云计算
首页  >  云计算  >  要闻

规避开源风险,企业需做好三件事

2019-07-18  来源:人民邮电报  作者:黄舍予

在过去的十余年中,云计算在全球范围内得到了快速发展。尤其是大数据、人工智能等技术的不断成熟,以及企业上云步伐不断提速,“云”已经成为生产和生活中不可或缺的重要元素。而随着云计算与更多行业融合,金融云、政务云、交通云等应用和平台兴起,智能云、边缘云、云管服务等新概念和新技术也开始涌现。正是因为加速落地,全球业界对于云的关注也从单个技术发展到整体效能的提升,这意味着如何让云为企业的信息化赋能,如何促进业务开展,成为更多企业思考和探索的重点。

“开源正在日渐成熟,同时风险也开始凸显。”在近日召开的“2019云计算开源产业大会”上,中国信息通信研究院云大所云计算部副主任栗蔚在接受《人民邮电》报记者采访时发表了这一观点。

栗蔚认为,业界对于开源的认知正在从原来的趋于理想化过渡到商业化,同时开源的“打法”,也从原来以个人为主,演变到以企业为主。正是因为越来越多的企业开始拥抱开源,开源甚至已经成为商业竞争的重要手段,开源的风险也开始凸显。

从全球来看,开源已经成为技术垄断的重要途径。栗蔚表示,虽然开源打破了闭源的“围墙花园”,但是开源也带来了另外一种形式的“垄断”。因为,一旦一个开源项目成为技术标准,就意味着形成了新的技术垄断。在过去的几年中,开源在全球得到了迅猛发展,目前中国已经出现了开源的领军企业和领军项目。

正是因为开源在技术竞争中占据越来越重要的地位,所以更多的企业开始在开源上投入大量资源。“如果说原来的开源主体以个人或者松散组织为主,那么今天的开源则是以企业为主,而且很多采用的都是体系化的策略。”栗蔚强调道。

开源的重要性不断提升,开源中的风险也就开始引发业界的关注。栗蔚表示,开源的风险大致可以分为几大类:一是开源软件与传统软件一样,也存在安全问题;二是现有的大量开源项目的创始人和发起者都是国外的个人或基金会,会受到所托主体法律环境的影响;三是企业刚开始使用开源项目是免费的,但是后续使用中可能被要求收费;四是企业在使用开源技术的同时,往往面临法律风险;五是对于最终用户而言,一旦使用了某种开源软件,就意味着选择了相应的技术路径,如果这个技术路径出现了问题,那么企业必将受到影响,甚至产生损失。

当前,越来越多的企业认识到开源的风险,以阿里、腾讯为代表的大型互联网企业因此设立了开源管理部门,以应对风险。但是对于很多小企业而言,这并不容易实现。

“要规避开源风险,企业需要做好三件事。”栗蔚表示,企业首先需要对开源风险有足够的认知。其次,企业还需要具备一整套的机制,比如成立开源管理办公室,对企业目前的开源风险进行梳理,针对开源软件的引入、使用、退出制定相应的策略。最后,还需要拥有开源管理工具,目前国内还没有成熟的自动化的开源管理工具和平台。

值得一提的是,面对当前开源风险凸显,相应市场体系还不够完善的情况,可信云推出了业界首个《开源治理能力评价方法》,该标准针对开源用户在使用开源软件或产品时面临的问题,规范了企业在组织机制、管理制度、软件选型、风险管理、使用规范、二次开发、持续跟踪、社区反馈和退出制度九个方面应遵循的规定。其中,在风险管理上,标准对于开源软件的统一引入管理、风险识别、风险记录和沟通机制给出了明确要求。

中国信息通信研究院云大所云计算部风险管理主管郭雪透露,基于该标准,可信云已经展开了首批开源治理能力评估,评估结果在“2019云计算开源产业大会”上进行了公布,四家企业通过了评估,分别是腾讯、浦发银行、中国农业银行、太平洋保险。“四家企业中,有三家是金融机构,这一方面说明金融行业对于开源风险更加关注,另一方面也说明金融企业具备较强的技术能力。”

据悉,下半年可信云还将展开第二轮的开源治理能力评估。同时,还将携手业界推进开源项目的评价机制的制定。

“目前,业界还没有比较成熟的开源管理工具和平台。”郭雪表示,目前国内的开源管理工具基本是“人工手动”模式,尚未实现自动化。而在开源管理平台上,仅有个别公司基于自身需要进行了开发。未来,可信云将重点推进自动化开源管理工具和平台的打造,进一步提升我国开源管理水平。

关键词:开源软件 开源项目 风险识别 云计算