第三方开源软件管控流程说明

('开源软件管控流程说明1涉及部门法务部，技术部。2引入前准备2.1法务部职责2.1.1准确解读协议法务人员应当对目前所有的开源协议进行准确解读，对于企业使用开源协议的风险作出系统的评估。2.1.2及时对技术人员进行培训在企业有使用其他开源软件进行软件开发的需求时，法务人员应当及时对技术人员进行开源协议内容培训，确保技术人员在开发软件的过程中不随意使用他人的开源代码。2.1.3根据企业的实际情况制定使用策略法务部门应当根据企业的实际情况制定使用开源软件的策略，明确在软件开发的过程中可以使用哪些开源协议，不能使用哪些开源协议。避免开源协议冲突以及开源协议对软件的限制违背企业的商业目的等情况的发生。2.2技术部职责2.2.1不使用来源不明的代码技术人员应使用来自GitHub等正规开源托管网站的代码。有些来源不明的代码本身就存在知识产权瑕疵，使用此类"不清洁"的代码将会加大企业的侵权风险。2.2.2开源社区活跃度评估评估维度包括：社区是否活跃，发帖数、回复数、问题处理速度等。2.2.3明确开源代码能解决的问题技术人员需明确引入的开源代码能解决哪些问题。功能问题（如使用Elasticsearch实现分词点歌搜索）还是性能问题（如分布式缓存Redis技术提升接口响应效率，减轻Mysql数据库压力）等。2.2.4对开源代码的调研学习和测试引入开源代码前，需通读开源项目的设计文档或者白皮书，了解其设计原理。核对每个配置项的作用和影响，识别出关键配置项的作用。进行多种场景的性能测试。观察cpu、内存、磁盘io等指标波动，得到最终结论并进行评估。2.2.5引入风险评估需明确引入开源代码到现用系统的工期及影响范围，以及引入后切换回旧方案的回退机制。3.引入3.1技术部职责3.1.1版本选择尽可能选择版本号高的RELEASE版本。3.1.2开源代码使用记录技术部门应当在使用开源代码开发软件时，准确的对开源代码的来源、名称、使用许可协议类型等信息进行记录，便于日后的风险审查。同时也能便于法务部门对软件中使用的开源许可协议进行实时的监控。4.引入后注意事项4.1法务部职责4.1.1监测适用于企业的开源协议法务人员应当对企业软件产品中使用的开源协议进行实时的监测。在开源协议做出改变时，法务人员应当及时做出应对措施。4.2技术部职责4.2.1服务监控对线上开源代码对应服务进行实时监控（如使用bigdesk插件对Elasticsearch集群进行监控），防止异常情况下影响用户体验。4.2.2跟踪开源项目更新状态开源代码如有更新，需学习评估新版本的优化点并进行评估是否有必要进一步升级开源代码。4.2.3废弃管理如果开源代码停止更新维护，需制定废弃方案及数据迁移方案；并指定新的实现方案。',)