道阻且長,開源治理的「四步法則」
上世紀六七十年代,美國麻省理工學院的學生經常寫一些自由軟件,自由分發。沒人會想到軟件的權利,更談不上商業行為。80年代中期,理查德·斯多曼啟動了GNU工程, 并創辦了自由軟件基金會,從而拉開了開源運動的帷幕。1991年,Linux軟件推出,更是得到了自由軟件愛好者的喜愛,成為開源軟件之星。
這意味著,它使軟件源代碼可以免費獲得、自由修改,更重要的是,自由共享、計算機軟件知識產權、計算機軟件開發模式、世界軟件業競爭格局都由此發生了翻天覆地的變化。
企業也因此借開源走出了一條自主創新的陽光路,特別是操作系統、開發工具、支撐軟件等軟件的開源,加快了企業產品的開發速度和創新能力。不過,有了好風是遠遠不夠的,關鍵是如何借力。
誰歡迎開源?誰從開源中受益?哪些產品適合開源?哪些產品并不合適?如何著手開源治理?這些問題都需要企業三思而后行。信通院可信開源治理專家、紅帽云計算及自動化解決方案架構師嚴興華認為,開源是把雙刃劍,要想用好,必先治理。他認為進行開源治理和建設的關鍵步驟有四——建設團隊、規劃工作目標、技術探索、文化導入。“道阻且長,而非一蹴而就,開源治理是一個系統化工程,絕非某一項技術或者一個簡單流程就可以快速有效完成。”他說。
談趨勢:開源治理認可度上升 但還處于初步階段
記者:何謂開源治理?
嚴興華:開源是一個大趨勢,大部分企業都在不斷使用,而且使用的范圍越來越大,但是企業在使用過程中,一些未受管控的開源技術存在潛在風險,包括安全漏洞風險、版權使用侵權風險、授權風險、操作風險、監管合規風險等等,如何更好規范和管控是企業開源治理的一個核心問題。
開源治理就是為企業保駕護航,幫助企業規避風險,制定一套比較好的方法論或框架,幫助企業引入適合使用的開源技術,企業在使用過程中也能逐步優化、推動創新,在未來回饋給社區,整個一系列過程被稱為開源治理。
記者:您覺得企業用戶什么時候需要開始考慮開源治理問題?
嚴興華:就像剛才所說,開源越來越普及,使用越來越廣泛,在國內超過85%以上已經使用了開源組件或者開源技術。
但很多企業只有在開源規模擴大后才開始做治理,甚至我們遇到一些客戶已經受到了開源帶來的一些問題或者風險,真的是痛定思痛才想到要治理。其實從企業選擇的第一個開源產品開始,就要在開發過程中、在測試階段、或者已經引入到生產環節時考慮開源的治理了。
開源治理的維度、范圍可能隨著企業使用的深度和廣度而改變,所以我們建議從企業從選擇開源的第一刻就要考慮治理問題,如果已經大量開始使用開源技術,那么無論是哪個時間節點都應該考慮如何治理現有的開源技術。
記者:從您的觀察來看,中國企業用戶對于開源治理的采納度如何?
嚴興華:紅帽在過往兩年針對全球世界500強的CIO做了一些調研,發現大家對開源治理的認可度逐年在上升,而且上升比例非常高,但是真正做到開源治理的客戶還是占少數,按照去年2020年的調研評估,在國內做到開源治理的客戶不超過30%,而且這30%里面他們只是剛開始,只是做了初步地管控而非全生命周期,也不是跨版本,安全上可能也沒有考慮得非常周全。
所以,我認為國內開源治理現在還是屬于非常初級的階段,但是一個好事情是,在調研過程中大家非常認可開源技術是需要治理的,只是說大家還不太清楚這一步應該怎么往前走。
談實踐:開源治理“四步法則”,團隊、目標、技術、文化
記者:應該如何著手進行開源治理?
