企业拥抱开源之前，有必要了解的七件事

7 Facts Decision Makers Must Know before Adopting Open-source Software

文/韩鸿源

新的年代，开源的开展越来越繁荣，开源和云的联络越来越杂乱，耦合度越来越高，云是开源软件答应的最佳环境之一，也为开源软件插上安全高效的腾飞引擎。

1997年5月埃里克·雷蒙德(EricS.Raymond)宣布了被誉为“开源圣经”的《大教堂与集市》，开源运动从此有了自己的独立宣言。开源开展至今，从Linus Torvalds、Kenneth Lane Thompson、Richard Matthew Stallman、Eric Steven Raymond等个人英豪的呈现，到越来越多的企业安排意识到开源的价值，并加入到开源中，敞开、平等、协作、同享的开源办法逐步成为新一代软件开发办法。开源已成为全球软件技能和产业立异的主导力量之一，特别到了云年代，开源覆盖了软件开发的全域场景。

本文试图从企业软件的历史，结合开源软件开展规矩，介绍软件开发和交给办法的演进进程，剖析常见的开源软件开发和运用误区，评论开源软件的事务办法和生态，以及在云年代下，开源软件和云的结合与相互促进。

一:为什么开源难以逃避

特征一:开源根底软件的运用广度与深度进步

根底软件是核算产业的“魂”。曩昔几十年来，跟着开源的繁荣开展，前期开源软件会集在运用侧，可是重要的根底软件，如操作体系、数据库等，仍旧选用关闭专有的开发办法和商业办法。

今日，根底软件也逐步演变成开源、敞开办法。97%的软件开发者和99%的企业运用开源软件，根底软件、工业软件、新式渠道软件选用开源成为弯道超车的重要动力。信通院《开源生态白皮书(2020年)》指出，近年来国内企业逐步偏重根底软件范畴开源项目布局，在操作体系、数据库、中间件等范畴出现多个开源项目，其中不乏国际基金会的顶级开源项目。

特征二:开源软件发明的价值凸显

开源已成为全球数字科技立异的动力，生长为一种强壮的技能立异办法，并从开端的软件职业走向了硬件、芯片、视频、IoT、AI等多个范畴，开源的商业办法也在逐步老练。如今，新产品在开源，新架构在开源，新渠道也在开源，连顶尖的研究成果也都以开源办法发布。开源逐步成为全球科技进步至关重要的立异方向。

特征三:国家对开源软件史无前例的重视

2021年，《中华人民共和国国民经济和社会开展第十四个五年规划和2035年远景目标纲要》清晰指出要“支撑数字技能开源社区等立异联合体开展，完善开源知识产权和法律体系，鼓励企业敞开软件源代码、硬件规划和运用服务”。毫无疑问，开源被说到国家战略层面进行支撑，将走上跨越式开展的快车道。

人民银行办公厅、中心网信办秘书局、工业和信息化部办公厅、银保监会办公厅、证监会办公厅联合发布《关于规范金融业开源技能运用与开展的定见》(以下简称《定见》)。近年来，开源技能在金融业各范畴得到广泛运用，在推进金融机构科技立异和数字化转型方面发挥着活跃效果，但也面对安全可控等诸多应战。《定见》的出台，有助于规范金融机构合理运用开源技能，进步运用水平缓自主可控才能，促进开源技能健康可继续开展。

二:软件的开展与开源的历史

在核算机职业的前期，软件是作为帮助硬件发挥功用的辅佐人物存在。在20世纪70年代Unix诞生之前，业界并没有运用高档语言开发操作体系的先例。由于软件不具备通用性，而且软件本身并不作为独立出售实体存在，只是软件开发项目，交给项目的一起交给源代码也是常规做法。客户需求继续维护体系的运转，开发方也不乐意承当软件全生命周期的维护职责。

跟着Unix的诞生而且首要以C语言完成，敞开的通用操作体系成为或许，软件的开发与授权售卖也跟着硬件和软件对兼容性和通用性的寻求成为或许。在Unix开展的前期，由于其具有者AT&T逃避进入软件职业的特别情绪(原因是主营电信事务正在严峻的反垄断高压之下，不乐意添加额定的费事)，在授权给用户运用时，以源代码办法供给而且不供给后续技能支撑，答运用户在自己的环境中批改问题和移植到新的硬件渠道。这一阶段得到授权的高校、政府和一些商业机构为后续Unix的开展打下了根底，也为后来的Unix纷争和割裂埋下了种子。

