2026年光建一体化科技公司开源技术使用与管理规范

2026年光建一体化科技公司开源技术使用与管理规范第一章总则第一条制定目的光建一体化项目涉及光伏电站智能监控系统开发、能源管理平台搭建、设备数据采集与分析等技术应用场景，开源技术在降低研发成本、提升开发效率、丰富技术方案方面发挥重要作用。为规范公司开源技术的选型、引入、使用、维护及合规管理，防范开源协议风险、知识产权风险、安全漏洞风险，保障公司产品研发和项目交付的安全性、合规性，依据《中华人民共和国著作权法》《计算机软件保护条例》及开源协议相关规范，结合公司光建项目技术研发实际，特制定本规范。第二条适用范围本规范适用于公司所有技术研发部门、项目实施部门在光建一体化项目研发、平台搭建、系统运维过程中使用的各类开源技术，包括开源软件、开源框架、开源组件、开源代码片段等；适用于公司全体技术研发人员、项目实施人员、技术管理人员；涵盖开源技术选型评估、引入审批、使用管控、安全检测、版本维护、合规审计等全流程管理。第三条核心定义（一）开源技术：指源代码公开、允许自由使用、修改和分发的技术成果，包括但不限于开源操作系统、开源开发框架、开源中间件、开源算法库、开源工具类组件等。（二）开源协议：指开源技术作者或维护组织制定的使用、修改、分发规则，常见类型包括GPL（通用公共许可证）、MIT（麻省理工许可证）、Apache（阿帕奇许可证）、BSD（伯克利软件发布许可证）等。（三）开源技术管理员：指由技术管理部指定，负责开源技术选型审核、协议合规评估、安全漏洞检测、使用台账管理的专职人员。（四）开源技术使用人：指在研发或项目实施过程中引入、使用开源技术的技术研发人员、项目实施人员。（五）开源合规审计：指对公司产品、项目中使用的开源技术进行协议合规性、知识产权、安全漏洞等方面的核查与评估。第四条管理原则（一）合规优先原则：所有开源技术的使用必须符合开源协议要求、国家法律法规及公司知识产权管理规定，优先选择协议宽松、无商业使用限制的开源技术。（二）安全可控原则：引入开源技术前必须进行安全漏洞检测，使用过程中持续跟踪开源技术安全更新，及时修复漏洞，确保技术应用安全可控。（三）统一管理原则：建立公司开源技术白名单，所有开源技术的引入需经审批纳入白名单后方可使用，禁止私自引入未审核的开源技术。（四）最小引入原则：仅引入研发或项目所需的必要开源技术模块，避免冗余引入导致的协议风险、安全风险和维护成本增加。（五）持续维护原则：对已引入的开源技术进行版本跟踪和维护，及时更新至安全稳定版本，废弃的开源技术及时从项目中移除并记录。第五条部门职责分工（一）技术管理部：负责制定公司开源技术白名单，审核开源技术引入申请，开展开源协议合规评估和安全漏洞检测，组织开源合规审计，建立开源技术管理台账。（二）研发部：负责提报开源技术使用需求，开展开源技术选型初评，按要求使用白名单内开源技术，记录开源技术使用详情，配合开展合规审计。（三）项目实施部：负责在项目交付过程中严格执行开源技术使用规范，确保项目中使用的开源技术符合协议要求，向客户明确开源技术使用情况（如需）。（四）法务部：负责审核开源协议的法律合规性，提供开源知识产权相关法律咨询，处理开源技术使用引发的法律纠纷。（五）安全管理部：负责对引入的开源技术进行安全漏洞扫描和风险评估，跟踪开源技术安全漏洞公告，督促研发部门及时修复安全漏洞。（六）全体技术人员：严格遵守开源技术使用规范，主动学习开源协议知识，按流程申请引入开源技术，确保所使用的开源技术合规、安全。第二章开源技术选型与引入管理第六条选型评估要求（一）选型维度：开源技术选型需评估协议合规性、安全稳定性、社区活跃度、版本更新频率、技术适配性、维护成本六个核心维度，优先选择Apache、MIT等宽松协议的开源技术，避免选择GPLv3等强传染性协议的开源技术（除非经特殊审批）。（二）避选情形：存在已知高危安全漏洞且未修复的开源技术、社区停止维护超过1年的开源技术、协议条款与公司商业产品交付要求冲突的开源技术、存在知识产权纠纷的开源技术，一律不得选型引入。（三）选型初评：研发人员提报开源技术选型建议时，需提交《开源技术选型评估表》，明确选型理由、技术用途、协议类型、安全评估初步结论，经部门负责人审核后报技术管理部。第七条引入审批流程（一）申请提交：使用人填写《开源技术引入审批表》，附选型评估表、开源协议文本、安全检测初步报告等材料，报部门负责人初审。