开源社区驱动项目的风险分析

Question

我希望了解在不存在与风险相关的“美元价值”(如在开源项目中)时，如何执行风险分析的观点。传统上，风险分析的形式是

资产价值X年损失概率X损失的可能结果=风险

开源社区驱动的项目为人们提供了巨大的价值，他们的开发面临着巨大的风险，无论是从项目角度(从浪费开发人员周期到无法交付)，还是从产品角度(用户可能不喜欢该产品，更新可能会让人离开，或者安全漏洞可能使数百万系统易受恶意软件攻击)。然而，它并不完全符合这个公式。

谁负责在开源社区驱动的项目中识别和管理这些风险？团队如何决定哪些风险对项目的结果最重要？在这方面是否有任何正式标准或做法？

在采用开放源码的情况下，我相信这个问题有一些确切的答案：

https://www.federalreserve.gov/boarddocs/srletters/2004/SR0417a1.pdf https://opensource.com/article/17/3/risks-open-source-project-management

另一方面，我没有看到任何文学作品或声音谈到这方面的这类软件。积极参与这个社区的人有什么意见吗？

Answer 1

在风险分析中，价值不一定以美元表示。风险往往是及时表达的。您可以使用风险分析来容纳项目计划中的风险。我了解到风险暴露是通过以下方法计算的：

risk exposure = loss * probability

损失和风险敞口可以用美元或时间表示(或以其他价值衡量)。例如，如果主要贡献者每年大约生病一次，并且您正在为一个3个月的里程碑进行估算，那么主要贡献者患病的风险风险可以表示为：

2 weeks * .25 = .5 weeks

对于没有直接投资资金的开源项目，从项目里程碑的角度分析风险更为有用。

我认为开放源码项目进行风险分析的原因不是很普遍，原因是：

• 并不是所有的软件开发人员都知道什么是风险分析，如何去做，或者为什么它是有用的。
• 当比较所有可能的活动时，开放源码开发人员优先考虑其他活动而不是风险分析。简单地说，开发人员资源有限，时间有限，因此将代码、测试和文档贡献于风险分析更为有用。
• 许多开源项目缺乏足够的组织。这也是为什么我认为许多开源项目没有流程的原因。

谁负责在开源社区驱动的项目中识别和管理这些风险？

开源项目是异构的。风险很可能由一个了解项目和里程碑的社区成员来管理。项目所有者或项目创建者可能会这样做。

团队如何决定哪些风险对项目的结果最重要？

这就是风险暴露公式的来源。所有的风险对项目的结果都有一定的意义，但它们是按概率加权的。您可以通过列举所有风险及其风险暴露，并通过减少风险暴露来确定最高风险。