人们都喜欢开源软件,它们免费、易访问而且实施简便,不过CIO们依然还是会遇到问题。
CIO通常会欢迎员工在去使用更多的开源代码,因为使用这样公司可以节省时间和金钱。但开源并非没有挑战,随着企业内开放源代码数量的增加,挑战也在不断增加。
Synopsys 2018开源安全和风险分析报告(2018 Open Source Security and Risk Analysis)分析了1100多个商业代码库,发现有96%的应用程序中具有开源组件,而平均每个应用中有257个开源组件。此外,开源代码库的应用比例也从2017年的36%提升至57%。
一些IT和开源专家表示,他们也看到了这种趋势,但他们也指出,许多组织仍受困于开源软件问题,以及如何更好地管理它们对OSS(开源软件)的部署和实施。
全球咨询公司North Highland的技术VP Paul Welty表示:“企业仍在加强治理。”在这里,专家强调了五个常见的开源软件问题以及它们应该如何处理。
1. 不了解“源”
可以获得和使用开源软件的便利性是其吸引力的很大一部分,但这也会让IT主管头疼,因为他们没有制定和执行关于何时以及何种开源可以被企业员工所使用的相关规定。
国际律师事务所Mayer Brown 的律师Paul Chandler表示:“大多数公司实际上并不知道他们现在使用的是什么开源软件,这是一个问题。”“如果你不知道你的生态系统或产品组合中有哪些开源软件,那么你又如何知道自己可能存在哪些漏洞,以及需要寻找哪些补丁?”
Chandler认为CIO们应该使用扫描工具来找到他们组织中运行的开源代码。并要求其业务软件供应商公开其产品中使用的所有开源代码,同时要求供应商承担与开源相关的风险和责任。
“采购合同也必须是‘开源’的,他们(客户)需要预见到开源产品将通过何种商业产品体现,并为公司提供风险保护,”Chandler说道。
此外,他表示CIO应该建立一个战略,以确定开源软件的使用时间和场合。该程序必须基于企业需求来审查开源代码的安全性和许可证问题,并且必须建立治理系统来确定谁负责管理和维护企业中的OSS。
2. 忽视许可证要求与规则
致力于推广开源软件与项目的非营利组织开放源代码促进会(Open Source Initiative,OSI)在其官网上列出
了经由它批准的约80个开源许可证,但所有这些许可证都有各自的规则和要求,使用OSS的组织需要理解这些
许可证规则和需求对他们自身意味着什么。
“尽管开源是免费的,但它有很多附加条件,”Mayer Brown的合伙人Robert Kriss表示道。
这些许可证要求在技术上可能很复杂,有些许可证还会要求开发人员共享他们对源代码所做的任何更改,而另一些则可能不会对此进行限制。有些有专利反击限制,而其他影响还包括对于开源软件是否可以用于商业销售产品的限制。此外,在产品中使用多个操作系统的开发人员可能会发现一个开源组件的许可条款与另一个相关的许可条款相矛盾。
Kriss说:“公司在遵守许可条款时真的很头疼,部分原因是条款说明并不明确。”“但原则是,风险会取决于许可证的描述,你必须阅读许可证才能知道你面临的风险是什么。”
3. 低估开源软件的成本
OSS的主要吸引力在于无需付费就能获得代码, 不过这并不意味着使用它们就是没有成本的。
GartnerVP兼研究主管Mark Driver表示,企业往往无法计算它们选择使用的开源软件的总拥有成本。此外,企业还会低估员工维护开源代码和管理开源软件问题时所需的时间。
“许多公司会选择非商业路线,因为他们认为自己能得到最大的回报,认为他们只是利用内部资源来做日常的(维护工作),”Driver说到。“但是他们很容易混淆或失去知道自己花了多少钱的能力。”
为了避免这种情况,Driver认为,企业需要建立应用程序中使用开放源代码所需的服务级别,并考虑到这些应用程序的临界性。这样,企业就可以确定充分支持开源代码的成本、与该代码相关的潜在应用程序失败成本,以及该净成本是否优于商业替代方案。
“我们看到人们对开源具有无限热情,但这不是你应有经营企业的方式。你必须冷静地看待它的价值。”Driver表示到。
4. 不在乎可用性
开发人员会使用OSS以快速交付用户所需要的应有程序特性和功能,但G2 Crowd Inc.的首席研究员Michael Fauscette表示,开发人员也需要考虑开源产品是否能提供与商业产品同等的可用性。
当企业选择开源产品而不是将开源代码作为最终产品开发的一部分时,可用性问题很关键,他解释道。即使开源软件只是一个更大的应用程序的一部分,它仍然可以使一个特定的特性或功能变得不对用户友好。
Fauscette认为,在这种情况下,虽然开发人员不必去放弃开源选项,但他们也应该权衡开源的好处是否大于有限的可用性。他补充道:“如今,员工对一些不容易使用东西的容忍度要低得多。”
5. 未能管理和维护开源项目组合
开源项目中,那些主要的供应商并不会去发布软件更新或推送系统补丁。从理论上讲,经验丰富的开发人员应有责任去主动进行开源软件的更新,但他们常常做不到。
Driver表示: ”开源资产在IT投资组合中往往管理不善。”
技术主管需要执行治理程序,以确保他们的团队能够充分管理他们运行的操作系统。该程序必须包含一个程序来查找、检查和测试软件更新,以确定它们是否安全,并可在企业环境中工作。Driver建议技术领导者建立一个多层次的管理系统,OSS在关键任务应用程序运行应得到最严格地管理。
尽管这是一项艰巨的任务,但逃避对开源软件问题的管理可能是灾难性的。Welty提到了2017年Equifax的数据泄露事件,Equifax承认黑客利用了开放代码中一个已知的漏洞,但其实Apache Software Foundation早已发现了这个漏洞,并提供了一个补丁来修补这个漏洞。Welty说道:“你必须有一个程序来监视和引入更新。”
来源:Tech Target
作者:Mary K. Pratt
翻译:张飞逸
版权声明:
凡本网内容请注明来源:T媒体(http://www.cniteyes.com)”的所有原创作品,版权均属于易信视界(北京)信息科技有限公司所有,未经本网书面授权,不得转载、摘编或以其它方式使用上述作品。
本网书面授权使用作品的,应在授权范围内使用,并按双方协议注明作品来源。违反上述声明者,易信视界(北京)信息科技有限公司将追究其相关法律责任。
评论