開源軟件Open source software（OSS）是構(gòu)建現(xiàn)代軟件解決方案的重要組成部分。無論是服務(wù)于內(nèi)部或是面向客戶的解決方案，如今的組織都在很大程度上依賴于開源軟件。開源軟件組件受其獨(dú)立的授權(quán)條款約束，對這些條款的不合規(guī)操作往往會使組織面臨安全和知識產(chǎn)權(quán)（IP）風(fēng)險(xiǎn)，這進(jìn)而可能會損害公司的品牌價(jià)值。

當(dāng)開發(fā)團(tuán)隊(duì)正忙于發(fā)布軟件版本時(shí)，他們的主要目標(biāo)是滿足項(xiàng)目的截止日期。因此，他們在跟蹤組件版本、庫或者引入項(xiàng)目的第三方代碼時(shí)，往往疏于應(yīng)有的嚴(yán)格性。這意味著帶有許可限制或漏洞的開源軟件組件可能會進(jìn)入代碼庫，然后交付給客戶，這對客戶和提供軟件解決方案的公司都將帶來風(fēng)險(xiǎn)。

開發(fā)人員為開源項(xiàng)目做出貢獻(xiàn)的領(lǐng)域也日益具有挑戰(zhàn)性。如果公司能夠參與，他們可以獲得多種益處，包括保持技能的最新性，挽留員工，吸引開發(fā)者為組織工作，以及提升公司形象。很多開源項(xiàng)目要求開發(fā)者簽署貢獻(xiàn)者許可協(xié)議，該協(xié)議聲明由開發(fā)者創(chuàng)建的知識產(chǎn)權(quán)屬于該項(xiàng)目，而非開發(fā)者本人。在這種情況下，組織需要確保那些不公開源代碼的知識產(chǎn)權(quán)和商業(yè)機(jī)密不會被轉(zhuǎn)讓給開源項(xiàng)目。

我們需要教育開發(fā)者去了解開源許可的相關(guān)問題，確定何時(shí)、如何以及在何種程度上向社區(qū)提供支持，以及哪些軟件包可能會給組織的聲譽(yù)帶來風(fēng)險(xiǎn)。通過制定一套戰(zhàn)略性的政策和操作流程，我們可以規(guī)范這一切。實(shí)現(xiàn)上述目標(biāo)的一種方式就是設(shè)立一個(gè)專門處理所有開源相關(guān)事務(wù)的部門——即 開源項(xiàng)目辦公室open source program office（OSPO）。

OSPO 為員工使用開源軟件創(chuàng)建了一個(gè)生態(tài)環(huán)境，使合規(guī)風(fēng)險(xiǎn)得到良好的控制。OSPO 的角色不僅在于監(jiān)督開源軟件的使用，它還負(fù)責(zé)回饋社區(qū)，并通過積極參與各種活動以及組織網(wǎng)絡(luò)研討會和促銷活動，來推動公司在市場上的增長。

在這篇文章里，我們將深入探討為何公司需要設(shè)立一個(gè) OSPO，以及它是如何在開源政策和管理程序中嶄露頭角的。

為何我們需要一個(gè)開源項(xiàng)目辦公室（OSPO）？

由于開源軟件正廣泛地被運(yùn)用，因此在產(chǎn)品開發(fā)周期中，為團(tuán)隊(duì)對其使用的監(jiān)管和維持合規(guī)性策略往往會帶來重大壓力。

開發(fā)者往往會忽略許可證責(zé)任，有時(shí)甚至管理層或各利益相關(guān)方也并未完全意識到不遵守這些開源許可證的影響。不論是用于內(nèi)部還是外部目的，OSPO 能處理從開始引入開源軟件，直至交付給終端用戶的過程中的所有環(huán)節(jié)。

通過在軟件開發(fā)生命周期早期階段開始進(jìn)行合規(guī)性和規(guī)章制度的檢查，OSPO 能構(gòu)筑堅(jiān)實(shí)的基礎(chǔ)。這通常開始于引導(dǎo)和整合團(tuán)隊(duì)成員，共同邁向一個(gè)能惠及組織價(jià)值觀的方向。OSPO 會設(shè)定關(guān)于開源使用的政策和流程，并在公司內(nèi)部進(jìn)行角色和職責(zé)的管理。

總結(jié)來說，OSPO 有助于整合所有參與產(chǎn)品構(gòu)建的相關(guān)團(tuán)隊(duì)的努力，進(jìn)而提升組織更好和更有效使用開源的能力。

