近几年可以看到,几乎所有的闭源软件公司都在采用开源的方式提供服务诸如微软、甲骨文、IBM等都在拥抱开源,甚至爆发了数十亿、数百亿美元的收购。产业数字化正向深水区迈进,这使得企业间的创新协作变得越来越重要,而开源是加速技术创新融合的关键手段。根据Synopsys的一份报告,近99%的企业在其代码库中运行开源代码。软件。同时,企业应用新技术的速度也会加快。AI、5G、边缘计算等领域的应用实例在各行各业逐步深入,越来越多的复杂场景融入开源技术。另一方面,企业使用开源解决方案的门槛也在不断提高。然而,当人们争先恐后地拥抱开源时,往往会忽视一些潜在的隐患。安全分析软件BlackDuck扫描了1000多个商业代码库,发现96%的商业应用使用了开源组件。平均每个应用调用257个开源组件。开源代码库的使用率也显着提高。.安全分析软件BlackDuck扫描了1000多个商业代码库,发现96%的商业应用使用了开源组件。平均每个应用调用257个开源组件。开源代码库的使用率也显着提高。.从Linux到OpenStack,再到Kubernetes,无不见证着开源理念对世界的贡献。根据Dynatrace委托研究公司VansonBourne进行的一项调查,86%的企业采用了云原生技术,包括微服务、容器和Kubernetes,以加速技术创新并取得更丰硕的商业成果。然而,63%的受访者表示,企业云环境的复杂性已经超出了人类所能驾驭的极限。74%的CIO担心云原生技术的广泛应用会大大增加“确保正常运行”的人力成本和时间投入,69%的受访者正在寻找新的运营方式。他们认为,“Kubernetes的兴起”增加了IT环境的复杂性,难以通过纯手动方式进行管理。容器技术正在迅速席卷全球,颠覆着应用的开发、交付和运行模式,并广泛应用于云计算、互联网等领域。Kubernetes起源于谷歌内部的Borg项目,已经成为容器编排领域的事实标准。对于使用Kubernetes的企业来说,面对Kubernetes部署规模的指数级增长,如何以可扩展的方式快速运行和运营Kubernetes,以及如何让更多的开发者轻松使用Kubernetes是挑战的主要挑战。比如很多企业会细粒度的使用Kubernetes构建大量的小型Kubernetes集群,但是自身的技术能力没有跟上,导致这些集群难以及时升级,无法快速获取上游项目带来的收益。创新拖累业务进程,引发安全隐患。从开发的角度来看,Kubernetes的复杂性一直存在,Spring更具代表性。相关调查显示,75%的Spring开发者在Kubernetes平台上运行他们的应用程序。正因如此,长期以来一直支持Spring社区发展的VMware开始思考将Kubernetes与Spring整合,大大提高运维的便利性,让开发者可以专注于代码本身,而不必担心运行环境和基础设施问题。为此,VMware推出了TanzuKubernetesGrid(TKG),让Kubernetes更容易获得和维护。通过将Kubernetes集成到vSphere中,用户可以快速应用Kubernetes的丰富功能,而不管他们的环境如何,例如公有云或私有云。功能,完成监控、登录、集群生命周期管理、容器注册等任务。当然,除了Kubernetes,开源的隐忧还体现在其他方面。在选择开源方案时,首先要了解什么是开源,熟悉开源代码相应的风险,尤其是项目采购方或负责人。首先,开源需要许可证。是的,你没有看错。代码免费并不代表其背后的商业模式是免费的,开源也会有一些额外的信息。OpenSourceInitiative公布的数十种开源许可证(licenses)是一个,在其版权所有者的帮助下,有权允许他人免费使用、修改和共享版权软件。也就是说,如果版权方禁止分享,那么用户只能看代码,不能直接使用,否则就是侵权。目前的80多个开源许可证中,用户基本可以免费使用,只是使用条件差异较大。比如permissivelicense允许用户在修改代码后做闭源处理,但是其中一些需要有名气和原创。作者的。再比如,像其他一些普通的license一样,license只有分发的时候才需要遵守,自己使用(公司内部)则不需要遵守。企业不知道使用开源工具的隐性成本,所以如果企业在IT架构选择之初就设定了一定的标准或分类,就可以评估预期的费用,并对潜在的风险做出预测。可以及时选择备选方案。要知道,用户在选择开源框架时,会被第三方服务商要求获得合法授权,而且这个费用通常不低。如果有人试图规避许可,他们将承担可能的法律风险。此外,使用开源框架还需要考虑最终应用是否可用。虽然开源部分可能只占整个业务系统的一小部分,但如果遇到兼容性问题,将大大降低产品或服务的成本。稳定性直接影响用户体验。对于企业技术人员来说,在产品架构设计之初就发现开源可能存在的漏洞是他们的责任,但事实是:44%的开源项目从未经过安全审计。显然,这给业务的可用性带来了困扰,即使上游社区发布了最新的补丁,开发者也不一定能及时更新,更不用说企业内部的自查了。这时,企业的IT管理者就需要建立审核机制,严格检查核心系统运行的开源框架,及时更新升级补丁。要知道,业界因补丁不及时而导致的数据泄露事件非常多,而且大部分都是可以预见的。
