From 7d26fca6db7491ec01724e2a246ee62abf62f57e Mon Sep 17 00:00:00 2001 From: =?UTF-8?q?=E8=9E=BA=E6=97=8B=E7=8C=AB=E7=8C=AB=E5=A4=B4?= Date: Wed, 17 May 2023 19:25:27 +0800 Subject: [PATCH] =?UTF-8?q?Update=20=E7=AC=AC=E5=85=AD=E7=AB=A0=20?= =?UTF-8?q?=E5=BC=80=E6=BA=90=E7=BB=84=E7=BB=87=E5=8F=8A=E5=BC=80=E6=BA=90?= =?UTF-8?q?=E7=94=9F=E6=80=81=E5=8F=91=E5=B1=95=E7=8E=B0=E7=8A=B6.md?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- ...21\345\261\225\347\216\260\347\212\266.md" | 181 +++++++++++++++++- 1 file changed, 176 insertions(+), 5 deletions(-) diff --git "a/\347\254\254\345\205\255\347\253\240 \345\274\200\346\272\220\347\273\204\347\273\207\345\217\212\345\274\200\346\272\220\347\224\237\346\200\201\345\217\221\345\261\225\347\216\260\347\212\266.md" "b/\347\254\254\345\205\255\347\253\240 \345\274\200\346\272\220\347\273\204\347\273\207\345\217\212\345\274\200\346\272\220\347\224\237\346\200\201\345\217\221\345\261\225\347\216\260\347\212\266.md" index eb00e47..04b129c 100644 --- "a/\347\254\254\345\205\255\347\253\240 \345\274\200\346\272\220\347\273\204\347\273\207\345\217\212\345\274\200\346\272\220\347\224\237\346\200\201\345\217\221\345\261\225\347\216\260\347\212\266.md" +++ "b/\347\254\254\345\205\255\347\253\240 \345\274\200\346\272\220\347\273\204\347\273\207\345\217\212\345\274\200\346\272\220\347\224\237\346\200\201\345\217\221\345\261\225\347\216\260\347\212\266.md" @@ -240,29 +240,200 @@ OSPO 作为公司的「开源外交代表」,要想有效牵引与开源生态 诚然,开源办公室不可能越俎代庖,来全面提供 BD 或 partnership 的全套支持。在这些维度上面,作为一个横向团队,提供专业输入,渠道能力和开源深度视角,宜作为开源办公室重点关注的发展方向。 -#### 阿里巴巴开源办公室 + +## 开源项目办公室( OSPO)的现状与挑战 +作者:LFAPAC OSPO SIG 、OSPO Group、Red Hat OSPO + +以共同体(Community)的形式集体行动的软件生产方式——开源,以其适应现代数字的知识和智力发展而占据了驱动世界前进的一席之地,而更早的以资本驱动的企业,无论多么的不情愿,都无法阻止开源软件成为自己的重要支柱。但是,在获得利益的同时,伴随而来的是问题:合规(Complicance)、安全、技术债务、人力管理、工程效率等等诸多无法回避的内容。当然,人并非被动的接受无力感,而是主动的寻求最佳的平衡之道。 + +### 开源避无可避与企业的对策:开源项目办公室的崛起 + +log4shell 安全事件[2]将开源强行拉到了公众视野,除了企业瑟瑟发抖之外,也引起了国家的重视,正如本蓝皮书所做的调查,开源已经是现代数字世界的重要基础设施,一些智库已经接受了开源项目就是我们物理世界的道路与桥梁的观念[3]。 +随着企业使用大量的开源项目,那么也意味着,不能当作可有可无的事情,而是影响企业战略和业务的重要事项。但是,开源世界的法则和企业的运行法则有非常大的不同[4][5]。对于《开放式组织》[6]来说,传统意义上的企业实在是无法践行,于是,在企业内成立一个专门处理开源相关事务的职能实在必行: + +●开源项目办公室(OSPO)的崛起, Nithya Ruff,下载地址:https://academic.oup.com/book/44727/chapter/378968614?login=false +●开源项目办公室(OSPO)的崛起,Hussan Munir 和 Carl-Erik Mols合著,下载地址:https://ieeexplore.ieee.org/document/9340079/ +●开源项目办公室的演化,Chris Aniszczyk TODO group ,下载地址:https://www.linuxfoundation.org/research/the-evolution-of-the-open-source-program-office-ospo + +###业界实践与理论形成 + +开源项目办公室并不是来自于人们的主观想象,相反,它来自于企业的实践,正如开源的先驱Eric S Raymond 所论断的那样: + +对开源开发完整而充分的认识应该建立在其工程和经济上的结果——质量更好、可靠性更高、成本更低、选择更多。......由于开源软件的存在,任何软件技术的最终命运不是灭亡就是成为开源基础架构的一部分。 + —— 《大教堂与集市》[7] + +是开源项目已经为企业所用,然后随着业务的发展才出现的问题。在商业的世界里,信任起着至关重要的作用,那么遵循服从开源许可的刚需伴随着开源项目的引入成为企业必须关注的一部分工作,而且随着日积月累的增加,开源项目占比整体软件栈的升高,许可的兼容性成为了另外一个突出的问题。这也意味着业务对于开源项目的依赖日益增加,业务的变动,会导致整个软件栈受到影响,可谓是“牵一发而动全身”,换句话说,现代的企业很少有不依赖开源而开展相关活动了,甚至有的企业利用开源来赢得技术标准,成为市场的领导者。 + +对于 OSPO的定义,我们以TODO的为基准[8]: + +开源项目办公室(Open Source Program Office),旨在成为一个组织的开源业务和结构的能力中心。目的是帮助企业在开源软件的使用、支持、参与、开发等方面开展企业级的开源战略,同时也帮助企业了解开源软件的优势和潜在的威胁,以及思考如何平衡各方因素来满足公司的业务目标。 + +OSPO 的另一个关键角色就是涉及审计许可合规性,以确保企业满足开源软件的各种许可要求。包括:企业如何为开源社区做出贡献,或者将哪些内容释放回社区,以及评估开源技术如何为企业的业务带来价值。 + +**已发表的论文、白皮书等材料汇总** + +1.OSPO 101 在线阅读地址:https://github.com/todogroup/ospo101 +2.《技术债务与开源开发中文版》电子书,下载地址:https://training.linuxfoundation.cn/downloads/596aaa96562f6c545899b26bf3f63d86 +3.《深入理解开源项目办公室 中文版》电子书,下载地址:https://training.linuxfoundation.cn/downloads/d1895d027c54a9e56ff41d428289b9ea +4.《开源项目办公室的商业价值》,下载地址:https://www.linuxfoundation.org/research/business-value-of-ospo?hsLang=en +5.