[[151274]]

【51CTO.com快譯】許可證可謂是開(kāi)源項(xiàng)目的法律基礎(chǔ)，但是許多公司并非始終懂得如何管理許可證。Jeff Luszcz創(chuàng)辦了Palamida，旨在幫助企業(yè)組織確保遵守上游軟件許可證。一路走來(lái)，他及其團(tuán)隊(duì)發(fā)現(xiàn)，如果不知道使用的開(kāi)源許可證所導(dǎo)致，帶來(lái)的后果是未能意識(shí)到需要打上補(bǔ)丁的安全漏洞。

　　在擁抱開(kāi)源大會(huì)(All Things Open)上，Jeff發(fā)表了兩場(chǎng)演講：一場(chǎng)是如何實(shí)現(xiàn)管理開(kāi)源在業(yè)務(wù)和安全方面帶來(lái)的投資回報(bào)，另一場(chǎng)是如何保護(hù)基于Linux的產(chǎn)品避免知識(shí)產(chǎn)權(quán)侵犯和安全漏洞。我最近跟他談?wù)摿嗽S可和安全的交匯。

　　乍一看，知識(shí)產(chǎn)權(quán)侵犯和安全漏洞似乎是兩個(gè)不搭界的話(huà)題。它們最后怎么碰到一起的?

　　Palamida在2004年剛創(chuàng)辦時(shí)，我們的客戶(hù)絕大多數(shù)很關(guān)注確保自己遵守所使用的開(kāi)源軟件(OSS)組件隨帶的許可義務(wù)。他們發(fā)現(xiàn)，在通常情況下，使用的許可證少算了95%以上，這讓他們很震驚(現(xiàn)在仍是這樣)。這導(dǎo)致了知識(shí)產(chǎn)權(quán)(IP)和許可侵犯以及大量的返工，換掉違反政策的組件。

　　一路走來(lái)，我們發(fā)現(xiàn)安全漏洞同樣是根源一樣的問(wèn)題。如果一家公司沒(méi)有為確保符合IP而跟蹤開(kāi)源代碼，它同樣沒(méi)有注意版本更新、錯(cuò)誤報(bào)告和補(bǔ)丁。這就導(dǎo)致安裝的軟件系統(tǒng)里面含有有時(shí)十年之前的代碼庫(kù)，存在已知的安全問(wèn)題。

　　哪怕今天在Palamida掃描期間，仍會(huì)發(fā)現(xiàn)Heartbleed(2014年發(fā)現(xiàn)OpenSSL存在的安全漏洞)，盡管之前全球已動(dòng)員查找和升級(jí)這個(gè)代碼庫(kù)。大多數(shù)軟件產(chǎn)品并沒(méi)有受到掃描或?qū)彶?，?duì)易受攻擊的軟件組件不聞不問(wèn)。

　　基層員工如何才能說(shuō)服管理班子：使用開(kāi)源項(xiàng)目以及為開(kāi)源項(xiàng)目做貢獻(xiàn)有利于公司?

　　這可能是一項(xiàng)漫長(zhǎng)而艱難的工作。在Heartbleed發(fā)生之前，OpenSSL每年收到的捐款只有區(qū)區(qū)數(shù)千美元，這可能讓人很意外。而在Heartbleed發(fā)生之后，情況要好得多。其他項(xiàng)目就沒(méi)有這么幸運(yùn)了，捐款和源代碼貢獻(xiàn)方面仍差強(qiáng)人意。

　　我看到有幫助的一件事就是，為驅(qū)動(dòng)你產(chǎn)品的重要開(kāi)源項(xiàng)目做貢獻(xiàn)。這些直接取代自主開(kāi)發(fā)的代碼，有望“節(jié)省成本”。保持這些組件欣欣向榮的勢(shì)頭，同樣有助于提高貴公司的收入。許多公司在做的兩項(xiàng)“容易”的輔助活動(dòng)就是捐款和錯(cuò)誤報(bào)告/錯(cuò)誤修正版。捐錢(qián)快速簡(jiǎn)單，又不影響最后期限。哪怕數(shù)額不大的捐款也會(huì)受到感激。

　　要是貴公司的啤酒或咖啡預(yù)算比開(kāi)源捐獻(xiàn)預(yù)算還大，我敢說(shuō)貴公司有問(wèn)題。

　　捐獻(xiàn)代碼或時(shí)間可能更難。貴公司規(guī)模越大，需要克服的法律難題就越多。錯(cuò)誤修正版或補(bǔ)丁常常不如捐獻(xiàn)一項(xiàng)主要功能或捐出一名專(zhuān)職開(kāi)發(fā)人員來(lái)得有爭(zhēng)議。這是個(gè)良好的開(kāi)端，可以幫助管理班子了解面對(duì)開(kāi)源捐獻(xiàn)的細(xì)枝末節(jié)。

　　現(xiàn)在，越來(lái)越多的開(kāi)發(fā)人員將開(kāi)源捐獻(xiàn)作為其崗位描述的一部分，并利用自己在公司里面的影響力，確保得到向上游發(fā)布代碼所需要的支持。“如果我不能在Linux或Hadoop上工作，就會(huì)將目光轉(zhuǎn)移到別的地方上。”雖然這可能并不適用于許多開(kāi)發(fā)人員，但如果你夠幸運(yùn)的話(huà)，處在職業(yè)生涯的這個(gè)階段，那么就能極大地影響貴公司。

　　你的演講似乎側(cè)重于從開(kāi)源公司的角度來(lái)管理產(chǎn)品。像軟件自由保護(hù)協(xié)會(huì)和Apache基金會(huì)這些組織在幫助這這方面能扮演什么樣的角色?

