开源要为生产事故背锅吗

近期单位内部有一个线上生产事件原因总结为开源软件缺陷引起。

开源软件问题引发的故障,往往不能由开源组织或者开源作者直接承担。那么在单位内部,这个责任应该由谁来承担呢?

现在这个时代,连传统的金融企业都几乎完成了去IOE,开源软件的使用可谓是无处不在。组织越大,引入的开源软件可能就越多。如果开源软件管理起步越晚,组织内部的现状可能就越混乱。

开源软件确实引领了一波技术浪潮,免费、好用是开源技术带来的最大优势,给企业带来了前所未有的创新机遇与潜力。而安全与后续支持不足,则成为隐藏在企业发展过程中的定时炸弹,随时可能爆发。

对于开源软件要管理、要治理,已经成为众多企业的共识。2021年10月,中国人民银行等五部门联合重磅发布了《关于规范金融业开源技术应用与发展的意见》,明确了「安全可控、合规使用、问题导向、开放创新」的开源使用原则。

国家也陆续推出了一系列的国家或团体标准,包括:

  • GB/T 44272-2024 信息技术 开源 开源许可证框架
  • GB/T 42927-2023 金融行业开源软件测评规范
  • GB/T 43848-2024 网络安全技术 软件产品开源代码安全评价方法
  • T/CESA 1269-2023 信息技术 开源 术语与综述
  • T/CESA 1270.1-2023 信息技术 开源治理 第 1 部分:总体框架
  • T/CESA 1270.2-2023 信息技术 开源治理 第 2 部分:企业治理评估模型
  • T/CESA 1270.3-2023 信息技术 开源治理 第 3 部分:社区治理框架
  • T/CESA 1270.5-2023 信息技术 开源治理 第 5 部分:开源贡献者评估模型
  • T/CESA 1291-2023 信息技术 开源 元数据通用要求

可以说,现在企业内部推进开源治理工作已经有很多的标准和成功案例可循。对于开源软件引发的生产问题,作者并不是唯一需要承担责任的人。引入的用户更应担承担责任。

用户应该关注开源软件的发展,在版本更新时及时更新版本,同时也应当积极修复开源软件产品发现的漏洞。对于用户发现的问题或漏洞,也应当积极主动的通知开源作者。

企业内部的开源软件治理是一个持续的过程,我们对于开源软件应当秉持开放、包容的态度,任何片面丑化或否定开源软件的看法,都是不利于企业发展的。作为普通的开发和运维人员,我们也应当不断的提高安全意识和管理水平,加强完全防护和监控检查,避免生产事件的发生。

参考资料

  1. https://www.163.com/dy/article/J232MC5M05382WNM.html
  2. https://mp.weixin.qq.com/s?__biz=MzI4MDI3MTg5MA==&mid=2247495731&idx=1&sn=7f0748064bab9cf40a8416ebf6efa379&chksm=ebb9bd4edcce345842f6b4e1283ad1dc18b0444a16e316a95d34157f3f5ccab383bf628edb1d&scene=27
  3. https://cloud.tencent.com/developer/article/2383490
  4. https://cloud.tencent.cn/developer/article/2026662

cocowool

A FULL STACK DREAMER!