开源软件已经在各行各业得到广泛应用，保险行业也不例外。作为一家业务范围涵盖商业、工程、信用保证、意外健康、财产、责任和机动车辆等业务品种相关的多种保险产品的国内大型保险集团公司，随着公司数字化转型步伐不断加快，互联网、大数据应用的迅速发展，部署了大量开源软件，在受益于开源技术的同时，开源技术管理的困难与风险也与日俱增，迫切需要规范开源技术的管理，努力从“被动接受”向有计划、有目标的“主动探索”转型，于是，开源治理的需求被提上了日程。

开源软件治理需求凸显

通过梳理企业的开源软件使用发现，该集团企业在开源软件导入过程中，缺乏统一的准入标准和指导，各项目组对于开源软件的种类、版本的采用，很大程度上依赖于开发人员自身对于开源软件的熟悉程度，缺乏合理的评估过程，从而导致系统中的开源软件纷繁复杂，给运行维护带来众多弊端。这些弊端主要体现在：

1. 开源软件使用类别众多，制约自动化运维的实施；

2. 开源软件版本众多，版本收敛困难；

3. 技术路线不清晰；

4. 开源生态使用趋势没有统一的指导和准入标准；

5. 使用过程缺乏最佳实践指导。

同时，开源软件在不断发展变化，新的种类、新的特性不断涌现，如何跟上时代的步伐，建立一个长效的开源软件导入评估机制也是需要纳入考虑的。因此，建立一个全面的、合理的导入规范迫在眉睫。

技术+流程+文化构建治理方案

通过对集团开源软件使用情况的调查，结合用户规范开源软件使用、防范风险，以及持续优化的需求，项目组确定了开源技术评估的模型，建立了开源管理的专家库和开源实验室的虚拟组织架构，在此基础上搭建了一套开源技术的管理流程，形成了有该公司特色的开源技术管理办法。具体步骤如下：

1． 构建开源治理的虚拟组织

该虚拟组织由以下角色组成：

• 战略角色：指导客户从战略层面如何结合业务需求及诉求，动态规划开源战略路线；

• 运营角色：指导客户定义并落实开源软件治理的全生命周期各个环节的工作，例如从开源需求收集，到准入评估管理，从白名单建立到日常技术运营能力提升；

• 技术角色：指导客户的内部及外部专家，如何遵循企业开源战略及运营要求下，进行开源技术拓展研究，开源软件经验总结，创新课题开展等。

开源技术评估流程图

2．确定开源软件治理工具平台

该工具平台作为开源软件准入流程电子化的载体，开源软件成熟度评估模型的载体，开源技术库白名单的维护管理数据库，及对所有开源技术全生命周期追踪管理。

3. 打造开源文化

打造客户的内部开源社区，基于自主可控、敏捷灵活、引领创新的开源文化，各部门挑选开源治理大使来共同维护社区，作为内部社区与部门之间的桥梁，推动开源文化的传播。

该项目获得该保险集团的高度认可，该公司会继续深化推动开源治理相关工作。接下来，会通过丰富开源软件成熟度评估模型和现有开源软件黑白名单构建，实现电子化平台持续优化，并逐步形成内部文化的优化实现对外输出，打造成为行业的标杆治理体系，最终通过信通院的企业开源治理成熟度评估，为客户的业务实现构建高标准、强管控风险、高效的平台运作和业务的全面覆盖。