Placeholder
虽然开源软件通常可以免费下载,无需预付或定期支付许可费,但在使用开源软件时,尤其是在构建企业解决方案时,您应该了解一些义务、风险和相关成本。
目录
开源技术在构建企业解决方案时可以带来巨大的好处,包括节省成本、提高敏捷性和灵活性,以及进入使用相同软件的开发者社区。
开源软件是指源代码公开可用,并附带许可协议的软件。该协议允许版权所有者出于任何目的研究、修改和分发该软件。虽然开源软件的起源可以追溯到20世纪50年代,但这一运动真正开始蓬勃发展是在20世纪90年代末,并且至今仍在影响着企业解决方案的软件开发。
然而,企业解决方案需要精心规划和执行,尤其是在安全性、合规性、运营弹性和功能性方面。在本Blog中,我们将探讨在利用开源软件启动企业解决方案之前需要考虑的五个关键因素。
对于业务关键型解决方案,安全性至关重要,尤其是在您的业务涉及客户数据或其他敏感信息的情况下。
由于开源技术的公开性,更广泛的用户群体可以审查代码并为其安全改进做出贡献。更多的人参与意味着可以更快地发现和解决潜在的漏洞。
但是,尽管公开代码允许社区审查,但同样的透明度也使得网络犯罪分子能够识别和利用代码中的任何弱点。这些恶意行为者可能会向开源项目贡献代码,意图引入漏洞或有害代码。
此外,团队将开源软件或组件集成到其应用程序中,然后却从未更新代码的情况也很常见。如果这些团队在更新发布后没有及时更新代码,安全漏洞可能无法得到解决。
根据Synopsys发布的《2024 年开源安全与风险分析报告》(该报告汇总了2023年来自17个行业1000多个商业代码库的调查结果),96%的代码库包含开源代码,而接受风险评估的代码库中,84%存在漏洞。
Veracode的另一项研究也发现,79%的情况下,开发人员在将代码集成到应用程序后并未对其进行更新。此外,大多数代码库中至少存在一个安全漏洞。企业往往未能追踪开源代码的使用情况,并且完全不了解哪些组件需要更新。
以上述示例为例,决定实施开源软件的团队需要负责更新代码,以确保其安全性。尽管原始供应商可能会定期进行扫描和测试以确保其代码的安全性,但各个团队和用户仍需自行更新和维护他们使用的代码。
如果您的业务在特定地区或高度监管的行业中,那么您使用的软件和技术必须符合相关监管机构制定的法律和政策,这一点至关重要。
外部合规性是指外部机构对组织施加的法规和标准,旨在确保用户的安全、隐私和保障。
其中包括:
SOC 2:它评估服务提供商系统和流程的安全三要素,包括可用性、处理完整性和机密性。
ISO/IEC 27001:它是信息安全管理体系的国际标准。
GDPR:它专注于保护欧盟境内个人数据。其他地区性保护法律包括巴西的LGPD和加利福尼亚州的CCPA。
《数字运营韧性法案》(DORA)旨在提升欧盟金融机构的数字化韧性。
《网络韧性法案》(CRA)则着重于通过欧盟通用网络安全标准来提升包含数字元素产品的网络韧性,例如强制提交事件报告和自动安全更新。
但最终,承担遵守这些法规责任的并非供应商,而是各个用户组织。因此,如果您在应用程序中使用开源技术,则需要定期审核与企业信息安全、开源合规性、隐私和数据保护等相关的实践和政策。
自由及开源软件(简称FOSS)合规性要求FOSS用户遵守所有版权声明,并履行其在商业产品中使用FOSS的所有开源软件许可义务。这不仅仅是编写代码那么简单,可能还包括以下一项或多项工作:
这通常需要制定开源政策并为开发人员提供培训,同时还需要使用软件扫描产品来识别可能不符合您需要遵循的政策和指南的开源代码。
未能完整、准确地完成这些工作,以及不遵守适用的开源许可条款,可能会导致法律后果、经济损失、维护难题和商誉损失。
此外,各组织还需创建软件物料清单(SBOM)。SBOM标准是全球软件供应链的基础。它之所以至关重要,是因为它充当了清单的角色,记录了最终用户使用的应用程序所需的组件和依赖项。
