走出误区 正确认识开源

ZDNet至顶网软件频道消息：随着开源近几年迅猛流行，人们对开源也产生了许多误解，尤其是对于企业部署。

这些误解比如有：以社区为基础的开源用于商用不够安全，可用性和服务支持也堪忧。而一些误解在开源出现的早期就被广泛谣传，但事实是，现在的企业级开源产品与专有产品相比，提供了同样、甚至更高的安全性、功能性和可靠性。

我们来看看以下四种常见的开源误区：

1、开源还不能企业部署？
这种误解跟上文提到的如出一辙：即开源=社区和业余爱好者，因此有人认为开源只适用于这些群体。然而，事实完全相反。全球越来越多的企业采用开源技术。更多的技术专家参与审查代码的安全漏洞，开源技术的价值和安全性已在实践中被证明，这进一步推翻了人们对开源的误解。

Coverity产品高级总监Zach Samocha表示：“充分经过开发测试的开源软件项目，总是持续在提升软件质量，乃至于整个行业的标准。”

2、开源不够安全？
第一种误解也引发了另一种说法，即开源中“古老而优秀”的部分并不安全。首先，我们来看一下封闭式平台或专有平台是怎么运作安全补丁的：安全漏洞必须由有权访问源代码的人员识别（通常只是供应商），这首先就要耗费大量时间。随后，他们必须对修复补丁进行编码、测试并交付使用，这就再次延迟了修复时间。

相反，再看看基于标准且开放的开发模式：它有助于快速识别潜在的安全漏洞。举个栗子，在2014年，常用的OpenSSL加密软件库发现了Heartbleed。已经订阅红帽软件的客户都在第一时间收到了红帽安全响应团队的即时回应。随即，该部门进行了后续漏洞测试、打补丁和安全修复等工作，以确保客户始终处在安全的网络环境中。

红帽公司总裁兼CEO Jim Whitehurst在一次采访中表示：“在Heartbleed发生时，每个人都收到通知，同时红帽在第一时间做出了响应。在红帽，我们有专门的安全响应团队，来迅速、专注处理这类问题。”

3、开源没有技术支持？
企业采用的开源软件几乎都不会是免费、且没有支持的社区版本。虽然开源软件通常诞生于社区开源项目（尤其是对于非关键任务环境的研发或测试），但大多数企业在开展关键任务部署时，只考虑有供应商提供支持的企业级版本。

这意味着，红帽客户不仅会得到更多、更好的维护和支持，还能与世界一流的工程技术团队沟通与合作，并且享受由红帽合作伙伴、客户和强大的开源社区构成的巨大生态系统带来的深远价值。

“开源软件的确为安全研究人员带来了很多好处——因为开源的基因使得各种类型的研发人员能够在同一平台上进行协作。比如说，一位在空闲时间参与开源研发项目的童鞋会分享给大家他无意中发现并顺手修复了的漏洞——显而易见，开源软件确实具有很明显的优势。”《彭博商业周刊》的Jordan Robertson说道。

4、开源=质量不够好？
除了对安全和技术支持的误解外，有人还天真地认为开源软件及服务的质量也不够给力。这种看法实在是太反现实，因为开源项目基本是由业内最牛的技术工程师，以及那些不甘落伍于时代的IT大厂（比如说惠普、Intel、思科、IBM）以及红帽等协同开发的。另一边厢，传统软件业务模式却是基于许可证和售后协议的，这种模式只允许客户在遇到问题时寻求帮助，而绝不是理想的合作关系，尤其对于那些运行关键任务应用的企业。一个真正的协作支持关系应该允许客户与整个支持团队持续对话，甚至包括与代码贡献者沟通。

尽管对开源的误解依然存在，越来越多的机构已经看到开源技术的宝贵价值。毫无疑问的是，这些误解可以通过我们一起开放、自由地分享创新和想法而消失殆尽。