開源項(xiàng)目辦公室（OSPO）的崛起

諸如微軟、谷歌和 Netflix 等公司已經(jīng)在自身組織內(nèi)部設(shè)立了成熟的 OSPO。此外，像 Porsche 和 Spotify 這樣的公司也在建立自己的 OSPO，以實(shí)現(xiàn)開源的高效利用。

以下是一些知名公司的領(lǐng)導(dǎo)者對 OSPO 實(shí)踐的看法：

• “對于公司來說，這是一種文化的變遷，”Jeff McAffer 解釋了他的觀點(diǎn)，他曾經(jīng)多年負(fù)責(zé)微軟的 OSPO，并現(xiàn)在是 GitHub 的產(chǎn)品主管，致力于在企業(yè)界推動開源的發(fā)展。“很多公司并不習(xí)慣與外部團(tuán)隊(duì)合作。”
• “工程、業(yè)務(wù)、法律每一方的利益相關(guān)者都有他們各自的目標(biāo)和角色，往往需要在速度、質(zhì)量和風(fēng)險(xiǎn)之間做出權(quán)衡，” Spotify 的開源主管 Remy DeCausemaker 解釋道?！?OSPO 的任務(wù)就是協(xié)調(diào)和連接這些單獨(dú)的目標(biāo)，融合成一個(gè)能夠減少摩擦的全面策略?！?/li>
• Verizon Media 的 OSPO 領(lǐng)導(dǎo) Gil Yahuda 表達(dá)了他的觀點(diǎn)，“我們正在尋找創(chuàng)造一個(gè)人才愿意融入其中的工作環(huán)境。我們的工程師都知道，他們處在一個(gè)歡迎開源的環(huán)境中，他們在這里被鼓勵(lì)與他們工作相關(guān)的開源社區(qū)合作。”

圖 1：2018-2021年各行業(yè)開源項(xiàng)目辦公室的普及情況 （來源：https://github.com/todogroup/osposurvey/tree/master/2021）

開源項(xiàng)目辦公室（OSPO）的職能

OSPO 的職能可能會根據(jù)組織的員工數(shù)量、OSPO 團(tuán)隊(duì)的人數(shù)以及開源的運(yùn)用目的不同而有所差異。組織可能只想利用開源軟件來開發(fā)產(chǎn)品，也可能同時(shí)計(jì)劃向社區(qū)做出貢獻(xiàn)。

OSPO 的角色可能會包括評估哪些開源許可證是適宜的，以及是否應(yīng)讓全職員工參與開源項(xiàng)目等任務(wù)。為愿意貢獻(xiàn)的開發(fā)人員制定貢獻(xiàn)者許可協(xié)議（CLA），并確定哪些開源組件有助于產(chǎn)品的快速成長和質(zhì)量提升也是 OSPO 的重要職責(zé)。

OSPO 的主要職能包括但不限于：

• 建立開源合規(guī)和治理政策來降低組織的知識產(chǎn)權(quán)風(fēng)險(xiǎn)
• 培育開發(fā)者做出更佳決策的能力
• 制定政策規(guī)范與公司全面采用開源的工作。
• 監(jiān)控組織內(nèi)外開源軟件的使用情況
• 在每次軟件版本發(fā)布后組織會議，討論開源軟件合規(guī)流程的優(yōu)點(diǎn)及改進(jìn)空間
• 加快軟件開發(fā)生命周期（SDLC）
• 提高不同部門之間的透明度和協(xié)調(diào)性
• 通過簡化流程在早期階段降低風(fēng)險(xiǎn)
• 鼓勵(lì)團(tuán)隊(duì)成員向上游貢獻(xiàn)，以享受開源項(xiàng)目的協(xié)作和創(chuàng)新優(yōu)勢
• 提供包含合適補(bǔ)救措施和產(chǎn)品團(tuán)隊(duì)建議的報(bào)告
• 準(zhǔn)備合規(guī)文檔，確保滿足許可證的義務(wù)

構(gòu)建開源項(xiàng)目辦公室（OSPO）的過程

OSPO 的組成通常包括公司內(nèi)多個(gè)部門的人員。這個(gè)過程涉及了對相關(guān)部門進(jìn)行開源合規(guī)基礎(chǔ)和使用風(fēng)險(xiǎn)的培訓(xùn)與教育。OSPO 可能提供法律和技術(shù)支持，以確保達(dá)成開源的目標(biāo)需求。

