在全球软件供应链攻击事件频发、欧盟《网络弹性法案》(CRA)、美国《网络安全行政命令》等合规要求日趋严格的背景下,开源项目办公室(OSPO)已从过去的开源合规辅助单元升级为企业软件供应链安全与战略创新的核心枢纽。
Linux 基金会与科罗拉多州立大学 Colorado State University 联合发布的《THE 2025 STATE OF OSPOs AND OPEN SOURCE MANAGEMENT》(《2025 年 OSPO 现状与开源管理报告》,以下简称“报告”),基于 338 份全球有效样本,揭示了 OSPO 在成熟度、安全治理、区域差异及可持续性等维度的关键趋势。
作为专注 AI+软件供应链安全与合规治理的厂商,这期,安势信息将结合报告数据与行业实践,从技术落地与商业价值视角,解读 OSPO 如何成为企业应对供应链风险、实现开源价值最大化的战略抓手。
声明:本文涉及的数字及图片均来源于《THE 2025 STATE OF OSPOs AND OPEN SOURCE MANAGEMENT》一文。
OSPO 成熟度加速演进
报告数据显示,OSPO 的发展已突破规模化普及阶段,进入战略深度嵌入的关键期,其核心标志体现在两大维度:
正式构建的开源项目办公室(OSPO)正再度兴起
2025 年,正式构建的 OSPO 比例从 2023 年的 43%下降到 2024 年的 26%后又回升至 32%,而非正式 OSPO(依赖兼职、虚拟团队)则从 2023 年的 23%降至 18%。这一反弹并非偶然,背后是企业对开源治理碎片化的反思:非正式 OSPO 难以应对复杂软件供应链的合规与安全需求(如跨团队的开源组件追溯、多项目 SBOM 统一管理),而正式 OSPO 通过明确的汇报线、专职人员与标准化流程,能有效解决开源使用失控、安全漏洞响应滞后等一系列问题。
从规划端看,计划在 2 年内建立 OSPO 的组织比例从 2024 年的 15%飙升至 45%,且 45%计划建立正式汇报机制、35%明确配置专职人员。这表明企业已意识到:OSPO 不是“可选配置”,而是保障软件供应链稳定性的“基础设施”,尤其是在生成式 AI 代码混入开源组件、第三方依赖漏洞频发的当下,需要专职团队统筹开源安全与合规。
安全治理角色深化
报告最核心的发现之一是:OSPO 已成为企业开源安全治理的核心载体。
92%的 OSPO 积极参与开源安全工作,其中 42%直接承担安全决策角色(如制定开源组件安全准入标准),50%提供专业咨询支持,仅有 7%未涉足开源安全(较 2024 年的 10%进一步下降)。 这一趋势与全球监管环境高度契合:欧盟 CRA 要求企业对软件供应链全生命周期进行安全管控,而开源组件作为供应链的核心构成,其安全治理必须由专门团队统筹,OSPO 正是这一需求的天然承接者。
例如,在开源组件选型阶段,OSPO 可通过软件成分分析(SCA)工具排查高风险漏洞;在代码开发阶段,可建立“开源组件使用白名单”,避免引入许可证冲突或含漏洞的版本,从源头降低供应链安全风险。
OSPO 的核心价值释放
报告通过对比有 OSPO 与无 OSPO 组织的差异,清晰呈现了 OSPO 在软件供应链治理中的不可替代性,其价值集中体现为“三重引擎”:
最低0.47元/天 解锁文章
扫一扫
637
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