进入20世纪80年代，跟着核算机的通用性增强与逐步遍及，可以在许多核算机上运转的通用软件逐步催生了商业软件职业而且继续繁荣开展。大批软件公司出现而且时至今日许多依然是职业巨子，如Microsoft、SAP、Oracle、Adobe等。这个年代的一个特色是跟着核算机的运用者从专业人员扩大到普通用户，软件的交给形状逐步变成了只供给运转态程序而不再供给源代码，出售给用户的也是厂商定义的运用授权，厂商除了出售软件之外，还供给收费的技能支撑服务:为客户晋级软件、批改问题，为新的设备供给运转环境。消费者作为运用者不再具有批改运转软件的权限，软件的授权运用与技能支撑服务构成了商业软件职业的重要商业办法。

在个人电脑范畴，时至今日，客户运用软件的办法没有本质改动。由于绝大部分用户不是软件开发专业人士，不存在自行批改体系或运用软件的需求，这种办法很好适应了用户需求并得以继续。

在服务器范畴，Unix阵营发源于AT&T分发的前期代码，SUN、HP、DEC、IBM等依据不同的硬件架构开展了各自的Unix体系，构成了所谓的敞开体系的生态格式。通用与兼容的需求催生了后续的POSIX等统一规范，可是Unix的授权与法律条文的含糊性以及后续持有者的情绪和野心等导致了许多问题，各种源自Unix的体系分别改成了各家自己品牌分别开展，与Unix骨干间也短少统一的和谐，这种割裂给了WindowsNT巨大的商业时机，开展成了今日的WindowsServer系列操作体系，这些商业操作体系依然是只供给运转时的运用答应给终究用户，而且供给商业性的技能支撑服务。

20世纪80年代，软件职业的别的一个重要事情是自在软件基金会(Free Software Foundation，简称FSF)的树立，在学术与科研机构中，“黑客精力”始终是许多人的寻求，对软件极致自在寻求的根底是具有对源代码的批改权。这儿不得不说，理查德·斯托曼(Richard Stallman)(对他的各种毁誉不影响GNU和FSF的含义和价值)建议的GNU(GNU is Not Unix)行动从头开发完成了Unix的大部分东西体系，而且以GPL的答应发行这些软件，GPL对衍生软件强制要求继续供给源代码，GNU完成了绝大部分的Unix常见东西体系，可是依然无法脱节对Unix操作体系中心的依靠，直到1991年林纳斯·托瓦兹(Linus Torvalds)开端的Linux中心的开发作业填补了这个空白，同样选用GPL答应的Linux中心和外围东西体系一起构成了Linux的生态体系，大批积累了丰厚Unix运用与开发经历的高校、科研机构与商业机构的活跃参加促成了Linux的快速生长和老练。

20世纪90年代中期以后，互联网开端繁荣开展，各种Unix衍生品与Windows NT在起步阶段也支撑了这个开展进程。

跟着用户规划爆破式增长，本钱成为一个不行忽视的要素，特别许多新创互联网企业并不乐意把名贵的资金耗费在贵重的硬件设备和死板的软件授权上。在这个阶段，Intel也从PC的CPU供给者，逐步进入了服务器CPU的供给者队伍，规划优势也使其CPU才能逐步可以比肩服务器的RISCCPU，这些CPU为运转敞开体系的各种Unix服务器供给中心才能，Linux因其不强制收费和敞开后续源代码批改的优势，被许多新式互联网企业选为后台服务运转渠道。广泛运用和大规划的布置也帮助Linux继续快速开展，演进成了支撑要害事务的服务器操作体系，与此一起，操作体系之上的各种开源体系也得到了广泛的运用与继续开展，逐步构成了今日互联网巨子们依据开源软件和自研事务软件的遍及现状。

进入21世纪，跟着开源软件在互联网范畴的广泛运用，一起结合CPU范畴Intel的统治地位的逐步确立和各种关闭式的敞开体系的继续式微，许多商业企业也开端承受开源操作体系和开源技能渠道软件，运用场景的丰厚进一步促进了各种开源软件的开展，构成了今日依然剧烈竞争的格式。

