开源软件合规风险点涉及哪几个方面

知识产权及合规风险、安全风险、运维和技术风险。
《开源生态白皮书(2020年)》指出，开源软件可能涉及三类风险：知识产权及合规风险、安全风险、运维和技术风险，其中知识产权及合规风险主要与开源许可证的规定相关，安全风险主要涉及安全漏洞等问题，运维和技术风险主要指因开源软件的引入导致的开发运维投入量大、技术人员要求高等问题，而这三类风险在不断上升。
根据美国新思科技公司(Synopsys)发布的《2020年开源安全和风险分析》报告(OSSRA)。67%的代码库包含某种形式的开源代码许可证冲突，33%的代码库包含没有可识别许可证的开源组件。

75%的代码库至少含有一个漏洞，将近一半(49%)的代码库包含高风险漏洞，而去年则为40%。91%的代码库包含已经过期四年以上或者近两年没有开发活动的组件。除了存在安全漏洞的可能性增加之外，使用过期的开源组件的风险在于更新它们还会带来不必要的功能和兼容性问题，运维风险和成本将会提高。
其中在许可协议方面的不确定性近两年成为焦点，从2018年开始，Redis Lab、MongoDB、Neo4j等多家开源数据库修改许可协议，甚至有人指出开源数据库变天了。
如今开源风险已经成为开源应用的屏障，《开源生态白皮书(2020年)》的调研指出，出于安全性考虑成为我国企业尚未应用开源技术的最主要原因。2019年，出于安全性考虑而未使用开源技术的占比最高，达到43.8%，比上一年增加8.6%。对于国内企业而言，开源治理从未像现在这样迫切。

1、未经权威部门确认的功能标准、开发规范以及质量技术标准，均可能导致软件无法达到预期标准，从而引起质量风险。
2、在理解项目标准及范围等问题上，企业管理层、项目组以及技术性人员的接不一致，导致计划与资金安排有所改变，因而极易引发风险。
3、潜在的维护、验证、接口、实现以及设计等环节出现的问题，存在技术空白及未知领域，为软件开发工作带来较大的风险。
4、来自于外包项目组、客户、国家政策以及市场等方面的变化及压力，这类风险具有明显的不可控特点，一旦遭遇，应谨慎对待，及时制定解决策略。



风险防范与控制措施
1、出台合理的软件开发模式与相关规程，确保开发工作合理、有序进行，并符合国家出台的相关标准及要求。
2、对于项目组全体成员的开发行为进行严格规范，加强小组成员之间的交流与互动，以免由于沟通与交流不当，引发软件开发风险。
3、定期开展业务和技术交流大会，引导技术人员摒除过于落后、陈旧的工作思想，通过引进先进的技术、设备与验证方式，明确技术人员的预期发展目标，令其不断的改进自我、完善自我，提升技术及设备的质量及效果。
4、对开发所用的方法及技术进行客观、合理的评价，避免由于无法把握技术而引发风险。
5、建立完善的风险应对程序与管理计划，如此一来，才能确保在发生风险的时候，能够快速、合理、技术的作出反映，并通过制定适宜的策略，对风险进行专业性处理。

知识产权及合规风险、安全风险、运维和技术风险。

《开源生态白皮书(2020年)》指出，开源软件可能涉及三类风险：知识产权及合规风险、安全风险、运维和技术风险，其中知识产权及合规风险主要与开源许可证的规定相关，安全风险主要涉及安全漏洞等问题，运维和技术风险主要指因开源软件的引入导致的开发运维投入量大、技术人员要求高等问题，而这三类风险在不断上升。

根据美国新思科技公司(Synopsys)发布的《2020年开源安全和风险分析》报告(OSSRA)。67%的代码库包含某种形式的开源代码许可证冲突，33%的代码库包含没有可识别许可证的开源组件。

75%的代码库至少含有一个漏洞，将近一半(49%)的代码库包含高风险漏洞，而去年则为40%。91%的代码库包含已经过期四年以上或者近两年没有开发活动的组件。除了存在安全漏洞的可能性增加之外，使用过期的开源组件的风险在于更新它们还会带来不必要的功能和兼容性问题，运维风险和成本将会提高。

其中在许可协议方面的不确定性近两年成为焦点，从2018年开始，Redis Lab、MongoDB、Neo4j等多家开源数据库修改许可协议，甚至有人指出开源数据库变天了。

如今开源风险已经成为开源应用的屏障，《开源生态白皮书(2020年)》的调研指出，出于安全性考虑成为我国企业尚未应用开源技术的最主要原因。2019年，出于安全性考虑而未使用开源技术的占比最高，达到43.8%，比上一年增加8.6%。对于国内企业而言，开源治理从未像现在这样迫切。