Update 第六章 开源组织及开源生态发展现状.md

第六章 开源组织及开源生态发展现状.md

@@ -453,6 +453,24 @@ Red Hat作为一家开源软件公司，也会面临其他企业在遇到开源
 
 ○成为一名优秀的开源公民意味着要做的不仅仅是为软件项目贡献高质量的代码。 它还意味着以帮助这些项目成长和繁荣的方式在开源社区中发挥积极和支持作用。例如，这可能意味着参与项目治理流程或参与或赞助监督项目成功管理的基金会。 开源项目办公室帮助组织确定将时间、精力和资金投入开源项目的最有价值的方式。
 
+**极氪汽车开源办公室实践**
+
+极氪汽车是吉利汽车、吉利控股集团于2021年4月推出的豪华纯电品牌。极氪高层高度重视开源，特别是开源合规风险管控。公司成立不到一年就在内部启动了开源治理项目，并积极推动了开源办公室（OSPO）的建成。
+
+极氪OSPO组成人员涵盖了研发、安全、合规、法务、运维等人员，设置三层四组的人员架构，职责分工明确。其中三层指的是高层人员支持、中层人员指导、基础层人员执行的层级设置；四组指的是研发组、审核组、检测组、运维组。对内运营方面，极氪OSPO推动落地了四大事项：制度建设、流程落地、培训宣贯、供应商管理。其中在制度建设上，已经推动建立了开源软件合规管理制度、开源软件选型及引入管理规范等一阶二阶的制度，以及开源代理治理、引入场景和分发场景等具体指引文件作为指导，加强许可证风险、安全漏洞风险以及出口管制风险。
+
+在流程落地上，开源合规和安全审核嵌入到devSecOps，已经建成开源组件引入流程，收口公司开源组件的引入，研发人员只需提供一个代码下载链接或直接通过极氪组件代码库进行识别引用；在分发前，通过SCA工具自动化扫描识别验证研发所做的合规安全措施是否落地。
+
+在培训宣贯上，通过线上线下等课程培训进行培训，同时开通开源科普文系列。
+
+在供应商管理上，极氪OSPO对公司软件/信息化相关合规模版进行调整，增加可落地的开源合规条款，并要求应用场景是外部项目和SAAS项目的供应商提供开源组件使用情况表或SCA报告；同时在DMZ流程中嵌入供应商引入代码的SCA扫描，确保供应商引入合规。
+
+对外合作上，极氪OSPO参与了多项对外活动，首批加入中国信息通信研究院“可信开源合规计划”，参编了国内首份开源办公室案例集，并获得OSCAR尖峰开源企业（开源治理）奖以及开源合规领航者称号。
+
+开源之路并非一蹴而就，极氪OSPO也正在考虑研究并推动内部项目对外开源，从使用开源，慢慢走向参与开源直至领导一些项目的开源，在开源生态中贡献极氪礼物。
+
+我们也希望将极氪OSPO在开源领域的最佳实践，推广应用到汽车行业，影响供应商、集成商以及车企生产商，形成一个良性的与开源共舞的生态发展局面。
+
 #### 总结
 
 开源办公室 OSPO 方法论虽然已经有多年的沉淀和实践，但在公司所需要覆盖的业务场景，以及对于开源办公室能力，需求方面，并不存在一个所谓的“共识”。企业需要什么样的开源办公室，往往由企业自身的状态决定。但开源办公室需要解决的风险问题，项目内部孵化效率问题，以及生态合作的运营问题，还有项目群整体发展的统筹问题具备相应的共性，所沉淀下来的方法论也具备一定的普适性。TODO Group 在这方面做出了一些前沿探索，国内诸多的开源机构如开放原子开源基金会，开源社，木兰社区，LFAPAC 布道者，信通院开源产业联盟等也结合产业侧的具体实践，针对 OSPO 的方法论及案例进行了剖析分析和沉淀。根据目前的统计数据，国内企业将成立开源办公室作为「拥抱开源」的标准实践，是主流趋势。