开源社ONES Group - 开源战略研究组第二次线上工作会议顺利召开

王伟 开源社KAIYUANSHE



| 作者:王伟

| 编辑:管媛野

| 设计:宋传琪

| 责编:Bright


3 月 27 日晚上 9 点,ONES Group 官宣成立后的第二次线上工作会议如期召开,又有几位新的朋友加入了开源治理交流的行列。

 

 

ONES Group 第二次参会成员

 

在 1 个小时的时间里,优秀志愿者小明继续主持,共分为四个环节展开:

  • 《开源善治首创行动规范指南》(王伟)

  • 《SPDX Introduction 20220318》(王永雷)

  • ONES Group 日常事务

  • 自由谈论

 

具体内容请参考完整的议程资料:https://github.com/kaiyuanshe/ONES/issues/44

 

本次开始,我们正式进入到 ONES Group 的最重要年度目标输出了,一套开源治理的参考规范。

 

 

我们借鉴了 Good Governance 的表达,起了个“开源善治”的名称,希望能够表达我们的想法。

 

 

我们从开源治理总体框架的内容开始进行讨论,也是今年总体工作的内容牵引。开源治理总体框架的参考规范,主要是希望给各类开源治理规范的制定提供一个框架性的参考,特别是企业开源治理,以及社区治理与运营两端,其他适用的场景还包括政府的开源治理、高效开源治理场景等。

 

 

我们继续将马斯洛的需求层次理论拿出来作为开源治理的第一性原理,在 GitHub 上的论坛,我们也陆续做了些讨论,欢迎大家一起加入:https://github.com/kaiyuanshe/ONES/discussions/28

 

 

开源治理框架为组织提供了一个蓝图,使得治理主体负责对开源治理各个要素进行专业化管理,其中根据不同组织的不同需求,治理目标分为五个层次。这个五层的 SECTU 模型,为不同开源参与组织提供了一个总体性框架,以指导其构建适合自身需求的开源治理方案。

 

每一个层次又包含了若干治理事项。治理事项(governance activity)是在某个具体的开源治理目标下,解决某一具体的治理问题或主题的行动事项。我们总结了与开源治理框架体系对应的五个层次的关键治理事项,每个层次又包含 5 个子事项,一共 25 个关键治理事项。如下所示:

 

 

这五个层次、25 项治理事项还非常初步,也是参考了 TODO 组织、欧盟 OSPO 联盟 GGI 手册的基础上给出的,需要结合我们自己的情况进行完善与删减,也希望大家一起来多反馈。总体来说,是能够反映不同组织下面对开源治理的需求,但需要进行细化与迭代。

 

 

一旦这些事项确定好,我们就需要对事项进行更详细的规范描述,已指导开源治理主体进行实现、执行、评估与改善。这里初步使用了六项内容作为事项规范说明。

 

接下来,我们通过两个例子,说明了如何利用该事项规范,在不同的场景下进行开源治理规范制定的应用。

 

 

第一个是在企业开源治理的应用场景下,企业作为开源治理的主体,例如,要开展“开源软件依赖项与漏洞管理”的治理事宜。我们需要解决的问题包括:

  • 该治理事项,具体内容是什么?

  • 治理的目标是什么?为什么开展?解决企业的什么问题?

  • 如何检查治理的成效?给出一个治理检查清单来帮助评估治理结果

  • 用到什么评估方法或手段,需要什么工具?量化指标?或专家的介入

  • 评价完成后,下一步做什么,能够为决策制定做出什么支持

  • 整个治理过程需要什么资源的支撑?软件工具、数据、咨询服务、培训等等

 

 

如果场景变为开源社区的治理与运营,我们关心的是生态层面上的,如何持续建设开源社区的影响力,同样可以通过详细描述治理事项规范中的内容,帮助治理人员科学有效的开展工作。

 

 

上述的部分参考内容,我们也通过社区的论坛进行了些整理,大家有空可以去看看,还是非常丰富和有价值的,可以多来参与讨论。

 

 

如果该治理框架和治理事项规范,能够得到一定的共识,我们就会进入到下一个阶段,将全部的 25 项治理事项分别在“企业开源治理”和“开源社区治理”两个场景下进行具体化,并配套相应的目标、过程清单、工具、度量方法、行动建议等内容。同时也尽量考虑和国际上诸如 OpenChain、SPDX、CII 等标准与规范进行兼容。欢迎大家一起来参与贡献。

 

第二阶段的分享是开源社成员王永雷老师带来的《SPDX 介绍》的内容。

 

 

SPDX 目前在全球范围内的影响力越来越大,收到了很多开源治理需求方的关注。SPDX 是包括领先的软件组件分析(CAS)供应商在内的各行业代表机构十年合作的结果,这使其成为最强大、最成熟且最为广泛采用的SBOM标准。

 

 

SPDX 目前已经形成了一套相对完整的规范,对于建立更多的信任和透明度发挥着重要作用。从事实上的行业标准过渡到正式的ISO/IEC JTC 1标准,让SPDX得以在全球范围内显著提升采用率。SPDX现在完全能够支持整个供应链中对软件安全性和完整性的国际要求。

 

第三项是更新了一下社区的日常事务,包括:

 

  • 社区 logo 的设计征集与投票将在下周完成

  • 成员加入的流程与机制进行了同步,希望通过贡献增加大家的参与感

  • ONES Newsletter 的发起与推动

 

具体可以参见:https://github.com/kaiyuanshe/ONES/issues/44

 

最后的自由讨论环节,大家也给出一些好的建议与提问,包括:

  • 怎样查看社区过完的会议与视频

  • 怎样收到社区时间的通知(通过关注 GitHub ONES Goup 的仓库)

  • 除了 GitHub,也推荐用极狐 GitLab 来做仓库管理

  • SPDX 如何在国内的开源治理中应用起来,如果做出我们自己的 SPDX 规范

 

最后,我们的工作会议视频也在 B 站上进行了上传,欢迎大家参考看:

  • https://www.bilibili.com/video/BV1Ru411v7BW?share_source=copy_web

 


相关阅读|Related Reading


从开源社 ONES Group 开源战略研究组第一次线上工作会议顺利召开

官宣!开源社-开源战略研究组(ONES Group)正式成立!


开源社成立于 2014 年,是由志愿贡献于开源事业的个人成员,依 “贡献、共识、共治” 原则所组成,始终维持厂商中立、公益、非营利的特点,是最早以 “开源治理、国际接轨、社区发展、开源项目” 为使命的开源社区联合体。开源社积极与支持开源的社区、企业以及政府相关单位紧密合作,以 “立足中国、贡献全球” 为愿景,旨在共创健康可持续发展的开源生态,推动中国开源社区成为全球开源体系的积极参与及贡献者。


2017 年,开源社转型为完全由个人成员组成,参照 ASF 等国际顶级开源基金会的治理模式运作。近七年来,链接了数万名开源人,集聚了上千名社区成员及志愿者、海内外数百位讲师,合作了近百家赞助、媒体、社区伙伴。