道阻且长，开源治理的「四步法则」 原创

上世纪六七十年代，美国麻省理工学院的学生经常写一些自由软件，自由分发。没人会想到软件的权利，更谈不上商业行为。80年代中期，理查德·斯多曼启动了GNU工程， 并创办了自由软件基金会，从而拉开了开源运动的帷幕。1991年，Linux软件推出，更是得到了自由软件爱好者的喜爱，成为开源软件之星。

这意味着，它使软件源代码可以免费获得、自由修改，更重要的是，自由共享、计算机软件知识产权、计算机软件开发模式、世界软件业竞争格局都由此发生了翻天覆地的变化。

企业也因此借开源走出了一条自主创新的阳光路，特别是操作系统、开发工具、支撑软件等软件的开源，加快了企业产品的开发速度和创新能力。不过，有了好风是远远不够的，关键是如何借力。

谁欢迎开源？谁从开源中受益？哪些产品适合开源？哪些产品并不合适？如何着手开源治理？这些问题都需要企业三思而后行。信通院可信开源治理专家、红帽云计算及自动化解决方案架构师严兴华认为，开源是把双刃剑，要想用好，必先治理。他认为进行开源治理和建设的关键步骤有四——建设团队、规划工作目标、技术探索、文化导入。“道阻且长，而非一蹴而就，开源治理是一个系统化工程，绝非某一项技术或者一个简单流程就可以快速有效完成。”他说。

谈趋势：开源治理认可度上升 但还处于初步阶段

记者：何谓开源治理？

严兴华：开源是一个大趋势，大部分企业都在不断使用，而且使用的范围越来越大，但是企业在使用过程中，一些未受管控的开源技术存在潜在风险，包括安全漏洞风险、版权使用侵权风险、授权风险、操作风险、监管合规风险等等，如何更好规范和管控是企业开源治理的一个核心问题。

开源治理就是为企业保驾护航，帮助企业规避风险，制定一套比较好的方法论或框架，帮助企业引入适合使用的开源技术，企业在使用过程中也能逐步优化、推动创新，在未来回馈给社区，整个一系列过程被称为开源治理。

记者：您觉得企业用户什么时候需要开始考虑开源治理问题？

严兴华：就像刚才所说，开源越来越普及，使用越来越广泛，在国内超过85%以上已经使用了开源组件或者开源技术。

但很多企业只有在开源规模扩大后才开始做治理，甚至我们遇到一些客户已经受到了开源带来的一些问题或者风险，真的是痛定思痛才想到要治理。其实从企业选择的第一个开源产品开始，就要在开发过程中、在测试阶段、或者已经引入到生产环节时考虑开源的治理了。

开源治理的维度、范围可能随着企业使用的深度和广度而改变，所以我们建议从企业从选择开源的第一刻就要考虑治理问题，如果已经大量开始使用开源技术，那么无论是哪个时间节点都应该考虑如何治理现有的开源技术。

记者：从您的观察来看，中国企业用户对于开源治理的采纳度如何？

严兴华：红帽在过往两年针对全球世界500强的CIO做了一些调研，发现大家对开源治理的认可度逐年在上升，而且上升比例非常高，但是真正做到开源治理的客户还是占少数，按照去年2020年的调研评估，在国内做到开源治理的客户不超过30%，而且这30%里面他们只是刚开始，只是做了初步地管控而非全生命周期，也不是跨版本，安全上可能也没有考虑得非常周全。

