几乎办公室里的任何人都可以将开源代码引入公司的IT基础设施。然而,如果首席信息官不恰当地管理他们的开源资产,他们将面临真正的危险。
开源软件最吸引人的地方也可能是最棘手的问题:它是免费的,只需点击一下即可。
这意味着几乎办公室里的任何人都可以将开放源代码引入公司的IT基础设施。
这很容易让用户觉得,“这是免费的,没什么大不了的。”她不会为此付费的。”但IT部门仍然必须管理开源软件——如果IT部门不知道开源软件的存在,这就不可能发生。
“不知道你的工程师或其他员工给公司带来了什么从来都不是一个好主意。风险可能是有限的,但如果(人们开始)吸入他们想要的任何东西,就会出现问题。宾夕法尼亚州立大学(Pennsylvania State University)迪金森法学院(Dickinson School of Law)的客座助理教授克拉克·d·阿赛(Clark D. Asay)说。阿赛的研究重点是与互联网相关的法律问题以及技术变革引起的法律问题。
每一个开源软件都有特定的许可要求和可能的限制。同时,应该对软件进行文档化和跟踪,以确保其正常工作。问题是,许多IT组织并没有将良好的治理实践应用于开源软件。
高德纳(Gartner)分析师马克•德赖弗(Mark Driver)表示:“企业IT领域使用的绝大多数开源资产要么严重缺乏管理,要么完全没有管理。”
Driver承认开源软件的管理正在改善。他说,2008年进行的调查发现,全球1000家企业中有75%没有管理开源软件的政策。现在,他说,75%向他汇报的公司表示,他们确实有相应的政策,尽管德赖弗表示这些政策还不够。
他说:“当我看到这些政策时,我发现绝大多数都是无效的。”他解释说,许多政策需要自愿遵守,或者只适用于组织的某些部门。
然而,如果首席信息官不恰当地管理他们的开源资产,他们将面临真正的危险。他们可能会因为未能遵守许可证限制而陷入法律纠纷。他们可能会将基础设施暴露在安全威胁之下。或者,他们可能会发现自己忙于修复软件中的故障,因为他们无法快速识别这些故障,因为他们没有可靠的记录。
Steven Grandchamp曾见过一些公司因为对开源软件监管松懈而面临严重问题。“它扩散得如此之快,以至于现在有组织在使用它,但他们并不确切知道他们拥有什么,也不知道它在哪里。如果你甚至不知道自己拥有它,那么你就无法管理或降低风险,”科罗拉多州布鲁姆菲尔德(Broomfield)一家帮助组织管理开源软件的公司OpenLogic的首席执行官格兰彻姆(Grandchamp)说。
例如,一个OpenLogic客户端在处理大型零售商礼品卡的后端系统上出现了问题。就在圣诞节前,系统崩溃了,IT部门急忙寻找故障的根源。事实证明,有一段开放源代码的实现出现了问题,这是一位早已离开公司的开发人员没有记录的。
格兰尚说,这是It部门忽视将开放源代码作为关键资产的典型例子,因此未能降低随之而来的风险。
“由于某种原因,它已经摆脱了传统的管理渠道。它几乎完全逃脱了采购,因为(它是免费的)。它避开了许多技术评估,因为开发者可以直接下载它。”
福特汉姆大学(Fordham University)负责IT的副校长沙亚•菲利普斯(Shaya Phillips)表示,他的IT部门知道当开源工具管理不当时会发生什么,所以正在努力解决这个问题。
检查表
管理开源软件的最佳实践
OpenLogic首席执行官Steven Grandchamp表示,希望制定和实施开源软件管理政策的首席信息官首先应该停止将开源应用程序与商业应用程序隔离开来。
“去掉‘开源’,因为开源软件就是软件,”他说,并补充说IT在管理商业软件时使用的最佳实践也适用于开源代码。
但Grandchamp和其他人表示,开源管理协议也受益于其他策略。他和其他人建议如下:
aC/从详细的政策开始。“你必须声明自己愿意做什么,不愿意做什么,”格兰尚说。“这项政策的关键在于了解公司的风险承受能力,因为它确实应该是一项基于风险的政策。”
理解您的组织正在使用或可能考虑使用的各种开源工具的许可条款。
aC/跟踪开源软件一旦进入市场。Gartner分析师马克•德赖弗(Mark Driver)表示,“确保它得到了修补”尤为重要。
进行样本扫描或审计。正如财务审计的情况一样,不可能对使用开源所做的所有事情进行全面检查,但格兰尚说,您可以查看使用的抽样,并确保它们符合所有适用的指导方针。
aC/使用符合性检查表。Apache Software Foundation或Linux Foundation等资源提供了可以参考的示例。
aC/检查您在外部发布的应用程序,看看它们是否使用开放源代码。正如宾夕法尼亚州立大学助理教授Clark D. Asay所指出的,当代码被分发给组织之外的用户时,就会触发许多开源许可要求。