　　這些組織儼然是頗具影響力的開(kāi)源項(xiàng)目奠定者，它們?cè)趲椭_定人們?cè)趧?chuàng)建和使用開(kāi)源方面的期望值。我們常常告訴客戶(hù)，不僅要看許可證義務(wù)，還要看代碼作者的理念和編寫(xiě)方法。法律上符合許可證是一回事，符合你所面對(duì)的社區(qū)的文化是另一回事。有時(shí)候，公司會(huì)嘗試“法律上準(zhǔn)確”的方法來(lái)遵守許可證條文，但是完全違反了許可證的精神。社區(qū)會(huì)迅速告訴你，這是不可接受的。

　　雖然正確使用開(kāi)源的責(zé)任在于開(kāi)源用戶(hù)，但是鼓勵(lì)正確行為對(duì)諸如此類(lèi)的組織最有利。大多數(shù)公司都想做正確的事情，可是常常不知道做什么、如何開(kāi)始入手。

　　通過(guò)進(jìn)行培訓(xùn)、與社區(qū)內(nèi)外的開(kāi)發(fā)人員合作，并且讓公司很容易與行業(yè)組織溝通，這些類(lèi)型的社區(qū)就能有助于讓許多公司更容易使用開(kāi)源軟件。

你認(rèn)為遵守開(kāi)源方面的最大挑戰(zhàn)是什么，這方面的未來(lái)形勢(shì)如何?

　　沒(méi)有人相信他們實(shí)際上在使用眾多的開(kāi)源。我們與許多公司打交道時(shí)，要求對(duì)方告知他們?cè)谑褂枚嗌匍_(kāi)源軟件。最常見(jiàn)的回答是：“我們知道自己在使用開(kāi)源，但不知道在哪里使用。”要是真給逼急了，公司通常只能說(shuō)出5%的實(shí)際使用的開(kāi)源。審查一下代碼，就會(huì)發(fā)現(xiàn)他們不知道自己在使用的數(shù)百個(gè)、有時(shí)數(shù)千個(gè)代碼庫(kù)。這每個(gè)被遺忘的代碼庫(kù)都違反了許可證。

　　讓技術(shù)管理班子了解合規(guī)并編制相應(yīng)的預(yù)算可能很難，除非他們看到代碼審查的結(jié)果。只有團(tuán)隊(duì)消除眾多代碼庫(kù)，為數(shù)百個(gè)代碼庫(kù)建立并發(fā)布許可證披露，并且潛在的安全漏洞根據(jù)需要升級(jí)和打補(bǔ)丁而堵上后，“第一次就做對(duì)”才變得更容易。從成本和聲譽(yù)的角度來(lái)看，從頭開(kāi)始正確構(gòu)建好系統(tǒng)總是比事后修復(fù)來(lái)得省錢(qián)。

　　時(shí)不我待。許多公司發(fā)現(xiàn)對(duì)開(kāi)源使用情況知之甚少后，面對(duì)合規(guī)工作不知所措。要是每個(gè)首席執(zhí)行官提出他們以為很快答得上來(lái)的問(wèn)題：“我們?cè)谀睦锸褂肙penSSL?”，很快變成了耗費(fèi)資源、歷時(shí)數(shù)月的分析，這時(shí)候項(xiàng)目人員才開(kāi)始有所注意。Heartbleed這一事件確實(shí)改變了許多公司的合規(guī)工作，因?yàn)樗鼈冋J(rèn)識(shí)到自己在這方面的意識(shí)離真相偏差有多大。

　　你認(rèn)為今年的擁抱開(kāi)源大會(huì)上哪些演講是不容錯(cuò)過(guò)的?

　　我對(duì)開(kāi)源許可很有興趣，今年的擁抱開(kāi)源大會(huì)上就有幾場(chǎng)精彩的演講是有關(guān)這個(gè)話(huà)題的。

　　我與Heather Meeker已共事多年，很期待她的演講：《解放你的代碼(又不嚇壞律師)：發(fā)布和貢獻(xiàn)代碼時(shí)需要考慮的許可證和IP問(wèn)題》。Heather已做過(guò)大量這種類(lèi)型的工作，會(huì)深入淺出地講述處理這個(gè)過(guò)程的一些經(jīng)驗(yàn)教訓(xùn)。我總是能從她的談話(huà)中學(xué)到新東西。

　　另外，Bradley Kuhn的演講：《GPL有利于公司》也很值得一聽(tīng)，有助于了解為開(kāi)源使用通用公共許可證的社區(qū)的目標(biāo)和動(dòng)機(jī)。只可惜，與我的演講在同一個(gè)時(shí)間，所以今年怕是當(dāng)面聽(tīng)不到了。

　　最后，《將商業(yè)軟件引入開(kāi)源的技術(shù)、商業(yè)和法律方面的選擇》，以及《了解開(kāi)源許可證》，這兩場(chǎng)演講看起來(lái)都令人關(guān)注?？上Х稚矸πg(shù)，要不然我都想去聽(tīng)一下。

原文標(biāo)題：Does your company know how much open source it uses?，作者：Ben Cotton

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】