產業數字化走向深水區使得企業之間的創新協作變得越來越重要,而開源則是加速技術創新融合的關鍵手段,根據Synopsys的報告,有近99%的企業在其代碼庫中運行着開源軟件。與此同時,企業應用新技術的速度也會加快,AI、5G、邊緣計算等領域的應用實例在各行各業逐級深入,越來越多的複雜場景融入了開源技術,但另一方面,企業使用開源方案的門檻也在提升。
如今,可以看到幾乎所有的閉源軟件公司都在採用開源的方法提供服務,像微軟、甲骨文、IBM等都在擁抱開源,甚至砸出了數以十億、百億美元計的收購案。不過在大家爭相擁抱開源之時,往往也會忽視一些潛在隱憂,萬萬急不得。安全分析軟件Black Duck曾對超過1000個商業代碼庫進行了掃描,發現其中有96%的商業應用在使用開源組件,平均每個應用會調用257個開源組件,開源代碼庫的使用率也顯著提升。
不過,任何創新都是有成本的。Dynatrace委託研究機構Vanson Bourne進行的一項調查*中顯示,86%的企業已採用雲原生技術,其中包括微服務、容器及Kubernetes,以加快技術創新、獲得更為豐碩的業務成果。但也有63%的受訪者表示,企業雲環境的複雜性已超出了人類能夠管理的極限。74%的CIO擔憂,雲原生技術的廣泛使用會大幅增加在“確保正常運轉”上所投入的人工成本和時間,69%的受訪者正在尋求全新的運營方式,他們認為“Kubernetes的興起”增加了IT環境複雜性,使其難以通過純手動方式管理。
當然,選擇開源方案的時候先要了解什麼是開源,並且熟知開源代碼的相應風險,尤其是對於項目採購或負責人來説。首先開源是需要許可證的,是的你沒有看錯,代碼免費不代表背後的商業模式免費,而且開源也會有一些附加信息,Open Source Initiative公佈的數十種開源許可證(license)就是一種,藉助其版權所有者有權是否允許他人免費使用、修改、共享版權軟件。
從應用端來看,越來越多的開源組件被應用到基礎設施和業務系統中,跨平台的組件部署需要更加無縫的協作,經過完整的集成和測試才能在電商、金融、政務雲等平台上發揮最大價值。同時,異構計算的浪潮也對開源軟件的兼容性提出了更高的要求,在模型部署上亦是如此,從大型數據中心到區域雲平台,再到小型的電信邊緣雲,不同的軟件運行環境使得社區要提供多樣化的解決方案。例如雲原生應用在可編程開源基礎設施雲平台上部署時,需要APIs作為連接以滿足更復雜的應用需求。
不過,SAS曾對英國和愛爾蘭地區的數百名高管進行問卷調查後發現,開源技術通常也伴隨着隱性成本,這些企業往往會直接看到開源能夠以低廉的價格創造新的功能,但他們並不清楚要開展部署軟件工具需要花費多少資金,而且因此還會額外的漏洞風險。同時,企業還要在新技術應用前在員工培訓、業務適配等方面做足準備。一般情況下,開源技術和專有技術的配比是40%:60%。
造成這些問題的一大原因是,企業不知道使用開源工具的隱性成本,那麼如果企業在選擇IT架構之初就設立一定的標準或者等級劃分,就可以對預期開銷進行評估,並且對潛在的風險做出預測,一旦成本入不敷出就能及時選擇替代的方案。要知道,當用户選擇開源框架時會被第三方服務商要求取得合法授權,而這筆費用通常並不低。如果有人試圖躲過License,就會承擔可能出現的法律風險。
此外,使用開源框架還要考慮到最終的應用程序是否可用,儘管開源部分可能在整個業務系統中佔有較小的部分,但要是遭遇兼容性的問題,就會大幅降低產品或服務的穩定性,直接影響使用體驗。對於企業的技術人員來説,他們有責任在產品架構設計之初找到開源可能產生的漏洞,但事實卻是:44%的開源項目從未進行過安全審計。
顯然,這對業務的可用性造成了困擾,而且即使上游社區推出了最新補丁,開發商也不一定都會及時更新,更不要説企業內部的自查的。此時,企業的IT管理者有必要建立一道審查機制,對在核心繫統中運行的開源框架進行嚴查,及時對補丁進行更新升級。要知道,業內因為補漏不及時而發生的數據泄漏事件成堆,而其中多數是可以被預見的。
當大家對開源的態度持續升温,其背後的隱藏問題也隨之暴露,對於那些積極擁抱開源框架的公司尤其是小規模企業來説,切不可心急,否則就是心急吃不了熱豆腐。
(7633258)