开源 非开源_贵公司是否知道使用了多少开源？

开源 非开源

许可证是开源项目的法律基础，但是公司并不总是知道如何管理它们。 Jeff Luszcz创立了Palamida，以帮助组织确保其遵守上游软件许可证。 在此过程中，他和他的团队发现，不了解正在使用的开源许可证会导致不了解需要修补的漏洞。

Jeff在All Things Open上发表了两个演讲： 如何实现用于管理开源的业务和安全ROI，以及如何保护基于Linux的产品免受IP违规和安全漏洞的侵害 。 我最近与他谈了许可和安全性的交集。 在这次采访中了解更多。

乍一看，侵犯知识产权和安全漏洞似乎无关紧要。 他们是如何结为同一个话题的？

当Palamida于2004年首次成立时，我们的绝大多数客户都在担心确保自己遵守所使用的开源软件（OSS）组件带来的许可义务。 他们（现在仍然）感到震惊，得知他们在典型情况下低估了95％以上的使用量。 这导致知识产权（IP）和许可违规，以及大量的返工以替换政策组件之外的内容。

一路上，发现安全漏洞也是一个具有相同根本原因的问题。 如果一家公司不是出于IP合规性的目的跟踪开放源代码，那么他们也不会关注版本更新，错误报告和补丁。 这将导致安装的基础有时包含具有已知安全问题的旧版本库。

即使在今天，Palamida扫描期间仍发现Heartbleed（2014年在OpenSSL中很容易找到的安全性）。 甚至在全球范围内推动寻找和升级该库之后。 大多数软件产品尚未经过扫描或审查，并且易受攻击的软件组件静静地坐在那里。

基层员工如何使他们的管理层相信使用开源项目并为之做出贡献对公司有利？

这可能是一场漫长的斗争。 令人震惊的是，OpenSSL每年仅在Heartbleed之前就收到了几千美元的捐款。 发生重大问题后，他们的状况要好得多。 其他项目并不那么幸运，但仍在资金和来源捐助方面挣扎。

我看到有帮助的一件事是指向支持您的产品的重要开源项目。 这些是本地代码的直接替代，被称为“节省成本”。 保持这些组件的生命力和蓬勃发展也有助于您公司的盈利。 公司所做的两个“简单”的入门活动是财务捐赠和错误报告/错误修复。 捐款快速，简便，并且不会影响截止日期。 即使是微薄的捐款也将不胜感激。

如果您公司的啤酒或咖啡预算大于您的开源捐款预算，那么我想您有问题。

捐赠代码或时间可能会更困难。 您的公司规模越大，您可能需要越多的法律障碍。 与捐赠大型功能或专职开发人员相比，错误修复或补丁通常没有争议。 这是一个很好的开始方式，可以帮助管理链了解开源贡献的来龙去脉。

越来越多的开发人员将开源贡献作为其工作描述的一部分，并利用其在公司中的影响力来确保他们具有将代码推入上游所需的支持。 “如果我不能在Linux或Hadoop上工作，我会去一个可以的地方。” 尽管这对于许多开发人员可能不起作用，但是如果您很幸运地进入了职业生涯的这一阶段，则可以极大地影响您的公司。

您的演讲似乎将专注于管理开源公司使用的来源。 诸如软件自由保护协会和Apache Foundation这样的组织可以扮演什么角色？

这些团体代表着开源项目的有影响力的创造者，并在许多人看来是围绕开源许可（版权和归因）的哲学范畴的两端。 这些小组帮助定义关于开源的创建和使用的期望。 我们经常告诉客户，不仅要注意许可义务，还要注意作者的理念和著作。 合法遵守许可证是一回事； 这是与您正在工作的团队的文化相适应的另一种方法。 有时，公司会尝试“合法准确”的方式来遵守许可证文本，但完全破坏了许可证的精神。 社区将Swift向您表明这是不可接受的。

正确使用开放源代码的责任在于开放源代码的用户，但是，鼓励此类行为符合此类群体的最大利益。 大多数公司都想做正确的事，但往往缺乏做事和如何起步的知识。

通过创建培训，与社区内部和外部的开发人员合作以及使公司易于与组织进行通信，这些类型的组可以帮助公司更轻松地使用开源。

您认为开放源代码合规性面临的最大挑战是什么，未来将如何发展？

没有人相信他们实际使用了多少开源。 与公司合作时，我们要求他们透露他们使用了多少开源。 最常见的答案是：“我们知道我们正在使用开源，但是我们不知道在哪里。” 按下时，公司通常只能占其真正的开源使用量的5％。 查看他们的代码将发现数百（有时是数千）不知道他们在使用的库。 这些丢失的库中的每一个都代表违反许可证。

在工程管理链了解审计结果之前，可能很难使他们理解和正确预算合规性。 在团队需要删除数十个库并创建和发布数百个许可证公开信息之后，通过根据需要进行升级和修补，可以消除潜在的安全漏洞，从而使“第一次正确执行”变得更加容易。 从成本和声誉的角度来看，从头开始正确地构建某些东西，而不是事后进行翻新，总是比较便宜。

未来很快到来。 当发现公司对其开放源代码使用的了解很少时，许多公司被激怒并大声疾呼进入合规性。 当每位首席执行官问到他们认为将成为一个快速问题的问题时（“我们在哪里使用OpenSSL？”）变成了资源密集型的为期数月的分析，因此项目人员开始关注。 该事件确实改变了公司的合规工作，因为他们意识到自己的认知还差得远。

今年您不容错过的“万物公开”讲座是什么？

我对开放源代码许可感兴趣，今年的“所有事物开放”会议都是我一段时间以来关于该主题的最佳讨论组之一。

我已经与Heather Meeker一起工作了很多年，并期待她为您提供免费的代码（不怕律师）：在发布和发布代码时的许可和IP注意事项 。 希瑟（Heather）做了很多此类工作，并且会有一些有关处理此过程的最佳和最差方法的精彩故事。 在她的演讲中，我总是学到新的东西。

同样， Bradley Kuhn的GPL执法对商务讨论也非常有帮助，对于理解使用通用公共许可证作为其开放源代码的社区的目标和动机的人来说，这无疑将是一次精彩的演讲。 不幸的是，在我演讲的同时，所以今年我将看不到它！

最后， 将商业软件带入开源和理解开放源代码许可的工程，业务和法律选择看起来都很有趣。 我可能需要将自己一分为二才能抓住两者。

万物开放
演讲者访谈

本文是“万物公开演讲者访谈”系列的一部分。 All Things Open是一个会议，探讨企业中的开源，开放技术和开放网络 。

翻译自: https://opensource.com/business/15/10/ato-interview-jeff-luszcz-palamida

开源 非开源