不管企业是否了解开放源代码技术,几乎所有企业都安装了开放源代码技术。在成千上万的开源项目基于派生于数不清的受制于各种许可证的源代码的软件的情况下,必须采取治理措施来减少法律和运营风险。其目标是部署政策、系统和流程来确保管理使用开源软件的合理的标准。
公司可以部署各种治理解决方案,这些解决方案使他们可以记录开源的使用情况,实施开源政策,自动完成批准流程,跟踪和审计开源部署以及确保与开源许可证的遵从性。
开源治理的关键组成部分是了解企业使用什么开源软件,在何处使用。除了帮助你确定法律风险外,掌握“使用什么”和“在何处使用”在系统停机、发现安全漏洞或发生法律诉讼时至关重要。
令人吃惊的是,大多数企业不知道它们使用多少开源代码。在一些开源技术被各种规模的公司广泛使用的同时,另一些开源软件包由开发人员从网上下载,从而绕过了标准的采购流程和控制。此外,一些工具由于被捆绑在开发人员需要的其它软件包之中,因此常常在不知不觉的情况下被部署。
事实上,开源程序可能包括几十种其它开源组件,从而使评估使用什么开源软件和涉及哪些许可证变得非常困难。建立开源库存目录基线是治理的关键步骤。此举将帮助你确定减少法律风险和计划使用、支持和更新开源组件所需要的行动。
开源软件的许可证难题
虽然开源代码可免费下载,但每个开源项目都附带着管理使用条件的开源许可证。事实上,目前有50多种获得OSI批准的开源许可证、这些许可证的成千上万种变种以及大量的没有得到批准的一次性开源许可证。尽管很多开源许可方式的讨论围绕着GPL许可证展开,但其它的许可证在企业使用的开源软件中更常见。
与使用商用软件不同,你必须研究哪种许可证适用于下载的开源软件。在许多情况下,由于捆绑的代码而可能涉及许多许可证,并且这些许可证常常没有被明确地罗列出来。因此,发现所有适用的许可证需要谨慎对待。此外,一些许可证可能要求承担相互冲突的义务,即使它们应用于某个应用的组件。
一旦你了解你拥有什么开源工具后,你必须定义和实施管理使用它们的政策。这些政策应当定义参数和规则。这些参数和规则包括对证书的要求或开源软件的支持、什么许可证是可接受的、开源软件获得批准的流程和标准以及与开源社区打交道的指导方针。你的机构将根据这些参数和规则选择、使用和管理开源软件。例如,一项政策可以定义预先得到批准的开源工具的白名单、禁用的开源工具的黑名单以及哪些灰名单开源软件包可以使用的条件。
许可证审批的管理的范围从宣布使用什么开源软件的简单电子邮件流程到更复杂的流程。重要的是记录使用什么开源软件、何处使用和什么得到了批准。随着这些批准流程被实施和自动化,它们将成为标准开发实践的组成部分。
你最后需要的一样东西是完整的开源工具的审计跟踪。如果没有安装了什么软件的记录,那么当出现法律或生产问题,搜寻这种记录将变得非常困难和代价高昂。
首先,企业必须跟踪经过指定的流程(包括从批准的开源库中下载的软件和批准使用的历史)开源软件。但是,即使有了合适的政策和流程,一些未经批准的开源软件可能会通过缝隙溜进企业。因此,企业还必须通过定义的检查和审计来支持这些努力,来确保所有人都遵守规则。审计使企业可以将开源软件使用情况与使用政策和批准使用的软件进行比较,寻找不一致的现象。
此外,正如使用专有软件一样,你需要确保你支持开源软件、控制使用的开源版本和管理更新过程。许多企业说它们拥有一种开源组件的各种版本,它们常常不知道哪种版本正在何处使用。最终结果会影响到正常运行时间、效率和风险。
跟踪和审计流程应当使企业可以看到开源软件使用情况的多种视图――按项目、许可证、用户、生命周期状态和服务器。多种跟踪机制――请求表格、系统扫描、手工输入、构建工具、下载――是执行政策和管理遵从性所不可缺少的。
所有这些元素一起为企业提供实施开源软件治理和减少风险的宝贵的、可审计的信息。通过部署跟踪和审计开源工具的流程和工具,企业可以在减少风险的同时,利用开源软件带来的巨大的费用节省。