中国信通院编写了《2022年OSPO案例汇编》于2022年9月发布 +6.OSPO 联盟发布: The Good Governance Initiative + +### 交流活动与相关组织 + +没有一把钥匙可以打开所有的锁,也就是说OSPO对于每个组织都是不同的,每个组织需要根据自身的需求和场景来实施不同的OSPO策略,正如管理学那样,组织之间需要相互的借鉴和沟通,保持知识的流动,那么相关的活动、研讨会、见面会就显得越发重要。以下是我们目前收集到的相关活动。 + +**OSPO Summit** + +2023年3 月,由中立组织OSPO Group和Linux Foundation APAC 布道者团队OSPO SIG 发起,来自不同公司和组织的 20 余人参与筹备的首届OSPO Summit成功举办。以本地化与全球化为主题,来自全球OSPO 的领先实践者们围绕 Upstream First Practice 和 OSPO 工作实践等两大方向进行了精彩的分享,旨在让依靠开源的企业能够分享、学习、总结经验,让各方都能受益,尤其是从业者能够成功。本届峰会共设有 1 个主论坛,2 个分论坛,4 个主题圈讨论,和别具一格的午餐观影、晚宴及夜谈活动,国内外开源先锋齐聚一堂,共享全球智慧,引领开源发展。 + +**OSPOCon** + +OSPOCon 旨在让使用开源技术的组织、企业、机构,尤其是设置了专门的开源项目办公室的,能够相聚一堂,彼此学习和分享关于开源的最佳实践、经验教训、以及应对所面临的挑战。所发起的大型会议。 + +OSPOCon 由Linux基金会、TODOGroup、OpenChain等提出并积极推动。 + +目前为止OSPOCon 分别为:OSPOCon 北美、OSPOCon 欧洲、OSPOCon 日本,以及我们新引进的 OSPOCon 中国区大会。已经举办过的大会有 + +●OSPOCon NA,在美国西雅图,举办时间2021年9月27到9月29日 +●OSPOCon EU,在英国伦敦,举办时间2021年10月6日 +●OSPOCon NA,在美国奥斯汀, 举办时间2022年6月21日 +●OSPOCon EU,在爱尔兰都柏林,举办时间2022年9月14日 +●OSPOCon Japan,在日本东京,举办时间2022年12月5日 +●OSPOCon EU,在荷兰阿姆斯特丹,举办时间是2023年4月20日 +●OSPOCon NA,在加拿大温哥华 ,举办时间2023年5月10到12日 +●OSPOCon China,中国上海,举办时间2023年05月28日 + +**TODO Group 介绍** + +TODO 工作组 是一个由 70 多个组织组成的开放工作组,他们拥有多年的开源项目运作经验,希望在实践、工具等他方式上协作来成功、高效地运作开源项目/计划。它是一个通过分享经验、制定最佳实践和指导以及开发通用工具的地方,进而推进全球各环节采用 OSPO 和教育。如果想了解更多进行中的 TODO 计划的信息参考这里 此处 ,并查看 OSPO 一览图 https://landscape.todogroup.org + +**OSPO Group 介绍** + +OSPO Group 是由个人志愿兴趣而成的虚拟团体,成员均来自从事开源项目办公室[]相关,来自企业、开源共同体、高校、政府智库、媒体等,秉承「推动组织拥抱开源,加速企业开源协作」目标,做一些力所能及的事[9]: + +●LF APAC OSPO SIG 的日常分享与沟通,这是事情发生最早的地方 +●LFAPAC 开源布道者开源万里行活动,非常受欢迎的知识、经验分享活动 +●TODO Group 本地 Adopter ,作为国际经验输入和本土经验输出 +●OSPOCon China +●OSPO Summit +●面对面的拜访 +●年度聚会,分享得失 + +**OSPO 联盟** + +●名称:OSPO Alliance +●发起时间/发起方: 2021.6月,由欧洲非营利组织及企业发起 +●地域范围:欧洲为主,面向全球开放 +●网址:https://ospo.zone/ +●会员义务:签署协议即可,无需缴纳费用 +●运作: +研究报告 +旗舰大会: 暂无 + +[](https://img-blog.csdnimg.cn/360007ff35a145248ef695bf8488f1d2.png#pic_center) +https://ospo.zone/position-paper/ + +**成立开源项目办公室的组织(不完全统计,不断更新)** + +| 