首页 云计算 服务器 大数据 存储 IT 安全 物联网 软件 商品

云计算

云资讯频道旗下栏目: 云资讯 云安全 云开发 云趋势

2019云计算开源产业大会丨武倩聿:企业级开源治理标准解读

大家下午好,今天我为大家带来“企业级开源治理标准解读”。

这项工作是中国信通院去年底开始做的,大概持续到2019年上半年做了首批试评估,这一年时间内,我们在持续探索企业级开源治理的路径,欢迎业界跟我们做共同的探讨和研究,帮助我们持续进步。

背景。

国内开源项目也是近几年来开始较多的,之前一般是聚焦国外的项目。(表)华为、腾讯、阿里,包括今天上午主会场也给很多企业开源项目进行了颁奖,国内开源氛围已经慢慢形成了,看到很多优秀的国内开源项目正在涌现,包括很多开源项目数也不少,有很多人在使用,并且在持续地贡献,而且国内一些项目贡献到国际顶级基金会,可以看到国内这方面开源精神,包括国内科技企业开源热潮有一个较好的上升趋势。

  用户侧开源使用

开源的使用以前考虑问题是到底要不要用开源,现在考虑的问题已经变成了用开源有没有什么问题,关注一些风险点,大家已经接受了我们必须要用开源的这个事实。

开源软件对于企业来讲,以前是可以选买商业的BI软件,封闭式的一些巨头等等,但现在云计算、大数据、人工智能这些领域里面比较新的技术,包括比较热的技术,都是开源的,因为只有通过开源这种模式才能够快速去占领市场。

今天是云计算开源产业大会,云计算里OpenStack等这种顶级的项目,包括他们在市场上的占有率基本是No.1,开源已经成为一种趋势,用户不可避免要用开源。由此看到我们用开源并不代表一定就要用社区版的,直接从GitHub或官方下载下来自己用,而是可以选择买一些服务基于开源的商业产品。

基于OpenStack提供服务和产品的企业,这些年这些企业非常多,基于开源提供产品或提供服务的方面做得越来越好。跟行业用户、金融机构去聊,大家愿意买这种产品或服务,其实对于用户侧企业来讲,编程或信息系统并不是它的产品,而是为它提供前台业务的一个手段。在这种情况下,大家其实愿意通过这种方式去购买服务活产品来保证自己的核心信息系统稳定运行。

   开源的风险。

自发开源企业风险,如科技公司,腾讯或阿里等公司把自己的项目贡献出去其实是有风险的。如,安全,企业内部一些数据、IP或企业内部一些信息如果在开源之前不去查,放到GitHub上会有信息泄露的。合规和知识产权问题,今天我们邀请到了中国信息通信研究院专门做知识产权的老师毕春丽主任,也会专门针对这一块对大家做分享。

我们简单讲一些开源知识产权方面的问题,如许可证、知识产权专利、开源规则变化。2018年出了很多大家比较关心的事情,一些非常有名的开源软件修改许可证,当然原因可能跟云服务商有很大的关系,希望通过修改许可证的方式去限制云服务商对开源软件的使用,而不去贡献社区的这种行为。自发开源企业来讲这方面要重点关注。

  管理风险。

自发开源企业对于开源如果都是项目组自己愿意开源就开源,没有统筹管理,里面涉及到的风险没有办法把控,如果代码里有专利等问题,没有做一些提前的申请,对企业来讲后续会有一些困扰。

 用户风险。

包括管理方面的风险,今天上午给几家企业做了开源治理评估,也把优秀案例分享到了《金融行业开源治理白皮书》中,欢迎各位关注我们的成果。在里面邀请了很多企业写他们企业怎么做开源的,一会儿也有专家分享。我们认为,开源方面的风险首先要管,要知道自己企业里有什么开源软件,不能什么都不知道,这个风险其实最大。

再有是运维和技术风险,用户核心诉求并不是这个软件,而是基于这种软件和信息系统去提供前台业务,其实没有那么多开发人员,也没有那么多精力去做软件的运维,包括技术支持,所以对于用户侧来讲虽然没有花钱买软件,但反而付出了更多其他的成本。

安全漏洞和缺陷问题。我们讲安全漏洞并不是开源软件和闭源软件哪个安全问题更严重,只是开源软件有安全问题、有漏洞问题,大家要关注。之前购买软件是有厂商提供运维支持,包括安全方面的支持,但很多开源软件这方面需要你自己持续跟踪、持续更新,包括社区会针对一些漏洞做版本的更新,如果不跟踪的话,这个漏洞还保存在现在信息系统里,有风险。

   开源许可证涉及知识产权问题。

对于用户侧来讲,开源许可证并不是一定要特别深入了解,或一定要对知识产权问题特别懂、特别专,而是要让技术人员去知道有这么一个东西,开源是有知识产权的,是有许可证的,有授权的。这是一个产业科普问题,包括对我们用户侧技术人员是有这方面要求的。

基于以上这些问题,我们去年开始做国内首个企业级开源治理标准,邀请20余家企业参与我们讨论和编制,里面涉及到用户侧企业,也包含科技类企业,这个标准已经在CCSA立项,上半年已经完成了首批试评估工作,欢迎大家持续关注我们这个标准,后续会持续做一些修正或补充,进一步扩充这个标准,希望能够更满足、更贴近大家的实际需求。

下面简单介绍一下标准主要内容。

本标准分为两部分:

第一部分,自发开源企业,像腾讯或华为这种把项目贡献出去的企业。

第二部分,面向用户,也就是产业界,可能只是把开源软件拿过来用,而不是要把这个代码修改,还要贡献给社区,这个需求其实差异比较大。

首先介绍面向自发开源企业的标准。

为什么把这三项放到一页PPT里?是因为这对于企业来讲是偏基础设施或偏底层的要求。首先要有一个开源治理的组织机制,企业有一个部门或有一些具体人管这个事情,因为只有把这个职责具体分配到个人,才能持续推进下去,包括安全、知识产权、开源许可证,这个工作都是落实到个人或每个部门一些领导的。

开源项目管理制度,审批制度是必需的,企业里以企业名义开源出去是一定要经过审核的。但列成可选的辅导和激励机制是下一步更高级的要求,比如企业是否要设置一些课程或培训,或通过什么途径能够了解开源是怎么回事,怎么才能把一段代码变成一个项目开源到GitHub上,并且以企业的名义,我们对开源一些认识等等,都需要企业建立一些机制去做。

工具平台建设。开源工具平台对于企业来讲是基础设施,代码扫描、原创性等也不一定是只有开源才用得到,可能科技公司都需要做这些扫描。

这些我们认为是开源的基础设施。

再往下列了1234,是开源项目的流程,包括申请、审批、发布和关闭整个完整的链条。