鉴于风险和安全隐患的增加,SBOM的应用越来越广泛。欧盟的《网络弹性法案》和美国总统第14028号行政命令等近期监管变化也印证了这一趋势。
然而,创建SBOM需要投资扫描工具或服务。SBOM的创建也极其耗费人力,因为它需要包含所有关于软件组件的关键数据,以及组件或库正常运行所需的所有依赖项,包括所有补丁或更新。
在引入新的开源技术或开源许可条款发生变更时,实施法律检查和风险评估的责任在于实施该软件的各个团队和用户。
如果出现违反开源许可协议或涉嫌侵犯第三方知识产权的情况,实施开源技术的团队最终将负责处理所有法律索赔或许可费用。开源许可协议通常不包含此类情况下的赔偿或其他补救措施,因此团队需要聘请合格的律师或其他法律援助人员来保护自身业务并自费解决索赔问题。
业务关键型解决方案的可用性至关重要。企业解决方案每宕机一秒,都可能导致收入损失、数据丢失或泄露以及声誉受损,包括客户信任度下降。
确保解决方案的可用性和性能,例如通过扩展解决方案和执行备份,是实施该技术的团队的责任。然而,内部执行这些工作可能非常耗费成本和资源。
此外,如果您使用没有商业支持的开源软件,您的选择通常仅限于社区支持,而社区支持不提供任何专门的支持或支持级别协议(SLA),如果出现问题或停机,则需要更多的内部专业知识和资源。
考虑到以上五个关键因素,您可能会疑惑,如果需要考虑安全性、合规性、运营弹性等诸多因素,使用开源软件是否真的能够降低总成本(TCO)。
全球数千家公司在构建和发布网站、企业内网、客户门户等数字化体验时,都受益于Liferay开源技术(名为Liferay Portal)的强大功能和灵活性。
上述五个因素仍然适用;用户需要投入资源来运行、支持和保护其解决方案。例如,如果一家公司使用Liferay技术构建网站,但没有购买Liferay企业订购版,那么其内部团队或第三方实施人员将全权负责解决方案的托管、性能问题排查、网站维护、确保其运营弹性和可扩展性、网站安全以及在网站宕机时进行备份和恢复。
如果您正在寻找减轻这些任务负担的方案,我们的企业订购服务可以帮助您降低总成本,并提供专家级支持,从而更快地实现业务价值,其中包括专属支持团队和产品专家。
Liferay的企业订购服务让您两全其美——订购模式既能让您保留开源软件的核心价值,又能降低相关风险。这样,您就可以以企业级且经济高效的方式,将开源技术应用于关键任务场景。此外,Liferay的企业订购服务还提供围绕性能、商务、分析和安全等方面的专属功能。作为供应商,我们能够帮助客户确保符合最佳实践和行业标准,从而保障合规性。
Liferay允许客户选择本地部署、PaaS和SaaS部署模式,从而提供灵活的选择。一方面可以完全掌控数据并实现高度定制化,另一方面可以将维护、保护和支持底层基础架构甚至解决方案本身的负担外包出去。您可以根据自身风险状况、业务需求和偏好做出决策,甚至可以针对具体项目进行决策。
虽然使用开源技术有很多好处,但许可费和其他商业定价并非唯一需要考虑的因素。评估长期管理和支持解决方案所需的成本和资源至关重要。
对于许多组织而言,使用开源技术并辅以Liferay企业订购等企业级服务,可以让他们安心无忧,因为有专家团队可以帮助管理安全性、合规性、开源义务等。与那些使用开源技术但没有商业服务的企业相比,这种保障还包括更低的总成本、更高的运营安全性、更强的业务连续性、更高的敏捷性和更快的上市速度。
blog, liferay
Case Study
本网站使用 Cookie
我们使用 Cookie 来提供个性化内容、分析趋势、管理网站、跟踪用户在网站上的活动,以及收集有关我们整个用户群的受众信息。接受所有 Cookie 可在我们的网站上获得最佳体验或管理您的偏好设置。 访问我们的《隐私政策》