所以，我认为国内开源治理现在还是属于非常初级的阶段，但是一个好事情是，在调研过程中大家非常认可开源技术是需要治理的，只是说大家还不太清楚这一步应该怎么往前走。

谈实践：开源治理“四步法则”，团队、目标、技术、文化

记者：应该如何着手进行开源治理？

严兴华：从红帽角度来看，开源治理是一个系统化工程，而非一蹴而就的，不单是通过某一项技术或者一个简单流程就可以快速有效完成。

开源治理首先要遵循开展之道。红帽建议从四个维度思考应该如何进行开源治理和建设。

首先，建设团队。企业要有建设相应的开源治理的管理团队，我们称之为开源治理小组或者是开源治理团队。

第二，规划工作目标。企业要从全生命周期关注开源治理，关注一个开源的技术或组件的进入到使用，到不断更新，到退出，企业应该关注开源全生命周期各方面的事情。

第三，技术探索。企业要对开源技术能力进行探索和了解分析。了解开源技术的生命力是怎样的、开源技术应该如何辅助企业、开源技术如何与原有技术结合，开源治理离不开这样的技术分析和探讨。

最后，开源文化的导入。我们还是希望企业导入开源文化，开源取之于开源组织，回报于开源组织，企业通过交流、互动的方式建设开源文化，这样也会更好进行开源治理。

记者：开源治理小组应该由什么部门构成？

严兴华：据我们所知，在国内各行各业的牵头部门可能都会不一样，有些是架构办，有些是开发部门，有些是运维部门牵头。开源治理小组应该具备什么样的角色和能力？其实，在不同的企业大家自行匹配会更好，我们认为下面的三大块职能是必要的。

一是“站得高看得远”的战略规划角色，站在企业大的角度来看整个IT和技术发展方向应该是怎样的，给出一定的指导意见，包括开源使用方向、业务方向等。

二是执行角色，基于长远的规划和战略制定战术，推动开源转型。组织企业不同团队和业务部门，在各个团队之间做一些验证测试，看看应该以什么样的方式管理和治理开源的引入、使用以及未来的退出。

三是技术角色，进行具体开源技术的使用、管理、评估、管控、治理，企业既可以自己培养自己技术人才，也可以通过市场上的商业化服务来选择技术团队。

记者：开源治理方面，红帽能提供哪些帮助？

严兴华：首先，红帽把过往积累的经验总结成方法论和服务框架进行二次包装和创新，推送到市场和企业分享。

同时，红帽以咨询方式帮助企业执行和推动开源治理。红帽有专门的服务团队提供开源治理的咨询和服务，指导企业结合红帽的经验，帮助企业设定开源治理流程，并针对每一家企业给出最合适的开源治理建议。

最后，红帽也会在一些特定领域、特定产品上提供技术服务，在底层技术特定领域帮助企业做技术兜底。

记者：在进行开源治理过程中有哪些关键环节，或者有哪些需要特别注意问题？

严兴华：我跟大家分享一下已经有意识做开源治理的企业遇到的一些普遍的挑战。

最开始，企业都会聚焦到他们使用的某个具体技术，反而忽略了围绕这个技术的组织人员应该如何配合，如何制定流程，如何做治理，大家总是重技术轻流程，这是第一个可能风险。

第二，如何选择开源产品？选择开源产品以后，如何判断该产品和所有开源产品之间有没有许可的冲突？这个问题存在比较普遍。我们建议企业用相对比较客观的数据进行分析。红帽有这样一个评估模型，可以理性分析评估产品的生命力、商务支持能力、发展能力、技术特性，给出参考评分。

这两个方面是国内用户遇到比较多的挑战。

记者：请您简单介绍一些实践案例。

严兴华：过去两年，红帽在国内主要帮助了一些金融企业进行开源治理。

在银保监会管控之下，金融行业的监管要求比较高，对安全要求也比较高。在帮助一些银行业、保险业开源治理之后，我觉得对于他们来说最大收益，一来是构建了自己的标准，可以比较有信心管控开源带来的风险；二来是他们的覆盖面更广，原来几个不同部门之间不太清楚彼此之间用的是什么，现在他们的可以全盘管理开源软件。三是当企业有信心治理和管理自己的组件，并且在技术上也有一些投入的时候，他们就开始自主创新，参加一些比赛，在社区上也很活跃，甚至说可以在同行内引领了创新，引领了这个行业。