组织名称 | 网站/公众号/社交媒体号等 | +| ------ | ------ | +| 蚂蚁集团 | https://opensource.antgroup.com/| +| 字节跳动| cell | +| 华为技术有限公司| https://www.huawei.com/en/open-source | +| Red Hat | cell | +| 中兴技术有限公司| cell | +| 中国信息通信研究院云大所| cell | + + + +#### 阿里巴巴开源办公室实践 阿里巴巴开源办公室的主要职责是与开源委员会互相配合,把开源委员会制定的技术战略在阿里巴巴落地和执行,并保障更多开源项目的治理和运营。通过制定规则及流程机制,对团队进行核心培训从而明确底线,并且做到有迹可查,全面提高技术同学的安全合规意识,加强开源社区的规范建设和管理,保障阿里的开源项目安全、可靠地为开发者、企业服务。 -2022年重点进行了三方面的工作: + +**2022年重点进行了三方面的工作:** + 1.将开源与企业核心的业务战略或者技术战略相结合,从之前“自下而上”的开源模式逐步转变成“自下而上、自上而下”二合一的模式,以此来保障阿里明确战略方向上要投入的开源软件不会出现后续无人维护的情况。 + 首先,新的项目要开源,需要该领域的开源委员会副主席进行技术判断;其次,对于团队内自下而上的开源模式,阿里巴巴依旧全力鼓励,并会给与一定的孵化资源,自上而下不意味着严格控制开源,而是要在鼓励开源开放的同时,做好治理与扶持工作。最后,从项目管理视角建立完善的开源项目治理框架,对开源项目分阶段、分类型进行精细化治理,建立系统的业务平台,有效厘清与甄别开源项目的生命周期,对处于不同阶段的项目进行具有针对性的治理与指导工作。 + 对于孵化期开源项目,做到能开尽开,保证法务、安全合规工作,加强开发团队的开源教育与指导,扶持社区健康快速发展。对于稳定发展的开源项目,做好规模化社区的流程建设,加强社区中的技术合作与发展,持续服务好社区用户。对于因技术或业务原因停止维护的项目,设计开源项目的退出机制,做好社区通知声明与项目归档工作,站好最后一班岗。 + 通过上述治理工作,在鼓励自下而上开源开放的同时,保证自上而下的宏观治理工作有序落地,在保证项目质量与生命周期管理中加速阿里的优秀内部技术实践往开源转化,为开源技术生态的发展添砖加瓦。 + 2.通过战略引导明确核心开源领域,并设置多领域的负责人共同评估、判断某一开源项目,并推进开源战略的落地。为了保证开源项目的专业性判断,开源委员会一共新设立了 9 位领域副主席,可称得上是各自领域的“一号位”,除了深厚的技术专业知识,他们本身就具备足够多的团队及资源,可以帮助公司内部做出更好的技术支持及专业判断,从而帮助相关技术领域孵化出更多创新产品,为行业输出更多优秀的开源项目。 + 3.对存量开源项目进行更全面、规范的治理。夯实阿里巴巴“开放、有序、踏实、利他”的开源文化,让阿里巴巴的开源行动也需要变得更加有系统、有组织、可持续。 -两大活动 -编程之夏: + +**两大活动** + +**编程之夏:** + 2022年5月30日,第三届阿里巴巴编程之夏面向高校学生开放报名,阿里巴巴编程之夏(ASoC)是面向全球18岁及以上本科、硕士、博士高校学生的技术普惠计划,它旨在鼓励高校学生深度参与开源开发活动,激励学生以第一视角感受开源世界的魅力。ASoC 以阿里巴巴开源技术力量作为媒介,为高校学生们和开源社区搭建桥梁。 + 本次活动获得CCF开源委员会秘书长章文嵩、Apache Software Foundation 董事吴晟等开源圈大佬点赞转发,发布后有北大开源协会、清华TUNA开源协会、西电开源协会等学生社团主动接洽。除了国内顶级高校清华大学、北京大学、中国科学技术大学等,top20 985高校覆盖率达到了85%以上。另外还有14所国际高校学生报名。包括约翰霍普金斯大学、卡耐基梅隆大学、加州大学圣地亚哥分校、纽约大学、东北大学、伊利诺伊大学厄巴纳香槟分校、巴黎综合理工学院、加拿大阿尔伯塔大学、欧洲英国诺丁汉大学、丹麦科技大学、印度德里技术大学等。和往届编程之夏相比,覆盖项目领域从前端、云原生、大数据领域扩展到 操作系统、大数据、数据库、云原生、前端、人工智能等热门领域。项目数量从去年的20个增加到27个,开放任务数量从62个增加到96个。 -开源开放周: + +**开源开放周:** 2022首届阿里开源开放周Alibaba Open Source Week于2022年8月22-24日以线上的形式亮相,邀请了业界顶尖技术专家学者,与阿里开源领军人和头部项目代表共同探讨开源领域的最佳实践和新机遇。本次开源开放周,在主论坛之外,还特设了 5 大分论坛,聚焦操作系统、数据库、云原生、大数据、终端 5 个领域,帮助开源人探索技术开放生态的更多可能。 + 在主论坛上,阿里巴巴开源委员会分管委员蒋江伟分享《阿里开源的动与势》,介绍了阿里巴巴开源的历史,分为使用、贡献、开拓三个阶段,阿里在创业早起就大量使用开源软件,阿里技术的发展也根植于开源的沃土中。当阿里在大规模互联网系统和云的研发中,积累了越来越多的技术经验,解决了越来越多的新问题之后,也积极地将自身的实践以开源软件的形态回馈到社区中。MongoDB 副总裁 Matt Asay 带来了《MongoDB 助力开发者实现高效开发》的分享,bilibili 技术委员会主席毛剑,也带来了《B 站在云原生与开源方向的探索与实践》的主题分享,并通过《数字世界已来,开源生态与未来》的圆桌讨论,邀请中国信息通信研究院云计算与大数据研究所副所长栗蔚,上海交通大学长聘教授、人工智能研究院总工程师、上海白玉兰开源开放研究院执行院长金耀辉,Apache 软件基金会首位华人董事、Tetrate 创始工程师吴晟,与阿里巴巴开源委员会秘书长、开源办公室负责人王晶昱共同展望了云与开源的更多可能。 + 另外五大分论坛也是干货满满,通过 2022 首届阿里巴巴开源开放周 Alibaba Open Source Week,阿里巴巴向业界分享了很多自身在开源中积累的实践经验,以及社区治理经验;同时,也通过自身链接了业内的技术专家及开源社区的负责人等,为开发者、开源爱好者们带来了极具价值和意义的内容。 + +#### Red Hat 开源项目办公室实践 + +Red Hat作为一家开源软件公司,也会面临其他企业在遇到开源软件时一样的问题,因此是最早成立开源项目办公室的企业之一,并且在企业内部持续良好运作、发挥了极其重要的作用。红帽的开源项目办公室在组织上隶属于CTO办公室,指导全公司范围内开源项目的运营、开源战略的制定,同时对外负责开源社区建设以及开源文化推广等,具体来说,主要负责以下几部分工作: + +**●使组织目标与开源参与保持一致** +○一个组织或一个企业,肯定有其业务目标,企业的所有经营活动、投资,本质上都要围绕这个业务目标来进行,因此企业在开源上的参与和投入也不例外。近年来,开源软件在企业的业务系统中承担越来越重要的作用,可以说,开源无处不在。开源在企业里的呼声很高,但如何使开源参与和组织目标保持一致,是一个需要深入思考的问题,开源项目办公室,首先要根据企业自身实际情况,帮助企业想清楚这个问题。 + +○以Red Hat为例,Red Hat的开源项目办公室首先要解决的也是这个问题。有人可能会认为,Red Hat作为一家开源公司,需要解决的的问题和其他企业可能不一样;但从本质上来说,Red Hat需要解决的问题,和其他企业是共通的。 开源项目是海量的,Red Hat也要根据自己的业务目标,选取有价值的项目,确立投资的重点,同时还要帮助组织定义用于判断组织开源战略成功与否的关键指标。 + +**●倡导组织的开源战略** + +○接下来,开源项目办公室需要帮助制定开源战略,并在致力于通过开源取得成功的那些部门,无论是工程部门,还是销售部,营销部门,倡导组织的开源战略,达到战略协同。比如,如何认识与上游项目协作的好处,比如大家所熟知的Upstream First, 如何让各部门的人深入理解并有效实施。 + +○需要指出的是,Red Hat作为一家纯开源的软件公司,所有项目和产品都是100%开源的。但对于一般企业来讲,往往是部分软件开源或者参与或使用了第三方的开源软件项目,因此广义的开源战略往往包括从战略上决策哪些软件要开源,为什么要开源;要选择哪些第三方的开源软件,是社区的开源软件还是企业级的开源软件;等等。 + +**●维护开源许可证合规性并提供法律监督** + + +○谈到第三方开源软件的选择,就不可避免的会遇到开源许可证合规等问题。许多开源项目办公室维护开源许可证合规性,并对组织使用开源软件进行法律监督。组织必须确保他们遵守管理他们使用的软件应用程序的许可证——无论该软件是如何获得许可的。 