开源软件合规风险点涉及哪几个方面

知识产权及合规风险、安全风险、运维和技术风险。

《开源生态白皮书(2020年)》指出，开源软件可能涉及三类风险：知识产权及合规风险、安全风险、运维和技术风险，其中知识产权及合规风险主要与开源许可证的规定相关，安全风险主要涉及安全漏洞等问题，运维和技术风险主要指因开源软件的引入导致的开发运维投入量大、技术人员要求高等问题，而这三类风险在不断上升。

根据美国新思科技公司(Synopsys)发布的《2020年开源安全和风险分析》报告(OSSRA)。67%的代码库包含某种形式的开源代码许可证冲突，33%的代码库包含没有可识别许可证的开源组件。

75%的代码库至少含有一个漏洞，将近一半(49%)的代码库包含高风险漏洞，而去年则为40%。91%的代码库包含已经过期四年以上或者近两年没有开发活动的组件。除了存在安全漏洞的可能性增加之外，使用过期的开源组件的风险在于更新它们还会带来不必要的功能和兼容性问题，运维风险和成本将会提高。

其中在许可协议方面的不确定性近两年成为焦点，从2018年开始，Redis Lab、MongoDB、Neo4j等多家开源数据库修改许可协议，甚至有人指出开源数据库变天了。

如今开源风险已经成为开源应用的屏障，《开源生态白皮书(2020年)》的调研指出，出于安全性考虑成为我国企业尚未应用开源技术的最主要原因。2019年，出于安全性考虑而未使用开源技术的占比最高，达到43.8%，比上一年增加8.6%。对于国内企业而言，开源治理从未像现在这样迫切。