最近因为卫福部次世代数位医疗平台专案的软体授权争议,开源专案办公室(Open Source Program Office,简称OSPO)再次成为热门关键词。我查了一下在Linux基金会网站上公布的OSPO年度现况调查,2024年调查了222家企业与机构,多达45%的企业,相当于100家,已经设立了开源专案办公室,这个结果倒是出乎我意外的高。
随著云原生技术成为IT技术的主流,许多列在CNCF技术地图上的开源工具和软体,像Kubernetes,几乎成了企业现代化IT必备的软体。开源软体的影响不只广,也越来越深,从2021年爆发的开源软体Log4Shell漏洞风暴来看,波及数百万套消费产品、不同类型软体、应用系统等,几乎全球都受到这波软体供应链漏洞的冲击。这也让企业越来越重视开源软体的管理,开源专案办公室就是为此而设的专门单位。
近几年,越来越多企业设立开源专案办公室,不只大型科技公司标榜自己拥有OSPO,像是微软、SAP、Meta、红帽、Salesforce等,也有不少大型企业设立, 如第一资本金控、Walmart技术创新部门 Walmart Labs、保时捷汽车、宾士汽车等。在公部门,则像是欧盟、荷兰税务与海关、义大利数位部、法国巴黎市政府、美国联邦医疗保险和补助服务中心等机构,近几年都陆续跟进设立。
根据Linux基金会公布的去年调查结果,资源相对充沛的万人以上规模大型企业,超过7成设立OSPO,不到50人的中小企业,也有19%的组织设立这类单位。参与调查机构的OSPO,主要负责的前几类任务,包括开源政策和流程的建立,跨海开源授权合规、推广开源最佳实践、与开源社群的协作。
设立OSPO后,对企业而言,最明显带来的效益,除了让授权合规做得更好,提高内部合作的透明度,也有助于分辨商用与开源的关联,这些效益,不只对内改善了非开发人员对开源的认知,也让企业更有能力与外部开源社群合作。高达8成参与调查的机构更直言,可以帮助资安治理的法遵做得更好,甚至,近4成机构直接将开源软体安全,交给OSPO全权负责。
比较不同企业规模的开源专案办公室特性,小企业设立OSPO来加速自身拥抱开源技术的能力,而大企业则偏重于靠OSPO善用开源和降低风险,尤其近5成大企业,靠OSPO来监督开源授权的合规性。
设立OSPO单位的价值不只如此,尤其在这一波生成式AI浪潮下,超过7成参与调查的企业认为,OSPO有助于管理GenAI风险,有1成企业甚至觉得超级有效!
不只云原生技术,许多AI基础架构所用的技术,几乎整套都是开源技术,超过3成企业的OSPO,定期需要提供开源咨询,给AI基础架构维运团队参考,更有6%企业,直接指派OSPO来主导AI基础架构的建置和管理。
从这份调查来看,可以说,开源专案办公室的价值,不只是为了授权合规、善用开源或资安避险。企业越是想要善用GenAI,就越需要重视开源软体的管理,这正是OSPO这类专责开源管理团队的新价值。