三:开源软件的定义与答应体系的开展

从字面上看，开源是指敞开软件的源代码给运用者，可是单纯供给源代码并不是现在“开源软件”的规范定义，“开源软件”是指，软件向运用者供给源代码而且授予批改和继续演进的自在，因而对批改后的软件再分发在规定上的差异，构成了不同的开源软件答应体系。

现在开源软件的答应体系首要分为两大类:一类强制要求再开源，代表性的有GPL答应体系；另一类不强制要求衍生开源，为宽松开源答应证，代表性的有BSD、MIT、Apache等答应体系。GPL答应体系强制要求下流“发行”时供给源代码，不得改动GPL的兼容性，约束从开源软件转变成非开源软件(但“发行”的定义，存在可被运用的空间)。强制继续开源，又衍生出对服务供给者，特别是云服务供给者的不同变种答应，如AGPL等。由于约束过多、过于杂乱，所以AGPL的承受程度有限。宽松开源答应，要求声明来源并保留原始软件的答应证部分，但不要求衍生部分强制开源。

开源软件判断的具体规范可以参见https://opensource.org/osd的十条准则:一、不约束软件的再次分发的自在；二、供给可用于继续开发的源代码；三、答应在源代码根底上进行批改和开发作业；四、保证原创源代码完整性，变更可以是补丁办法，也可以改动称号或版别号以进行差异；五、不存在针对特定人或人群的差异性约束条款；六、不存在对软件运用范畴的约束；七、衍生产品发行时不施加更严厉的运用答应约束；八、软件答应在每一个组件级生效而不是仅适用于全体；九、软件答应不扩散到同介质发行的其他软件；十、软件答应不附带影响技能中立的条款。

四:开源软件对软件职业商业办法的影响

一、开源没有改动软件运转的基本办法

在一个老练的软件商场上，软件本身的技能支撑服务和开发发行本身同样重要，迄今为止无人可以证明一个杂乱软件的正确性。软件的质量取决于规划、完成、测验和运转进程中暴露问题的继续批改，开源软件改动的只是开发阶段和发行形状，其他周期软件规矩依然是相同的，特别是供给给许多非开发者运用的根底渠道类软件，彻底把技能支撑作业交给运用者是不行行的，技能支撑才能也直接影响软件可以支撑的事务，以适应软件本身开展的办法支撑客户的事务运转并保证服务质量，依然是软件事务的重要组成部分。

二、开源成为分布式协作开发办法的模范和推进者

今日的开源软件，更重要的含义是一种协同开发办法，开源软件项目的办理办法也有关闭与敞开的差异，开源项目的主导权与办理权有两种常见办法，一种是项目归归于某个基金会安排，如Apache，别的一种是由建议者或创建者为主导的办理办法，如MySQL和Linux中心等。很难用简略的办法判断哪种办法必定便是最好的，可是相对来说，由一个有信用的、有老练准则办法的非营利安排办理，更简略受到信任和招引更广泛的参加者。跨安排跨地域的协同在有用支撑各种软件才能的继续开展，像Linux中心这样以千万行代码计的软件仍在继续快速迭代，也推进了整个IT职业继续快速开展。

三、开源不等于免费

开源软件起源于自在软件运动，自在软件挑选的Free Software的姓名往往被误解为“免费”，其实在这儿free的含义是“自在”，开源是软件自在精力的表现。今日即使是许诺彻底开源的软件，如Linux，首要的商业化形状依然是供给有质量保证的发行版和技能支撑服务，收取答应费用不是被认可的事务形状。MySQL是一个特例，由于它一起供给不同的软件答应，商业版软件和社区版软件本质上是两个产品，只不过在会集的操控之下同享了社区版的绝大部分代码，根本原因在于MySQL相关的一切知识产权彻底归于单一商业实体。

四、以发行版的办法供给软件和在云上供给服务依然是干流事务办法

现在绝大部分软件的运用者，都不是软件本身的开发者。体系和渠道软件的功用杂乱、规划庞大，依托运用者自行处理问题和继续演进，既不必要也不实际。软件发行版和云服务除了供给单独的软件外，还要进行全体的验证测验和优化作业。这些保证质量和兼容性的作业与不开源的专有软件的发布没有本质差异，而这些作业是软件与运转环境协作运转时不行或缺的，继续的技能支撑是软件运转的必要保证手段，认可这些作业的价值也是进步功率和保证体系运转的挑选。

