开源治理：当AI写代码，谁来守住护栏

当AI以10倍速生成代码，治理必须以100倍速进化。

---

📖 关于本书

68%的代码库存在许可证冲突，65%的企业遭受供应链攻击，AI每秒生成950亿行代码——开源治理不再是”可选课”，而是”必修课”。

本书以故事驱动、类比先行、行动落地的方式，让开源治理不再是专家的专利，而是每个人都能理解并实践的常识。

适合谁读？

读者	你会收获什么
🧑‍💼 创业者/法务/PM	理解开源风险，避免踩坑
👩‍💻 开发者/架构师	掌握合规工具，保护代码
🎓 CTO/VP	建立治理体系，规避战略风险

---

📚 目录

第一篇：认知篇 — 为什么要关心开源治理？

章节	标题	要点
01	开源危机简史	从RMS到OSI到企业拥抱，开放如何从理想变成战场
02	2026 AI冲击波	84%开发者用AI编程，L2协作成为主流

第二篇：危机篇 — 不治理会怎样？

章节	标题	要点
03	许可证冲突——从”免费使用”到”法律地雷”	Orange案€80万罚款，GPL诉讼不再是纸上谈兵
04	知识产权新边界——从”代码归属”到”AI创作归谁”	OSI定义1.0、70+版权诉讼，AI生成代码归谁？
05	供应链攻击——从”信任依赖”到”被刺一刀”	1300%恶意包增长，你的依赖链比你想象的脆弱

第三篇：数据篇 — 开放资源的边界在哪？

章节	标题	要点
06	AI时代开放资源疆域	模型、权重、数据集——哪些必须开放，哪些不能？
07	开放数据集与数据治理	Hugging Face 50万数据集背后的治理困境

第四篇：供应链篇 — 如何防御？

章节	标题	要点
08	供应链攻击进阶——从”偷代码”到”偷算力”	typosquatting、依赖混淆、starjacking——攻击者的100种武器
09	供应链防御——从”事后补救”到”事前免疫”	从SBOM到签名验证，12款工具构建防御体系

第五篇：工具篇 — 用什么工具？

章节	标题	要点
10	许可证检测——从”肉眼扫描”到”自动化雷达”	FOSSology vs ScanCode，哪个适合你？
11	SBOM与溯源——从”成分不明”到”一表看透”	中国国标GB/T 47020-2026，8月1日实施
12	AI代码审查——从”人肉review”到”机器守门”	A.S.E框架、DeepAudit、SecCodeBench
13	企业治理平台——从”Excel台账”到”治理大脑”	OpenChain ISO/IEC 5230，从合规到治理的升级路径

第六篇：方法论篇 — 怎么做？

章节	标题	要点
14	开源治理成熟度模型	L1合规→L2治理→L3战略→L4生态，你在哪一层？
15	贡献工作流——从”旁观者”到”共建者”	CLA、贡献指南、Issue模板——从0到1建贡献路径
16	许可证合规——从”法律风险”到”合规自信”	AI模型许可证新挑战，合规不再是”查一下就行”
17	治理体系——从”被动救火”到”主动驾驭”	精英制、BDFL、OpenChain——选哪种治理模式？

第七篇：未来篇 — 2027会怎样？

章节	标题	要点
18	AI Agent治理协议	MCP六大安全缺陷、A2A互操作、Microsoft治理工具包
19	开源许可证演进	从GPL到AI定义1.0，许可证的下一个版本是什么？
20	2027展望——从”合规成本”到”治理红利”	终端复兴、手机审批界面、治理是最重要的AI基础设施

附录

章节	标题	要点
21	术语表	100+术语，从MCP到SBOM一目了然
22	工具清单	30+工具速查，按场景分类
23	模板集合	CLA模板、贡献指南模板、Issue/PR模板

---

📊 全书统计

指标	数据
总章节	23章 + 7篇README
总行数	15,047行
总字数	≈42万字
篇章	7篇（认知→危机→数据→供应链→工具→方法论→未来）+ 附录
许可证	CC BY-SA 4.0

---

🗂️ 项目结构

open-gov-book/
├── book/
│   ├── 01-cognition/      # 认知篇（2章）
│   ├── 02-crisis/          # 危机篇（3章）
│   ├── 03-data/            # 数据篇（2章）
│   ├── 04-supply-chain/    # 供应链篇（2章）
│   ├── 05-tools/           # 工具篇（4章）
│   ├── 06-methodology/     # 方法论篇（4章）
│   ├── 07-future/          # 未来篇（3章）
│   └── 99-appendices/      # 附录（3章）
├── CONTRIBUTING.md         # 贡献指南
├── CLAUDE.md               # AI协作指南
└── README.md               # 本文件

---

✍️ 写作风格

本书遵循三条核心原则：

1. 从故事开始 — 每个概念用真实案例引入，而非直接定义
2. 类比驱动 — 用日常生活类比解释技术概念（”许可证像餐厅菜单”）
3. 行动清单 — 每章结束给出可直接操作的checklist

---

🤝 参与贡献

欢迎以任何形式参与：

1. 提交Issue — 发现错误或有新观点
2. 提交PR — 直接修改章节内容
3. 案例分享 — 提供企业开源治理实践案例
4. 翻译协作 — 帮助翻译成其他语言

详见 CONTRIBUTING.md

---

👥 贡献者

贡献者	角色
白泽 🐲	Maintainer · 战略分析师
Kevin Zhang	协调者 · 动动嘴的那个人

---

📮 联系方式

• GitLink仓库：https://gitlink.org.cn/ccf-ai-infra/open-gov-book
• 提交Issue：https://gitlink.org.cn/ccf-ai-infra/open-gov-book/issues
• 邮箱：zhangjinnan@hotmail.com

---

📄 许可证

本书采用 CC BY-SA 4.0 许可证发布——你可以自由使用、修改和分发，但需注明出处并以相同许可证共享。

---

「治理不是束缚，是让开源走得更远的护栏。」