組織內(nèi)的 OSPO 可能包括以下人員（這只是一個(gè)可能參與的人員名單，并不是詳盡無遺的清單）：

• 主任/首席：主任或首席通常是 OSPO 的主要負(fù)責(zé)人。他能全方位掌控使用開源的各個(gè)方面，包括使用不同組件的影響，許可證的含義，以及開發(fā)和社區(qū)貢獻(xiàn)等。這些要求完全取決于公司的需求。
• 項(xiàng)目經(jīng)理：項(xiàng)目經(jīng)理為目標(biāo)解決方案設(shè)置需求和目標(biāo)。他/她將與產(chǎn)品和工程團(tuán)隊(duì)共同工作，以協(xié)調(diào)工作流程。這包括以開發(fā)者友好的方式確保策略和工具的實(shí)施。
• 法律支持：法律支持可能來自公司外部或者內(nèi)部，但他們在 OSPO 中扮演著重要角色。法律團(tuán)隊(duì)將與項(xiàng)目經(jīng)理密切合作，定義管理開源軟件使用的策略，包括每個(gè)產(chǎn)品允許使用的開源許可證，如何（或是否）向現(xiàn)有的開源項(xiàng)目貢獻(xiàn)等。
• 產(chǎn)品和工程團(tuán)隊(duì)/開發(fā)者：工程團(tuán)隊(duì)需要熟悉開源許可及其相關(guān)風(fēng)險(xiǎn)。團(tuán)隊(duì)在使用任何開源組件之前，必須得到 OSPO 的批準(zhǔn)。團(tuán)隊(duì)可能需要定期接受關(guān)于開源合規(guī)基礎(chǔ)以及其使用的培訓(xùn)。
• 首席技術(shù)官/信息官/利益相關(guān)者：公司的領(lǐng)導(dǎo)對 OSPO 策略有著巨大影響。利益相關(guān)者在任何產(chǎn)品解決方案的決策過程中擁有很大的決定權(quán)。因此，工程副總裁，首席技術(shù)官/信息官，或者首席合規(guī)/風(fēng)險(xiǎn)官員需要參與 OSPO 的工作。
• IT 團(tuán)隊(duì)：來自 IT 部門的支持十分重要。OSPO 可能被分配實(shí)施內(nèi)部工具的任務(wù)，如提高開發(fā)者效率，監(jiān)控開源合規(guī)，或者設(shè)置開源安全措施等。IT 團(tuán)隊(duì)在協(xié)助連接工作流程和確保以開發(fā)者友好的方式實(shí)施策略方面起著關(guān)鍵作用。

在 TODO 組織于 2021 年執(zhí)行的 OSPO 調(diào)查中，得出了以下的關(guān)鍵發(fā)現(xiàn)：

• 教育企業(yè)理解 OSPO 如何為他們帶來益處的機(jī)會仍然巨大。
• OSPO 對其贊助方的軟件實(shí)踐有顯著的積極影響，但影響的具體效果并因組織規(guī)模的大小而異。
• 那些有意設(shè)立 OSPO 的公司，他們期望 OSPO 能提升創(chuàng)新，但策略設(shè)立及預(yù)算力度仍然是實(shí)現(xiàn)目標(biāo)的主要挑戰(zhàn)。
• 調(diào)查參與者中近半數(shù)尚未設(shè)立 OSPO 的人認(rèn)為 OSPO 將有助于他們公司的發(fā)展，然而在那些認(rèn)為 OSPO 無助于公司發(fā)展的人群中，有 35% 的人還未對此事有所考慮。
• 27% 的調(diào)查參與者表示，一家公司對開源參與的程度會深刻影響他們組織的購買決策。

如今，在構(gòu)建任何軟件解決方案時(shí)，對開源軟件的依賴幾乎是無法避免的。然而，開源許可證相關(guān)的潛在風(fēng)險(xiǎn)也不容忽視。因此，我們需要一套策略性的流程來有效解決使用開源組件帶來的合規(guī)性問題。

通過建立一支集中的專業(yè)團(tuán)隊(duì)，OSPO 能幫助公司確立規(guī)范的開源文化，讓員工了解并熟悉與組織內(nèi)開源使用相關(guān)的所有事宜。此外，OSPO 還可以發(fā)揮引導(dǎo)作用，吸納行業(yè)內(nèi)的頂級人才，這無疑將對實(shí)現(xiàn)商業(yè)目標(biāo)產(chǎn)生積極影響。