使用開源技術推出企業解決方案時的 5 個關鍵考量因素
雖然開源軟體通常可以免費下載,無需預付或定期支付許可費,但在使用開源軟體時,尤其是在建立企業解決方案時,您應該了解一些義務、風險和相關成本。
重點總結
- 雖然你可能認為開源技術更具成本效益,甚至是“免費軟體”,但在將此技術應用於企業解決方案時,你需要考慮安全性、合規性、營運彈性和法律保護。
- 是否使用開源技術(無論是否搭配企業級服務)取決於您面臨的具體情況。無論您的組織規模較小,缺乏管理開源和社群開發技術的資源,還是已經發展成熟,希望利用開源技術節省成本並實現規模化成長,將開源技術與商業服務提供者結合都可能具有策略優勢。本文將闡述其中的五個原因。
- 例如,將 Liferay DXP 與 Liferay 企業訂閱服務結合使用,可以為客戶提供專屬支援、安全保障、合規性和法律保護,以及相比於未訂閱地使用從我們的公共儲存庫下載的 Liferay Portal 程式碼而增加的功能。
開源技術在建立企業解決方案時可以帶來巨大的好處,包括節省成本、提高敏捷性和靈活性,以及接觸使用相同軟體的開發者社群。
什麼是開源/開放原始碼?
開源軟體是指原始碼公開可用,並附帶許可協議的軟體。根據該協議,版權所有者授予任何人出於任何目的研究、修改和分發該軟體的權利。雖然開源軟體的起源可以追溯到1950年代,但這項運動真正開始蓬勃發展是在1990年代末,至今仍在影響著企業解決方案的軟體開發。
企業解決方案需要周詳的規劃和執行,尤其是在安全性、合規性、營運彈性以及功能性方面。在本篇部落格中,我們將探討在利用開源軟體啟動企業解決方案之前需要考慮的五個關鍵因素。
在企業解決方案中使用開源技術之前需要考慮的 5 個關鍵因素
雖然開源軟體通常可以免費下載,無需預付或定期支付許可費,但在使用開源軟體時,尤其是在建立企業解決方案時,您應該了解一些義務、風險和相關成本。
1. 安全漏洞問題
對於業務關鍵型解決方案而言,安全性至關重要,尤其是在您的業務涉及客戶資料或其他敏感資訊的情況下。
由於開源技術的公開性,更廣泛的使用者群體能夠審查並參與安全改進。更多的人參與意味著潛在的漏洞能夠被更快地發現和解決。
雖然公開程式碼允許社群審查,但這種透明度也讓網路犯罪分子能夠識別並利用程式碼中的任何漏洞。這些惡意行為者有可能向開源專案貢獻程式碼,意圖引入漏洞或有害程式碼。
此外,團隊在應用程式中整合開源軟體或元件,卻從未更新程式碼的情況也很常見。如果這些團隊在更新發布後不進行更新,則安全漏洞可能無法解決。
根據 Synopsys 發布的《2024 年開源安全與風險分析報告》,該報告匯總了 2023 年 17 個行業 1000 多個商業代碼庫的調查結果,96% 的代碼庫包含開源代碼,84% 接受風險評估的代碼庫包含漏洞。
Veracode 的另一項研究也發現,在 79% 的情況下,開發人員在將程式碼整合到應用程式後並未對其進行更新。此外,大多數程式碼庫中至少存在一個安全漏洞。企業往往未能追蹤開源程式碼的使用情況,完全不了解哪些元件需要更新。
以上述例子為例,決定採用開源軟體的團隊需要負責更新軟體,以確保程式碼安全。儘管原始供應商可能會定期進行掃描和測試以確保程式碼安全,但最終仍是各個團隊和使用者有責任更新和維護他們使用的程式碼。
2. 滿足合規要求
如果您的企業在特定地區或高度監管的行業中運營,那麼您使用的軟體和技術必須遵守相關監管機構制定的法律和政策,這一點至關重要。
外部合規是指外部機構為確保使用者安全、隱私和保障而對組織施加的法規和標準。其中包括:
- SOC 2評估服務提供者的系統和流程的可用性、處理完整性和機密性這三個安全要素。
- ISO/IEC 27001是資訊安全管理系統的國際標準。
- GDPR著重於保護歐盟境內個人資料。其他地區性保護法包括巴西的 LGPD 和加州的 CCPA。
- 《數位營運韌性法案》(DORA)聚焦在歐盟金融實體的數位韌性。
- 《網路彈性法案》(CRA)旨在透過歐盟對具有數位元素的產品製定通用網路安全標準來增強網路彈性,例如要求提交事件報告和自動安全更新。
但歸根究底,承擔遵守這些法規責任的並非供應商,而是各個使用者組織。因此,如果您在應用程式中使用開源技術,則需要定期審核與企業資訊安全、開源合規性、隱私和資料保護等相關的實務和政策。
3. 開源義務
遵守自由開源軟體(FOSS) 規範要求 FOSS 使用者遵守所有版權聲明,並履行其在商業產品中使用的 FOSS 的所有開源軟體授權義務。這不僅需要編寫程式碼,還可能包括以下一項或多項內容:
- 記錄所使用的開源元件,以備審計或客戶要求。
- 管理一個供人們下載原始碼的程式碼倉庫。
- 維護相關的版權和許可資訊。
- 建立一個顯示所使用的開源元件的使用者介面。
