it|实现开源商业化的「拦路虎」，是企业对待开源的错误态度( 二 ) 模组|实验室|模块|中军融合|供

据美国网络安全公司Snyk发布的《2019年开源安全现状调查报告》显示，78％的漏洞存在于间接依赖关系中；37％的开源开发者在持续集成(CI)期间没有实施任何类型的安全测试，54％的开发者没有对 Docker 镜像进行任何安全测试；两年内应用程序的漏洞数量增长了 88％。

文章插图

链接：http://www.199it.com/archives/839573.html
鉴于上述情况，业界在使用开源软件时，必须进行维护更新。途径无非两个：要么投入力量参与开源、贡献开源，与上游社区紧密结合，上游有bug、立刻修复；要么直接购买第三方企业的专业服务——这个需求也孵化了一批开源初创公司。
然而，当前国内企业对开源软件的维护更新意识并不强。在利害严峻的领域，比如金融行业，软件（无论是否开源）漏洞所造成的损失会非常巨大。而这样的损失往往与从发现漏洞到修复漏洞的时间成正比。
如果这样的开源关键技术，例如数据库，应用在关键的业务上，却没有投入专业人才进行维护，也没有购满专业团队的技术服务来进行维护，一旦漏洞引发上层应用出现问题，却不能及时得到解决，出现的损失则是天文数字。「这不得不引发我们对当前现状深深的担忧。」堵俊平谈到。
如果将开源软件比喻为「自来水」，开源商业公司是「自来水厂」，那么国内开源的短板就在于没有形成一个「使用开源需要付水费」的机制：
「大家拧开水龙头，有水就用，但没有维护。后来自来水厂破产了，破产后，水龙头流出来的水还会是过去有人精心维护、净化过的水吗？自然不是了。」堵俊平谈道，「目前我国千行百业都还没有深入认识到这个问题，只有几个头部IT大厂在重点推动。」
今年10月，为了提升金融企业对开源管理的意识，中国人民银行等五部门发表了关于规范金融业开源技术应用与发展的意见，指明了在使用开源软件中投入维护的利害性。
相较而言，欧美在开源的商业闭环上做得较为成功，在开源中，厂商、开发者、开源公司等均能通过自己的贡献来获得商业回报，但中国在开源商业化一块仍是乱象丛生。
「中国没有Databricks这类成功的开源商业公司，是因为中国的开发者笨吗？不是的。是因为大家觉得能免费用就用，能蹭就蹭，在用户价值一环没有完成闭环。」堵俊平总结。

2、开源应像「热带雨林」
堵俊平认为，将开源比喻成一片亚马逊原始森林。在开源的世界里，有大公司、小公司，也有新创立的公司：
「亚马逊的原始森林发展地这么好，正是因为它蓬勃、有生机，其实开源也是这样。开源当中需要大树、河流，也需要各种各样的小树、蘑菇、菌菇等等，形成一种共生的关系。我认为开源的好处就是，大家可以在一种充满各种可能的环境中蓬勃生长。」
为了提高企业对开源价值的意识，华为在今年9月发起「开源雨林」计划。
一般来说，开源工作都是从供给侧讨论开发者或厂商对开源社区的贡献，而「开源雨林」是希望从消费侧引导企业正确认识开源、理解开源，从而完成较好的开源循环。
具体而言，华为将联合第三方机构把相关的理论和案例总结为若干门开源专业课程，以授课的方式让企业快速具备实战基础。同时，华为也会选择和部分伙伴与客户共建开源能力中心，或者采用联合创新项目的方式完成企业开源相关的组织和流程搭建，让这些企业具备开源实战能力。
作为开源社区的贡献者、同时又是厂商的开源策略决策者，堵俊平表示：「开源供给侧与消费侧的工作我都有在做。在开放原子基金会与 LF AI & Data 基金会，我是推动更多好项目去开源。在应用侧，我希望做的事是引导国内的企业理解开源的价值，投入到开源的创新中。」