开源大趋势下,各种各样的五大开源问题及解决方案企业参考

近年来,开源代码的使用持续上升,各类公司都习惯于使用开源代码来构建自己的系统和平台。开源代码带来的便利是有目共睹的,但巨大收益背后往往也存在挑战。开源虽然方便大家,但它的隐患也不容忽视。

Synopsys 2018 开源安全风险分析软件 Black Duck 扫描了 1100 多个商业代码库,发现 96% 的商业应用程序包含开源组件,平均每个应用程序包含 257 个开源组件。开源代码存储库的平均百分比从 2017 年的 36% 上升到 57%。

许多开源专家都预见到了这一趋势。专家表示,在开源的大趋势下,各种问题接踵而至,很多公司都在寻找解决方案和维护方法。以下是五个开源问题及解决方案,供企业参考。

1.了解开源

开源软件的便捷获取和使用吸引了很多企业,但同时也让很多企业头疼,因为没有相关的管理政策来限制开源软件的使用,比如规定哪些开源能用nod32与内核通信时出错的解决方法,什么能用。

国际律师事务所 Mayer Brown 的律师 Paul Chandler 表示,许多公司对他们今天使用的开源软件知之甚少,甚至在自己的生态系统或产品组合中都没有,更不用说解决漏洞了。

Paul Chandler 建议企业 CIO 应该使用扫描工具来查找在企业中运行的开源代码。要求他们的商业产品供应商在他们的产品中标明开源代码并承担开源风险。另外,购买合同的人一定要懂开源,因为开源代码最终会以商业产品的形式出现在用户面前,承担着很大的风险责任。每个公司的 CIO 都应该为何时使用开源以及在什么情况下制定战略计划。此外,应根据企业需求制定开源安全性能和许可证检测策略,并确定OSS管理和维护人员。

2.遵守许可要求

开源倡议组织(Open Source Initiative)是一个倡导开源的非盈利组织,列出了80多个已经获得批准的开源许可证,每个许可证都有单独的规则和要求,使用OSS的企业必须遵守相应许可证的规则和要求。

Mayer Brown 合伙人 Robert Kriss 表示,虽然开源是免费的,但会有很多额外的信息。开源许可证要求各不相同,例如,一些许可证要求开发人员分享他们对开源代码所做的更改,但其他许可证可能不会。对于某些专有代码,不允许更改。还有一些规则限制将开源软件用于商业产品。此外,在一个产品中使用多个 OSS 的开发人员可能会发现一个开源代码组件的许可条款与与之关联的另一个开源组件的许可条款冲突的问题。很多开源软件的许可条款没有明确表达,给企业带来很多问题。但是,许可条款在控制开源风险方面起着非常重要的作用。许可证将指示语言风险。看完后你才能估计出其中的隐患。

3.设置开源服务级别

OSS的主要优点是可以免费获取代码,无需支付任何费用。但这并不意味着开源没有成本。 Gartner 副总裁兼研究总监 Mark Driver 表示,企业经常无法正确计算他们使用的开源软件的总成本,并且总是低估维护和管理开源软件所需的时间。

司机说; “许多公司选择非商业路线,因为他们认为这样会更有利可图,并且只使用内部资源进行维护工作。但在这种概念下,公司很容易误判。他们的实际消费能力。”

为了避免这种情况,Driver 建议,IT 需要为应用程序中使用的开源代码建立所需的服务级别。这使公司可以轻松评估开源成本以及潜在的失败成本,并帮助公司将净利润与商业替代方案进行比较。

驱动强调:“企业对开源的热情不是他们经营业务的方式。认识到开源的价值,才是业务的真正实现。”

4.关注可用性

目前,开发人员正在使用 OSS 为用户提供其应用程序所需的功能和特性。但 G2 Crowd Inc. 的首席研究官 Michael Fauscette 表示,很少有开发人员会考虑他们参与开源软件是否会影响应用程序的可用性。即使开源软件只占应用程序的一小部分,可用性不匹配也会显着降低整体产品的功能或用户体验。因此,开发者在选择开源软件之前,应该权衡开源软件的好处和产品的可用性。

Michael Fauscette 补充道:“今天的员工对使用不易使用的东西的容忍度往往很低。”

5.维护和管理开源产品组合

经验丰富的开发人员知道他们有责任为生产中的开源软件找到更新和错误修复,但他们通常做得不好。

Snyk 对开源项目维护者的调查发现,44% 的开源项目从未进行过安全审计,只有 17% 的项目表示拥有高水平的安全专业知识。对于开源项目应如何记录其安全性也没有标准。而且nod32与内核通信时出错的解决方法,即使问题得到解决,也无法通知旧版本的用户。即使发现了漏洞并推出了补丁,使用该代码的公司也可能不会注意到它需要补丁,或者找不到需要补丁的实例。

Driver 说,开源资产在 IT 投资组合中通常没有得到妥善管理。公司的技术主管应实施治理程序,以确保企业操作系统得到充分管理,并且应用程序在企业环境中正常运行。

驱动建议技术总监建立多层管理体系,严格管理运行在关键程序中的OSS。这是一项艰巨的任务,但逃跑的后果可能是灾难性的。 2017 年的 Equifax 数据泄露事件敲响了警钟。其使用的 Apache Struts 开源组件的补丁早在数据泄露前 2 个月就推出了,Equifax 也注意到有补丁可用,但仍然未能及时应用补丁。

Welty 说,当公司使用开源代码时,他们必须有一个适当的治理流程来监控和引入更新。当监测到开源代码未定期更新并提供补丁时,应及时解决。

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论