五:企业作为开源运用者的应战

按照工信部对开源生态组成要素的剖析，开源生态以五要素、三环节构成。其中以开源项目为中心，依托开源社区协作构成软件、硬件等开源项目。触及开源贡献者、开源运用者、开源运营者、开源服务者多个相关方，包括开源办理、开源运营、开源商业布局等多个环节，依托代码保管渠道等根底设施，满足开源规矩要求。

大多数企业是以职业开源者和职业运用者存在，它们所面对的应战也不尽相同。

一、IT架构办理的应战——CIO的视角

不同的企业由于本身IT建设阶段的不同，运用开源软件的办法也各有不同。但不管哪种办法，终究都需求考虑IT架构统一办理。

第一种，新式企业悉数事务从一开端就运用开源软件构建。常见于互联网公司和开源达到比较老练阶段后创立的企业，一般没有构成为软件和软件服务付费的习惯。而且这类公司把IT才能作为中心竞争力，依据开源技能渠道构建本身中心事务体系。渠道技能团队彻底有才能选用开源和定制化批改的开源衍生产品，定制与适配往往由自己的开发团队承当。但跟着定制体系的开展和事务重要性的进步，代码改动和软件晋级则面对很大应战，被迫挑选继续加大技能投入，或走向防止改动的保守状况，久而久之，便会堕入落后和死板的局面，技能晋级时面对很高的杂乱性和影响事务接连运转。

第二种，传统企业部分运用开源软件替换商业软件。常见于树立时刻已久的大中型企业，长期运用商业软件享受软件技能服务，对降本增效和技能掌控的寻求催生了对开源软件的诉求，新技能与新开发办法也使新的事务开展无法回绝已经成为渠道级技能干流的开源软件。

第三种，经历开源与商业软件之间的挑选与切换进程。特定职业在必定开展阶段挑选了商业软件，越过开展台阶后从头拥抱开源软件和加大本身研制投入，典型如阿里巴巴，电商事务对交易一致性有很高要求，首要靠联络数据库供给支撑才能。淘宝起步时MySQL可以帮助跑通，规划快速扩大后依托商业数据库软件渡过了快速生长期，后续的开展更多依靠分布式架构的支撑才能，跟着技能和架构才能的积累，终究用分布式架构消除了对商业数据库产品的依靠，全体技能栈也选用了开源体系而且继续开展。

鉴于开源软件本身的特色、版别路线不同，以及不同运用开源组合的杂乱性，不同企业有挑选不同企业级技能架构路线的权力，但都需求考虑防止在开源的运用上重复造轮子。

二、自主可控的应战

“自主”的含义大致有两种了解。一种是指选用主权范围内厂商具有彻底知识产权掌控力的软件，不受国外产品和服务体系供应的约束，因而这儿的“主”是指的国家主体；另一种“主”是指的企业本身，企业可依据自主毅力，按自己的需求、主意，在不违背授权的状况下，自在地批改和运用软件。

“可控”对应的是“卡脖子”，无论是开源社区仍是商业授权的软件。一些企业想从现在开端就不再采购开源软件的商用发行版和商业服务。诚然，会集精力自己研制、自己把控，在特定的场景上，放弃外部的商用依靠，另起炉灶，做出一套彻底自主的产品，这样的成功比如是有的，部分企业也真的做到了，但这毕竟是极少数；客观上，这种做法也需求有许多优异的软件工程师，而且在开源软件上积累了许多的经历，才可以完成，假如软件事务不是主业，长期也有很大应战。

对大多数企业而言，要想做到自主可控、规避风险，需求对运转和依靠的软件的适度把握，最好能仔细研究开源软件的代码、架构、测验，即使不能，也要必定程度把握要害的验证才能和调试才能，结合软件的晋级和布置才能，保证可以应对紧急问题。这儿的窍门便是，与软件产品的干流社区协同，通过学习和仿照快速构建本身才能。因而，企业不只不应该切断与开源厂商的联络，相反，自己越是有或许面对风险，越应该广泛树立与开源商业生态体系的联络，除非这种联络真的被外部客观不行抗拒原因所切断。