使用开源许可证在本质上并不比使用任何其他类型的软件许可证更具风险,但首次接触开源的组织可能会对开源软件许可证和专有软件许可证之间的差异有疑问。 + +○开源项目办公室扮演着回答这些问题的重要角色,确保组织遵守管理其使用的开源软件的各种许可证。这项工作通常涉及对所有活动的、现有的和传入的代码(以及其他公开许可的材料)进行软件许可审查,并帮助组织选择工具,使各部门的利益相关者能够更轻松地开展这项工作。 + +**●指导组织在开源共同体的工作** + +○开源项目办公室还指导组织在开源共同体中的工作。对于使用开源软件的组织来说,社区是关键技术创新的源泉。 简而言之,与上游项目合作是获得开源项目创新收益的最佳方式。 + +○开源项目办公室具有确保组织制定的开源战略有效实施的职能,并提供必要的工具、流程,以及相关的培训,帮助开发者理解开源社区的运作机制,参与开源社区工作的方式方法和最佳实践,Red Hat开源项目办公室在这方面积累了大量的经验,并帮助公司内外的众多开发者从“社区小白”逐步成长为“社区大咖”。 + +**●促进与项目负责人、基金会和标准机构的关系** + +○最后,开源项目办公室可以促进与项目负责人、基金会和标准机构的关系。 + +○成为一名优秀的开源公民意味着要做的不仅仅是为软件项目贡献高质量的代码。 它还意味着以帮助这些项目成长和繁荣的方式在开源社区中发挥积极和支持作用。例如,这可能意味着参与项目治理流程或参与或赞助监督项目成功管理的基金会。 开源项目办公室帮助组织确定将时间、精力和资金投入开源项目的最有价值的方式。 + #### 总结 开源办公室 OSPO 方法论虽然已经有多年的沉淀和实践,但在公司所需要覆盖的业务场景,以及对于开源办公室能力,需求方面,并不存在一个所谓的“共识”。企业需要什么样的开源办公室,往往由企业自身的状态决定。但开源办公室需要解决的风险问题,项目内部孵化效率问题,以及生态合作的运营问题,还有项目群整体发展的统筹问题具备相应的共性,所沉淀下来的方法论也具备一定的普适性。TODO Group 在这方面做出了一些前沿探索,国内诸多的开源机构如开放原子开源基金会,开源社,木兰社区,LFAPAC 布道者,信通院开源产业联盟等也结合产业侧的具体实践,针对 OSPO 的方法论及案例进行了剖析分析和沉淀。根据目前的统计数据,国内企业将成立开源办公室作为「拥抱开源」的标准实践,是主流趋势。 +**参考材料** + +1.https://www.youtube.com/watch?v=5G6xzqIXJ4c , 最后访问时间:2023.4.26 +2.https://openssf.org/blog/2022/12/15/avoiding-the-next-log4shell-learning-from-the-log4j-event-one-year-later/ ,最后访问时间:2023.4.30 +3.https://www.atlanticcouncil.org/in-depth-research-reports/report/open-source-software-as-infrastructure/ ,最后访问时间:2023.4.30 +4.《开源之迷》,适兕,人民邮电出版社,2022-02 +5.《开源的成功之路》,Steven Weber,外语教学与研究出版社,2007-06 +6.《开放式组织:面向未来的组织管理新范式》,[美] 吉姆•怀特赫斯特,机械工业出版社,2016-9 +7. 《大教堂与集市》, [美] Eric S. Raymond,机械工业出版社,2014-5 +8.https://github.com/todogroup/ospodefinition.org , 最后访问时间:2023.4.26 +9.https://opensourceway.community/posts/open-source-conference/ospo-summit-what-is-ospo-group/ , 最后访问时间:2023.4.26 + + + + ## 6.2 问题与挑战 中国的开源组织在过去几年取得了长足的进步,得到了政府和社会的广泛关注和支持。然而,随着近来国际形势呈现出的深刻、复杂、动荡的变化,以及技术创新的迭代升级加速,中国的开源组织面临着一些问题和挑战。 -- GitLab