对技术治理进行代码扫描

您正在使用哪些开源项目?他们是如何获得许可的?哪些内部应用程序使用的开源最多?哪个用得最少?您需要解决哪些安全漏洞?

软件开发组织需要定期询问并回答这些问题，这不仅是为了确保遵循开源许可，也是为了理解它们开放源码使用配置文件。

为什么理解您的开源使用配置文件很重要?

通过利用开源组件，现代软件开发团队可以做得更多、更快，并且使用更少的资源。开发人员编写自己的String和HashTable类的日子已经一去不复返了，但是随着这种新功能的出现，新的责任也随之而来。团队现在负责跟踪和管理他们对开放源码的使用，以避免技术和法律上的不兼容性、安全问题和维护噩梦。

其他文章讨论的是法律和许可问题，而本文关注的是开源使用配置文件的技术方面。

开放源码使用配置文件

开放源码使用配置文件基于应用程序开发活动中使用的开放源码语言、工具和组件，以及如何使用这些组件。这个概要文件对于理解在哪里投资(例如，培训、教育、支持、治理)、调查(例如，分析、自动化、缓解问题)和准备(例如，计划升级、寻找替代方案、替换组件)是非常关键的。要创建您的开源使用配置文件，要么调查开发人员(充满危险)并在Microsoft Excel中跟踪结果，要么使用自动扫描工具如OpenLogic的OSS深度发现。无论您选择哪种方式，请确保至少每年更新一次您的概要文件，因为在开放源码的世界中，项目和许可证变化很快。

使用最新的配置文件来减轻技术不兼容、安全问题和维护问题。

技术不兼容

由于开放源码项目是开放源代码的最大用户，因此最喜欢的项目很可能依赖于其他开放源码组件，等等。如果同一棵树中有相同包的不同版本(比如Java的流行日志工具)，那么这个依赖关系树可以迅速地变得更宽更深。重要的是更新新版本、bug修复、安全补丁和兼容性改进为了避免导致长开发周期、难以解决的bug以及需要同时升级其他所有组件的单一组件升级的持续的不兼容性。

对于单个项目来说，更新新版本和bug修复相对容易，但是当使用数百个开源组件(这是当今企业开发环境中的常见场景)时就比较困难了。选项包括订阅开源社区邮件列表、访问新发布的web页面(如果有的话)和阅读论坛。一种更简单的单一方法是使用OpenLogic的OpenUpdate¹向客户发送聚合的开源新闻项的服务，包括关于新版本、安全问题和流行的企业级项目的关键bug补丁的信息。

安全问题

安全漏洞总是一个热门话题，因为它们通常需要立即采取行动来避免公共事件。重要的是要知道您所依赖的开放源码组件何时存在漏洞，以及如何解决它。保持漏洞的最新信息可能与访问常见漏洞和公开站点一样复杂²，国家脆弱性数据库网站^3.以及开放源码漏洞数据库⁴，或者像使用OpenLogic的OSS Deep Discovery一样简单扫描您的应用程序，并指出具有安全漏洞的开源组件。

维护问题

开源的许多积极方面之一是它有大量的选择。您可以从各种各样的操作系统、语言、数据存储、应用程序服务器、工具和实用工具中进行选择。您可以选择简单或复杂的解决方案。您可以选择性能而不是可伸缩性，反之亦然。您甚至可以选择一个有可疑许可证的废弃项目，而不是一个具有蓬勃发展的社区的企业友好型项目。等等，那是什么?这是正确的,哪些项目适合在企业中使用，哪些项目只适合做实验或业余爱好，这并不总是很清楚的。如果您的开发人员在内部引入了错误的项目，那么在您遇到麻烦并需要删除这些项目时，可能会出现问题。

在将任何开源组件引入您的环境之前，都要对它们进行彻底的研究。所有这些都应该拥有著名的开源许可证、坚实的社区以及可用的企业支持选项(具有规定的SLA)。OpenLogic提供了一份白皮书，详细描述了用于证明开放源码包为企业级可用的42点流程。遵循这一流程或类似的流程，或从OpenLogic保护您的开放源码组件，以避免将来出现问题。要获得对开放源码组件的企业支持，可以求助于社区或支持提供者，比如OpenLogic。仅仅依靠内部人员来提供开源支持是不明智的因为它们经常在不同的项目之间流动，不能总是提供24x7的生产支持，甚至可能离开公司。

另一种类型的维护问题源于选择了太多的好项目和技术。如果每个应用程序团队选择一组不同的开放源码组件，那么共享经验、在应用程序之间移动开发人员以及期望团队朝着相同的方向移动就会变得很困难。您的开放源码使用配置文件将清楚地显示任何合并的需要。另一方面，最新的个人资料也可以引导你发现一旦新技术在组织中被证明是成功的，如何利用它们。

结论

首先为单个应用程序创建开源使用配置文件。您可能会感到惊讶，您已经使用了多少组件，这些组件在幕后使用了多少语言、许可证和技术。

需要更多关于技术治理的信息吗?联系我们:

加入网络世界社区有个足球雷竞技app脸谱网和LinkedIn对最重要的话题发表评论。

工资调查:结果在