三、本钱可控的应战

大多数开源软件的本钱，都是隐藏的，来自继续的质量操控、晋级和运维服务的本钱。开源软件本身也是软件产品，也会遵照软件的基本规矩，运用许多开源软件组合关于技能支撑才能的要求十分高。尽管广泛运用的开源软件的质量和可靠性水平都很高，可是靠单一企业界部的技才能量支撑海量源代码产品的继续运转难度十分大，只要少数把IT作为中心竞争力的巨子才有或许为自己的事务供给十分高的安稳性保证。

尽管各企业在数字化年代都在不断加大IT投入，可是仍需求防止一个认知误区:某个单独软件的授权本钱，并不是投入的悉数，后续支撑性投入才是重头戏。企业有必要超越简略的底线本钱模型或ROI核算逻辑，站在事务视角看全体本钱。

四、安全的应战

开源软件缝隙数量的上升，可以归因于敞开源组件的广泛选用。曩昔几年开源社区的许多添加，以及媒体对最近一些数据走漏事情的报导，使得人们对敞开源代码安全的关注进步。依据统计数字，84%的开源代码库至少含有一个缝隙，60%的已审核代码库包括高风险缝隙。2021年12月，最新的log4j2的长途代码履行缝隙便是典型的事情，该缝隙影响巨大，一旦被攻击者运用会造成严重危害。开源软件安全问题多被认为是源于办理上的遗漏。首要表现在:一、开源软件运用者更新不及时；二、开源项目短少如SDL这样的流程和办理东西；三、攻击者对开源生态的攻击添加。

五、合规的应战

以对合规要求最为严厉的金融职业为例，《关于规范金融业开源技能运用与开展的定见》清晰提出:金融机构应当遵循开源技能相关法律和答应要求，合规运用开源技能，清晰开源技能的运用范围和运用的权力与职责，保证开源技能作者或权力人的合法权益。

考虑到开源的合规性，源码的授权办法变得至关重要。为了主动发现问题，起步阶段可以考虑选用会集扫描的办法，在企业界对运用的软件版别发布前批量进行源码开源合规的扫描。可是跟着开源软件日益广泛运用，一方面扫描本身是一个杂乱进程，另一方面一旦发现问题留给开发人员批改问题的时刻太短。如何能高效地统计企业界开源产品答应状况和运用状况、快速批改不合规的运用，构成企业开源软件合规一览表，是现在企业运用开源软件合规性所面对的重大应战之一。

六:企业作为职业开源者的应战

一、构建生态的应战

前期的开源社区运营，并不能很好地反映开源技能在各职业各企业的实际运用状况。现在，开源社区与基金会的运营更垂青产业沟通和用户共享，软件产品依据云的运用量统计或许构成一个新的生态运营机制。

二、商业办法的应战

开源产品的商业模型基本上交融了以下四种模型:敞开中心(Open-Core)，一起供给差异化的商业产品；专业服务(Professional Services)；保管(Hosting)；商场(Market place)，供给运用商店、运用商场、插件。

关于成功的开源公司来说，最常见的办法是敞开中心产品，将保管、服务作为第二和第三收入来源。这些组合或许在某一时期对开源产品或某一职业来说是有用的。不过跟着商场竞争和客户的不断改动，这些办法或许都不适用，或许需求为自己产品找到共同的商业办法。而传统线下的软件出售、分发和交给办法，很难成为开源的商业办法。

七:云年代企业运用开源软件的改动

一、云核算带来的改动

客户从购买软件自己负责整个运用进程，转变成直接运用服务，不需求关注服务之外的支撑细节。客户关于软件本身相关的商业条款敏感度下降，服务包装后的不透明性也会削弱运用者对软件开发的参加程度，特别是保证运转和才能供给的职责会转移到云核算的供给者。

广泛运用的开源软件答应拟定时刻较早，当时云核算还没有呈现或没有构成大影响，答应条款首要针对的软件以发行为主的状况。云服务特别是封装后的PaaS服务包括的软件，规避了GPL这样的强制再开源的职责，开源衍生出的云服务必定程度纵容了云厂商削减对开源软件本身的贡献和共享。