（二）合规审核：技术管理部对申请引入的开源技术进行协议合规审核，法务部出具法律合规意见，安全管理部完成安全漏洞检测，审核周期不超过3个工作日。（三）审批决策：普通开源技术引入由技术管理部负责人审批；涉及强传染性协议、核心业务系统使用的开源技术，需报公司技术负责人审批；审批通过后纳入公司开源技术白名单。（四）例外处理：因项目紧急需求需引入白名单外开源技术的，需提交紧急引入申请，经技术负责人特批后方可临时使用，且需在10个工作日内完成补录审核流程。第三章开源技术使用与维护管理第八条使用规范要求（一）白名单使用：所有研发和项目实施工作中，必须使用开源技术白名单内的技术，禁止私自引入白名单外的开源技术，确需引入的必须按流程完成审批。（二）协议遵守：严格遵守所使用开源技术的协议要求，如协议要求保留版权声明、开源协议文本的，需在产品文档、代码注释中完整保留；协议要求开源衍生作品的，需按要求执行并报技术管理部备案。（三）代码修改：修改开源代码的，需记录修改内容、修改原因、修改人、修改时间，形成修改记录文档，便于后续维护和合规审计；禁止删除开源代码中原有的版权声明和协议条款。（四）交付管理：向客户交付包含开源技术的产品或系统时，需在交付文档中列明所使用的开源技术名称、版本、协议类型，如开源协议有要求，需向客户提供对应的开源代码或获取途径。第九条版本维护要求（一）版本跟踪：技术管理部每月更新开源技术白名单版本信息，跟踪白名单内开源技术的安全更新和版本迭代，及时推送安全漏洞和版本更新提醒。（二）版本更新：研发人员需每季度检查所使用开源技术的版本情况，对存在高危安全漏洞的版本，需在15个工作日内完成版本升级或漏洞修复；核心业务系统使用的开源技术，版本更新需提前进行测试验证。（三）废弃处理：不再使用的开源技术，需及时从项目代码中移除，并在开源技术管理台账中记录废弃原因、废弃时间；移除后的开源技术代码需留存备份，保存期限不少于2年。第四章开源技术安全与合规管理第十条安全管控要求（一）漏洞检测：新引入的开源技术必须经过安全管理部的漏洞扫描，扫描通过后方可纳入白名单；已使用的开源技术，安全管理部每季度开展一次漏洞扫描，发现高危漏洞立即通知研发部门整改。（二）漏洞修复：收到开源技术安全漏洞提醒后，研发部门需在24小时内评估漏洞影响范围，72小时内制定修复方案，一般漏洞15日内完成修复，高危漏洞7日内完成修复，核心系统高危漏洞需立即停工修复。（三）应急处置：因开源技术安全漏洞引发安全事件的，研发部门需立即启动应急响应，暂停相关产品或系统使用，修复漏洞并验证后，方可恢复使用，同时向技术管理部和安全管理部提交事件复盘报告。第十一条合规审计要求（一）审计频次：技术管理部每半年组织一次全公司开源技术合规审计，覆盖所有在研项目和已交付项目；新立项的核心研发项目，在交付前需开展专项开源合规审计。（二）审计内容：核查开源技术使用是否符合审批流程、是否遵守开源协议要求、是否存在未审批开源技术、是否存在安全漏洞未修复、是否完整保留版权声明等内容。（三）问题整改：审计发现的合规问题，需填写《开源技术合规整改通知书》，明确整改责任人、整改措施、整改期限，轻微问题7日内整改完成，一般问题15日内整改完成，重大问题30日内整改完成，整改完成后由技术管理部验收。第五章监督考核与责任追究第十二条监督考核要求（一）考核内容：将开源技术使用合规性、审批流程执行情况、安全漏洞整改及时性、开源台账记录完整性纳入技术人员和研发部门的绩效考核。（二）奖惩措施：严格遵守本规范、及时发现并上报开源技术风险的人员，给予5%-8%绩效奖励；完成开源合规审计整改成效显著的部门，给予部门团队奖励。第十三条责任追究要求（一）违规追责：私自引入未审批开源技术的，给予责任人警告处分，扣减5%-10%绩效；未按要求修复开源技术安全漏洞的，给予记过处分，扣减10%-15%绩效；因违规使用开源技术导致公司知识产权纠纷或安全事件的，调离技术岗位，扣减当月绩效。（二）事故追责：因开源技术使用不合规引发法律诉讼、客户投诉、数据泄露等重大事件的，追究研发部门负责人、技术管理部负责人责任，涉嫌违法的移交司法机关处理。第六章附则第十四条规范解释权本规范的最终解释权归公司技术管理部会同法务部、安全管理部所有，各部门及人员对规范条款有疑