- 評估採用不同許可證的組件的許可證相容性。
這通常需要製定開源政策並對開發人員進行培訓,同時使用軟體掃描產品來識別可能不符合您需要遵循的政策和準則的開源程式碼。
未能完整、準確地完成這項工作,以及不遵守適用的開源許可條款,可能會導致法律後果、金錢損失、維護難題和商譽損失。
此外,各組織還需建立軟體物料清單 (SBOM)。全球軟體供應鏈的基礎是 SBOM 標準。之所以說它基礎性,是因為它充當了清單的角色,記錄了用於建立最終使用者所使用應用程式的元件及其依賴關係。
鑑於風險和安全隱患日益增加,安全營運備忘錄(SBOM)正變得越來越普遍。近期監管政策的變化,包括歐盟的《網路彈性法案》和美國總統第14028號行政命令,都凸顯了這個趨勢。
然而,產生軟體物料清單 (SBOM) 需要對掃描工具或服務進行投資。 SBOM 的產生也極為耗費人力,因為它需要包含所有關於軟體元件的關鍵資料,以及元件或程式庫正常運作所需的所有依賴項,包括所有修補程式或更新。
4. 法律審查與保護
當引入新的開源技術或開源授權條款發生變化時,實施法律檢查和風險評估的責任在於實施該軟體的各個團隊和使用者。
如果出現違反開源許可協議或涉嫌侵犯第三方智慧財產權的情況,最終負責處理所有法律索賠或支付許可費的團隊將承擔全部責任。開源許可協議通常不包含此類情況下的賠償或其他補救措施,因此團隊需要聘請合格的律師或其他法律援助機構來保護自身業務並自行承擔相關費用。
5. 營運韌性
對於業務關鍵型解決方案而言,其可用性至關重要。企業解決方案每宕機一秒,都可能導致收入損失、資料遺失或洩露,以及聲譽受損,包括客戶信任度下降。
確保解決方案的可用性和效能,例如透過擴展解決方案和執行備份,是實施該技術的團隊的責任。然而,內部執行這些工作可能非常耗費成本和資源。
此外,如果您使用沒有商業支援的開源軟體,您的選擇通常僅限於社群支援,而社群支援不提供任何專門的支援或支援等級協定 (SLA),如果出現問題或停機,則需要更多的內部專業知識和資源。
開源軟體是否提供商業服務?
考慮到這五個關鍵因素,您可能會想知道,如果您需要考慮安全性、合規性、營運彈性等因素,使用開源軟體是否真的可以降低您的整體擁有成本 (TCO)。
全球數千家公司在建立和推出網站、內部網路、客戶入口網站等數位體驗時,都受益於 Liferay 開源技術(稱為 Liferay Portal)的強大功能和靈活性。
上述五點考慮因素仍然適用;這些使用者必須預留資源來運作、支援和保護其解決方案。例如,如果一家公司使用 Liferay 技術建立網站,但沒有購買 Liferay 企業版訂閱,那麼其內部團隊或第三方實施人員將全權負責解決方案的託管、效能問題排查、網站維護、確保其運作彈性和可擴展性、網站安全以及在網站宕機時進行備份和恢復。
如果您正在尋找減輕這些任務負擔的方案,我們的商業訂閱服務產品可以透過專家級支援來幫助您降低整體擁有成本,從而更快地實現業務價值,其中包括專門的支援團隊和產品專家。
Liferay 的企業訂閱方案讓您兩全其美-訂閱模式既能讓您保留開源軟體的核心價值,又能有效降低相關風險。這樣,您就能以企業級且經濟高效的方式,將開源技術應用於關鍵任務情境。此外,Liferay 的企業訂閱方案還提供圍繞效能、商務、分析和安全性等方面的專屬功能。作為供應商,我們能夠幫助客戶確保符合監管要求,並遵循最佳實踐和行業標準。
Liferay 讓客戶在本地部署、PaaS 和 SaaS 部署模式之間進行選擇,從而提供靈活的解決方案,幫助客戶在完全掌控資料和高度客製化之間找到最佳平衡點,同時還能將維護、保護和支援底層基礎設施乃至解決方案本身的負擔外包出去。您可以根據自身的風險狀況、業務需求和偏好做出選擇,甚至可以針對特定項目進行選擇。
使用 Liferay DXP 進行成長
IT 服務公司 Sahaj 最初使用 Liferay Portal 建立供應商入口,但隨著業務成長,他們很快意識到需要更具可擴展性和高級功能的解決方案。借助 Liferay 企業訂閱服務,Sahaj 加快了產品上市速度,從而顯著降低了成本。
選擇最適合您業務的方案來推出企業解決方案
儘管使用開源技術有許多好處,但授權費和其他商業定價並非唯一需要考慮的因素。評估長期管理和支援該解決方案所需的成本和資源至關重要。
對許多組織而言,使用開源技術並輔以 Liferay 企業訂閱等企業級服務,可以讓他們安心無憂,因為有專家團隊可以幫助管理安全性、合規性、開源義務等諸多事宜。與那些僅使用開源技術而沒有商業服務的企業相比,這種保障還包括更低的整體擁有成本、更高的營運安全性、更強的業務連續性、更高的敏捷性以及更快的上市速度。
想了解 Liferay 如何幫助您加快合規進程並保護您的營運?下載這份白皮書以了解更多詳情。