互联网巨子们广泛运用开源软件的成功经历和公共云的继续开展已经证明了绝大部分场景下闭源的根底设施和支撑渠道类软件不再具有遍及的开展前途。

二、云与开源协同开展

没有客户期望自己被特定供应商绑定，公共云也是相同，支撑运用运转的根底渠道也从软件年代的操作体系和数据库演进到了容器调度，混合云作为一种会长期存在的支撑办法也会继续开展。依据这些条件，云渠道应该供给的是一种通用的敞开技能，在运用运用的功用性接口方面，恪守规范的通用性，不约束运用的可迁移性；在下层的运转引擎方面，供给差异化的非功用支撑，帮助客户更有用地完成事务目标；结合具有本身特色构建的要害范畴差异化服务才能，如数据库等，为用户供给灵敏灵敏的开发才能和安稳高效的支撑才能。

干流云核算厂商正在企业IT商场发挥越来越大的效果，干流开源软件与云渠道的有用集成是云渠道的重要才能表现。开源技能也是云服务未来的开展方向，活跃有用的参加干流开源项目是云厂商的重要时机。大型云厂商投入人力和资金帮助开源项目继续开展，有助于云技能才能得到有用发挥。

关于运用者来说，商场上干流云渠道在容器、中间件和数据库这些首要技能才能方面，供给的功用一致性远远高于客户自主搭建。用户在规划自己的事务体系时，也要充分考虑对技能渠道的不同层级的抽象和办理，削减对特定办理才能的硬性绑定。运用想要完成在不同云渠道之间一行代码都不改的切换并不实际，可是寻求云特有才能不侵入运用代码而只是在管控层面发挥效果，应该是实际可行的做法，这也是渠道中立的云原生寻求的方向。

公共云和各种形状的混合云是未来IT才能的干流承载办法。开源软件已经证明本身是渠道技能软件有用的、干流的开展形状，云核算与开源的结合会成为必然趋势。开源软件以不同程度保管在云上运转，供给技能才能，会是未来企业IT面对的首要挑选。不同的保管程度，在办理层和云集成程度的差异，运转时的优化才能，都会是云服务的差异地点，更强的办理才能集成往往会随同更深的运转优化和更少的办理需求，供给的服务也会具备更强的自主运转才能，构成的成果便是PaaS类服务，如数据库等，客户也会挑选自行布置和办理，这种状况下云根底设施需求供给满足敞开性供客户自己集成。

一起根底设施的服务才能也会直接反映在终究服务和事务运用的全体性价比上。软件特别是技能渠道软件，需求许多的测验验证和优化调整，来达到安稳性和性价比的最优，公共云的运转环境及其支撑的海量、差异化客户场景，为软件的老练供给了最佳的环境。大型公共云厂商也是未来有才能投入软件开发验证和继续支撑服务的最重要资源池。除了优化之外，坚持保管的软件服务本身的敞开性和兼容性，是十分重要的努力方向，以运转效果而不是黑盒办法招引并留住客户会成为云渠道的中心竞争力。

云核算的继续开展为开源软件供给了新的舞台，云渠道与开源社区有用协作，而且防止确定，来取得用户的信任，是云渠道敞开性的重要表现，也会是未来IT职业继续开展的支撑力量。

整体来说，云自诞生开端与生俱来的特性以及不断开展的才能，天然就具备了处理企业可继续的运用开源软件所带来的应战。

现在，云被证明是最好的企业IT架构办理的渠道，这个办理包括对开源技能的办理。

云渠道可以更好地会集处理安全与合规的问题，针对不同的开源软件合规扫描、缝隙扫描、晋级等等。

云原生的开展使得各个不同的根底开源软件和立异开源软件的技能交融，云年代开源软件的可观测性、开发功率和办理效能大大进步。

云厂商本身便是开源最大的运用者、最佳实践，可以帮企业办理屏蔽试错风险。

云渠道天然是一个协作渠道，可以让开源贡献者、开源运用者，在云上互通需求驱动开展。

新的年代，开源的开展越来越繁荣，开源和云的联络越来越杂乱，耦合度越来越高，云是开源软件答应的最佳环境之一，为开源软件插上安全高效的腾飞引擎。