Per Ploug是Spotify公司的開源技術負責人,他在開源領域工作了多年,在觀察了開源技術的演變之後,他認為,企業現在對於「開源」的真正含義有了更多的了解。「我認為他們在成本方面更清楚了,也更明白以更具戰略性的方式採用開源技術意味著什麼。」
開源避免了所謂的「廠商鎖定」,即最終用戶組織被綁定到複雜的商業軟體合同中。他們的IT架構決策變更率,通常是由該軟體的供應商決定的。不過,雖然開源不存在這種鎖定,但是開源所提供的靈活性,對於很多公司來說也可能是一把雙刃劍。他說:「我認為開源可以讓你獲得你自己無法開發的技術。」
這意味著組織可以跨入他們可能缺乏足夠專業知識的技術領域,這樣一來,開源軟體的用戶就與他們部署的技術創新聯繫在一起了。
「當你做出這些更重大的投資選擇時,我認為每個人都需要了解他們所採用的技術是否接近於特定領域的通用標準,或者了解他們基本上要依賴於某種正在失去市場份額或者失去用戶心智的技術。」
選擇後者將導致組織在某個時候不得不放棄這個開源工具,這麼做的代價可能是非常大的。
他說,如果不存在開源,那麼大型科技企業將壟斷技術來服務於特定的客戶群,此類技術可能成本極高,因此僅適用於較大型的企業。「小公司買不起這些東西,」Ploug說。
例如,Spotify從一開始就開始使用開源,這讓他們得以成長。「當我們規模還很小的時候,我們使用開源作為快速進入市場的一條途徑,我認為我們已經制定了一個戰略方法,也就是把開源置於一切之上。」
關於開源的戰略性選擇
在Spotify,開發人員可以自行從種類繁多的庫中進行挑選。但對於更重大的戰略投資來說,Ploug表示,如果開源技術成為企業可以長期依賴的標準,Spotify將對其進行嚴格評估,以確保該技術不會過早地被迫轉向更新的技術。
一個事後看來非常有趣的例子是:「在Kubernetes發布的前一天,我們開源了我們自己的容器編排層。」
另一個更積極的項目是Spotify開源了Backstage,而開源是創建通用標準的一種方式。Backstage是一個用於構建開發人員門戶的開源框架,由Spotify開發,已經捐贈給了CNCF,如今被數百家企業採用。
Ploug說:「我們不想只是觀望,並將這項技術保留在我們自己內部。我們希望推動開發者門戶領域的創新。」
這樣一來,Spotify Backstage就成為了市場領導者。Spotify繼續進行內部投資,但通過將其捐贈給CNCF,確保了這項技術可以存活下來,這讓內部用戶有信心繼續使用它。
財務可持續性
Ploug認為,相信開源產品的壽命,是開源社區當前面臨的核心問題。他說:「我們在開源方面存在很重要的財務可持續性問題。我認為,有很多開源維護者的報酬過低或者沒有得到充分的重視,而且對維護開源不斷增長的需求,也讓他們感到重重壓力。」
使用開源代碼的組織需要了解其中的意義。Ploug說:「你與這家提供商沒有簽訂服務水平協議,它不是供應商。你沒有付錢給維護代碼的人,這中檢不存在供應商關係[合同]。」
缺乏服務水平協議對於全行業提高開源安全性舉措的有效性,產生了重大影響。
他說:「我認為很多問題都來自於缺乏維護,因為維護人員根本沒有時間,或者他們的工作沒有報酬,他們都是在晚上和周末運行這些項目的。」
因此,Ploug不認為軟體安全供應鏈的概念適用於開源。由於維護人員沒有報酬,所以他們不是供應商。「你沒有供應鏈的。」
而且公司在財務上支持為項目提供支持仍然不是一種普遍的做法,Ploug希望看到有更多使用開源的組織為開源項目提供財務支持。
擴大人才庫
由於只有某些人能夠放棄他們的時間來維護開源項目,Ploug擔心,這會讓開源社區局限於非常特殊的人群。
「這是一群非常特殊的人,他們熱衷於在晚上和周末從事開源,他們是沒有家務、沒有孩子要撫養、沒有家庭生活、沒有生病親戚要照顧的人。」
他說,開源需要成為一個公平的競爭環境,能夠吸引各種各樣的貢獻者和維護者社區,這也和財務問題、行業和政策制定者建立軟體安全供應鏈的雄心息息相關。
如果維護者和開源貢獻者獲得了報酬並且項目得到贊助,人們就更有可能把他們在開源社區中的角色視為一種職業。他們與他們開發和維護代碼的用戶簽訂合同在財務上具有約束力的話,就會為這些用戶提供服務等級協議並承擔相關責任。