开发一个系统来识别可能对你的组织有价值的开源软件。这个系统应该考虑到你的需求,软件的能力和许可证的要求和限制,Driver说。他表示:“有时候你很适合编写代码,但不适合授权。”“并非所有的开源许可都是平等的。”
为你的工程师如何与开源社区合作制定一个策略。
在你的整个组织中交流政策。德赖弗说:“不能只局限于It部门,因为其他部门的人可能也在下载。”
他和他的同事们看到了开源的价值——它是免费的、灵活的、适应性强的。但他们也意识到维护它所涉及的挑战。菲利普斯是信息管理协会(Society for Information Management)的活跃成员,他说,很难确定什么时候对开源社区做出贡献,什么时候进行更新和补丁,以及什么时候为支持服务付费。
菲利普斯表示,为了平衡风险和回报,他的IT部门已决定避免对核心系统(如学生注册、财务和人力资源管理系统)进行开源,除非学校能够为这些系统购买支持合同。另一方面,菲利普斯表示,开源软件支持IT行业对高速创新的需求,而这正是移动工具等越来越多的应用所需要的。
他说,当开源出现时,治理是必不可少的。该大学的信息安全办公室审查建议使用的开放源代码,以确保其安全,并确保该大学符合许可条款。项目管理办公室按照软件开发办公室建立的ITIL标准跟踪代码。程序员必须记录他们使用了什么,在哪里进行了哪些修改。
“我们使用自己的协议。我们记录我们做了什么,用了什么,并给出正确的归因。我们已经批准了编程标准,”菲利普斯说,并补充说,员工被要求与开源社区分享他们编写的任何新代码。
福特汉姆的IT部门使用开源版本控制工具Subversion来跟踪公司的所有软件。菲利普斯说,他无法指出任何被避免的具体问题来证明这种关注是有益的。“但我相信我们会的,”他说。“它已经证明了自己,因为我们知道人们在开发错误版本的软件。”
降低开源软件带来的技术风险是IT部门必须更好地治理开源软件的原因之一。阿赛说,确保组织符合所有许可和法律要求是另一个问题。
阿赛说,一些开发人员可能仍然认为“开源”意味着“在公共领域”,使用开源代码不会侵犯任何人的知识产权。但是,事实上,开源软件是有版权保护的,许可证规定了代码的使用方法。
有许多开源许可证,其中GNU通用公共许可证是使用最广泛的。许可证通常会指定您是否或何时必须公开代码的使用、属性,以及/或向代码来源的社区贡献更改和修改。
Asay解释说,当使用开放源代码的实体将最终软件包分发给其他人时,限制和需求通常会发挥作用。
“如果人们只是把它拉进来,而它没有机会推出市场,那么没有人会知道它的用途,所以你就没有授权义务。分销是促使授权义务成为现实的触发器。
但是在这个时代,当很多IT组织开发应用程序供客户在与公司互动时使用时,开发人员可能会比他们意识到的更频繁地跨越这个分布界限,阿赛说。这可能意味着法律上的麻烦。
“你有这样的文化(认为)‘嘿,我们可以免费使用它。我们可以避免重复工作。”但如果你不遵守许可条件,那么版权所有者可以提出禁令,并获得法定赔偿,”阿赛说。
Ramaswamy Nagappan潘兴(Pershing)的联席首席信息官表示,正是由于这些风险,开源软件需要与商业软件一样多的管理(如果不是比商业软件多一点的话)。这就是为什么潘兴有关于何时以及如何使用开源的详细协议。
这些协议首先要求提议使用的开放源代码经过法律审查,以检查其许可条款和贡献要求,并确定是否存在任何侵犯知识产权或专利的威胁。(Nagappan指出,商业软件也要经过法律审查,但这是在采购过程的后期进行的。)
“然后我们做一个小型试点。一个小团队下载它,他们确保它能运行,然后进入开发周期——他们测试它,确保没有漏洞。这就像一个概念验证,”他说,并指出It还会查看拥有的总成本,并将其与可比商业产品的TCO进行比较。
如果它通过了所有这些检查,代码就会成为公司开源选项目录的一部分,这些选项会在潘兴自己的免费开源软件管理应用程序中被跟踪。他说,这确保了“人们不会下载与我们已有的功能相同的东西”。
哈佛商学院(Harvard Business School)副教授卡里姆·r·拉哈尼(Karim R. Lakhani)广泛研究了开源软件社区的兴起。他说,在不断发展的工具和服务提供商的帮助下,越来越多的组织正在制定强有力的管理政策。但仍有更多的组织需要承担责任。
“IT高管确实需要注意这一点,并创建一个他们引入的代码清单,以及许可证是什么。但大多数组织都无法很好地控制自己的义务,无论是对商业部门还是对开源部门。”但他补充说,他们应该这样做,并指出“软件,无论是开源的还是商业的,都有很多障碍。”
普拉特是马萨诸塞州沃尔瑟姆市《计算机世界》的特约撰稿人。联系她marykpratt@verizon.net.
阅读更多关于应用程序的信息在计算机世界的应用主题中心。
这篇题为“免费(附带条件):跟踪开源代码”的文章最初是由《计算机世界》 .