近期单位内部有一个线上生产事件原因总结为开源软件缺陷引起。

开源软件问题引发的故障，往往不能由开源组织或者开源作者直接承担。那么在单位内部，这个责任应该由谁来承担呢？

现在这个时代，连传统的金融企业都几乎完成了去IOE，开源软件的使用可谓是无处不在。组织越大，引入的开源软件可能就越多。如果开源软件管理起步越晚，组织内部的现状可能就越混乱。

开源软件确实引领了一波技术浪潮，免费、好用是开源技术带来的最大优势，给企业带来了前所未有的创新机遇与潜力。而安全与后续支持不足，则成为隐藏在企业发展过程中的定时炸弹，随时可能爆发。

对于开源软件要管理、要治理，已经成为众多企业的共识。2021年10月，中国人民银行等五部门联合重磅发布了《关于规范金融业开源技术应用与发展的意见》，明确了「安全可控、合规使用、问题导向、开放创新」的开源使用原则。

国家也陆续推出了一系列的国家或团体标准，包括：

• GB/T 44272-2024 信息技术 开源 开源许可证框架
• GB/T 42927-2023 金融行业开源软件测评规范
• GB/T 43848-2024 网络安全技术 软件产品开源代码安全评价方法
• T/CESA 1269-2023 信息技术 开源 术语与综述
• T/CESA 1270.1-2023 信息技术 开源治理 第 1 部分：总体框架
• T/CESA 1270.2-2023 信息技术 开源治理 第 2 部分：企业治理评估模型
• T/CESA 1270.3-2023 信息技术 开源治理 第 3 部分：社区治理框架
• T/CESA 1270.5-2023 信息技术 开源治理 第 5 部分：开源贡献者评估模型
• T/CESA 1291-2023 信息技术 开源 元数据通用要求

可以说，现在企业内部推进开源治理工作已经有很多的标准和成功案例可循。对于开源软件引发的生产问题，作者并不是唯一需要承担责任的人。引入的用户更应担承担责任。

用户应该关注开源软件的发展，在版本更新时及时更新版本，同时也应当积极修复开源软件产品发现的漏洞。对于用户发现的问题或漏洞，也应当积极主动的通知开源作者。

企业内部的开源软件治理是一个持续的过程，我们对于开源软件应当秉持开放、包容的态度，任何片面丑化或否定开源软件的看法，都是不利于企业发展的。作为普通的开发和运维人员，我们也应当不断的提高安全意识和管理水平，加强完全防护和监控检查，避免生产事件的发生。

参考资料

1. https://www.163.com/dy/article/J232MC5M05382WNM.html
2. https://mp.weixin.qq.com/s?__biz=MzI4MDI3MTg5MA==&mid=2247495731&idx=1&sn=7f0748064bab9cf40a8416ebf6efa379&chksm=ebb9bd4edcce345842f6b4e1283ad1dc18b0444a16e316a95d34157f3f5ccab383bf628edb1d&scene=27
3. https://cloud.tencent.com/developer/article/2383490
4. https://cloud.tencent.cn/developer/article/2026662