和创新机制,支撑组织业务模式变革、技术进步和管理提升;
- 确保利益相关方理解预期收益和发展目标,支持开源投入,关注治理成效并及时调整策略;
- 明确风险偏好和风险容忍度,明确符合国家安全规范,保证技术中立性,防范因违规造成的重大财务和声誉损失、监管处罚、法律制裁等;
- 开源治理的治理主体为开源治理最终结果负责。
治理框架由治理要素以及要素之间的结构组成。开源治理要素包含治理的利益相关方、治理主体、业务需求、治理策略模型、治理事项、审查策略和资源七大要素,要素之间的结构见图1。开源治理框架在企业开源治理中的应用见附录A。
治理主体由最高决策者与开源治理机构组成,应通过开源的战略和方针,建立本组织内外部治理策略与流程,并对开源治理相关的方案和规划进行评估与修正、对开源治理绩效和符合性进行监督,负责法律合规、安全、运营、内外部协调等事宜。在开源治理实施的过程中,开展自我监督、自我评估和审查工作,并持续改进。
治理策略模型是不同组织根据其情况,制定对应的开源策略,包括主动采用、安全合规、社区贡献、生态共建、和战略创新。
本模型共包含5层,每层包含5个基本事项。基本事项说明见表1。
TODO
治理事项是在某个具体的开源治理参与策略指导下,解决某一具体的治理问题或主题的行动事项。不同的开源策略,对应不同的治理事项。
作为开源治理具体操作执行的核心,其事项规范包含以下 6 项:
- 事项描述:治理事项涉及的主题和摘要,对完成该治理事项的关键点和流程进行说明;
- 目标管理:对开源治理的特定目标进行管理,详细说明开展该项治理工作的原因、时间以及需要解决的问题。
- 过程评估:对具体的治理事项进行进度监控与效果评估,通过定义目标驱动的指标体系,明确评估治理事项所需的验证点,进而支持治理路线图、优先事项、以及绩效评价等工作;
- 评价方法:提供实现和完成治理事项的手段、技术、数据或工具列表,进而高效的交付治理成果,支撑治理主体科学有效的开展工作;
- 建议指导:从开源治理各方参与者中广泛收集最佳实践,定期更新用户的反馈意见,以及有助于各个事项管理的建议与指导。
审查策略是实施执行开源治理的重要方法与工具,是根据治理组织的特点和需求,围绕如何实现高质量开源治理而进行系统设计的策略,组织根据自身需要选择合适的审查策略模型进行实施。
开源治理的支撑资源能够有效覆盖组织开展治理工作过程中所用到的工具与资源,包括人员、软件工具、基础设施、数据、咨询、培训、文档等方面。
在企业治理的应用方面,可以基于本标准制定企业开源治理框架,见图A.1。根据图1中的各个要素,企业作为开源治理主体,根据法律法规、企业章程、监管职责、利益相关方期望、以及业务要求等因素,制定企业开源战略与方针,并选择与之匹配的治理策略模型,进而开展开源引入、对外开源等活动,同时,通过监督、评估、指导的闭环形成不断迭代与优化的治理过程。
[1] GB/T 34960.1—2017 信息技术服务 治理 第1部分:通用要求
[2] ISO 37000:2021 Governance of organizations – Guidance
[3] The OW2 Open Source Good Governance Handbook, 2021