嚴興華:從紅帽角度來看,開源治理是一個系統化工程,而非一蹴而就的,不單是通過某一項技術或者一個簡單流程就可以快速有效完成。
開源治理首先要遵循開展之道。紅帽建議從四個維度思考應該如何進行開源治理和建設。
首先,建設團隊。企業要有建設相應的開源治理的管理團隊,我們稱之為開源治理小組或者是開源治理團隊。
第二,規劃工作目標。企業要從全生命周期關注開源治理,關注一個開源的技術或組件的進入到使用,到不斷更新,到退出,企業應該關注開源全生命周期各方面的事情。
第三,技術探索。企業要對開源技術能力進行探索和了解分析。了解開源技術的生命力是怎樣的、開源技術應該如何輔助企業、開源技術如何與原有技術結合,開源治理離不開這樣的技術分析和探討。
最后,開源文化的導入。我們還是希望企業導入開源文化,開源取之于開源組織,回報于開源組織,企業通過交流、互動的方式建設開源文化,這樣也會更好進行開源治理。
記者:開源治理小組應該由什么部門構成?
嚴興華:據我們所知,在國內各行各業的牽頭部門可能都會不一樣,有些是架構辦,有些是開發部門,有些是運維部門牽頭。開源治理小組應該具備什么樣的角色和能力?其實,在不同的企業大家自行匹配會更好,我們認為下面的三大塊職能是必要的。
一是“站得高看得遠”的戰略規劃角色,站在企業大的角度來看整個IT和技術發展方向應該是怎樣的,給出一定的指導意見,包括開源使用方向、業務方向等。
二是執行角色,基于長遠的規劃和戰略制定戰術,推動開源轉型。組織企業不同團隊和業務部門,在各個團隊之間做一些驗證測試,看看應該以什么樣的方式管理和治理開源的引入、使用以及未來的退出。
三是技術角色,進行具體開源技術的使用、管理、評估、管控、治理,企業既可以自己培養自己技術人才,也可以通過市場上的商業化服務來選擇技術團隊。
記者:開源治理方面,紅帽能提供哪些幫助?
嚴興華:首先,紅帽把過往積累的經驗總結成方法論和服務框架進行二次包裝和創新,推送到市場和企業分享。
同時,紅帽以咨詢方式幫助企業執行和推動開源治理。紅帽有專門的服務團隊提供開源治理的咨詢和服務,指導企業結合紅帽的經驗,幫助企業設定開源治理流程,并針對每一家企業給出最合適的開源治理建議。
最后,紅帽也會在一些特定領域、特定產品上提供技術服務,在底層技術特定領域幫助企業做技術兜底。
記者:在進行開源治理過程中有哪些關鍵環節,或者有哪些需要特別注意問題?
嚴興華:我跟大家分享一下已經有意識做開源治理的企業遇到的一些普遍的挑戰。
最開始,企業都會聚焦到他們使用的某個具體技術,反而忽略了圍繞這個技術的組織人員應該如何配合,如何制定流程,如何做治理,大家總是重技術輕流程,這是第一個可能風險。
第二,如何選擇開源產品?選擇開源產品以后,如何判斷該產品和所有開源產品之間有沒有許可的沖突?這個問題存在比較普遍。我們建議企業用相對比較客觀的數據進行分析。紅帽有這樣一個評估模型,可以理性分析評估產品的生命力、商務支持能力、發展能力、技術特性,給出參考評分。
這兩個方面是國內用戶遇到比較多的挑戰。
記者:請您簡單介紹一些實踐案例。
嚴興華:過去兩年,紅帽在國內主要幫助了一些金融企業進行開源治理。
在銀保監會管控之下,金融行業的監管要求比較高,對安全要求也比較高。在幫助一些銀行業、保險業開源治理之后,我覺得對于他們來說最大收益,一來是構建了自己的標準,可以比較有信心管控開源帶來的風險;二來是他們的覆蓋面更廣,原來幾個不同部門之間不太清楚彼此之間用的是什么,現在他們的可以全盤管理開源軟件。三是當企業有信心治理和管理自己的組件,并且在技術上也有一些投入的時候,他們就開始自主創新,參加一些比賽,在社區上也很活躍,甚至說可以在同行內引領了創新,引領了這個行業。
