您的公司知道自己使用了多少开源软件吗？

许可证是开源项目的法律基础，但公司并不总是知道如何管理它们。Jeff Luszcz 创立了 Palamida，以帮助组织确保他们遵守上游软件许可证。在此过程中，他和他的团队发现，不了解正在使用的开源许可证会导致不了解需要修补的漏洞。

在 All Things Open 大会上，Jeff 将进行两次演讲：如何实现管理开源的业务和安全投资回报率 和 如何保护您的基于 Linux 的产品免受 IP 侵权和安全漏洞的影响。我最近与他谈论了许可和安全之间的交叉点。 在本次访谈中了解更多信息。

乍一看，知识产权侵权和安全漏洞似乎是不相关的主题。 它们是如何最终出现在同一个演讲中的？

当 Palamida 于 2004 年首次成立时，我们绝大多数客户都关注确保他们尊重其使用的开源软件 (OSS) 组件附带的许可义务。 他们（现在仍然）震惊地发现，在典型情况下，他们低估了 95% 以上的使用量。 这导致了知识产权 (IP) 和许可违规，以及为了替换不符合策略的组件而进行的大量返工。

在此过程中，还发现安全漏洞也是一个问题，并且具有相同的根本原因。 如果公司没有出于 IP 合规性的目的跟踪开源代码，他们也不会关注版本更新、错误报告和补丁。 这导致已安装的基础设施包含有时是十年前的库版本，并且存在已知的安全问题。

即使在今天，Palamida 扫描期间仍然会发现 Heartbleed（2014 年在 OpenSSL 中发现的安全漏洞）。 即使在全球范围内推动查找和升级此库之后，仍然如此。 大多数软件产品尚未经过扫描或审查，并且存在易受攻击的软件组件，但它们静默地存在着。

基层员工如何说服管理层，使用开源项目并为其做贡献对公司有益？

这可能是一场漫长的斗争。 令人震惊的是，听说 OpenSSL 在 Heartbleed 之前每年只收到几千美元的捐款。 Heartbleed 之后，他们的情况好多了。 其他项目就没有那么幸运了，仍然在财务和源代码贡献方面苦苦挣扎。

我看到有帮助的一件事是指向为您的产品提供支持的重要开源项目。 这些是自研代码的直接替代品，可以被视为“节省成本”。 保持这些组件的活力和蓬勃发展也有助于提高公司的利润。 公司做的两个“简单”的入门活动是财务捐赠和错误报告/错误修复。 捐款快速、容易，并且不会影响截止日期。 即使是适度的捐款也会受到赞赏。

如果贵公司的啤酒或咖啡预算大于您的开源贡献预算，我会说您有问题了。

捐赠代码或时间可能更困难。 您的公司规模越大，您可能需要跳过的法律障碍就越多。 错误修复或补丁通常比捐赠大型功能或全职开发人员争议更少。 这是一个很好的开始方式，可以帮助管理链了解使用开源贡献的来龙去脉。

越来越多的开发人员正在将开源贡献作为其工作描述的一部分，并利用他们在公司中的影响力来确保他们获得将代码向上游推送所需的支持。 “如果我不能在 Linux 或 Hadoop 上工作，我会去可以工作的地方。” 虽然这可能对许多开发人员不起作用，但如果您有幸处于职业生涯的这个阶段，您可以极大地影响您的公司。

您的演讲似乎将侧重于管理开源公司正在使用的开源来自何处。 像软件自由保护协会和 Apache 基金会这样的组织可以在这方面发挥什么作用？

这些团体代表了开源项目的有影响力的创建者，并将许多人视为围绕开源许可（copyleft 和 attribution）的哲学频谱的两端的人形象化。 这些团体帮助定义了围绕开源的创建和使用的期望。 我们经常告诉客户，不仅要关注许可义务，还要关注作者的哲学和著作。 在法律上遵守许可证是一回事；融入您正在合作的团体的文化是另一回事。 有时，公司会尝试“法律上准确”的方式来遵守许可证的文本，但完全破坏了许可证的精神。 社区会很快向您表明这是不可接受的。

虽然正确使用开源的责任在于开源用户，但鼓励适当的行为符合这些团体的最大利益。 大多数公司都想做正确的事情，但往往缺乏做什么以及如何开始的知识。

通过创建培训、与社区内外开发人员合作，以及让公司更容易与组织沟通，这些类型的团体可以帮助公司更轻松地使用开源。

您认为开源合规性方面最大的挑战是什么？它的未来前景如何？

没有人相信他们实际使用了多少开源软件。 当我们与公司合作时，我们会要求他们披露他们使用了多少开源软件。 最常见的答案是：“我们知道我们正在使用开源软件，但我们不知道在哪里。” 公司通常在被询问时只能说明其真实开源使用量的 5%。 对其代码的审查会发现数百个（有时是数千个）他们不知道正在使用的库。 每个遗漏的库都代表着许可证违规。

在工程管理链看到审计结果之前，让他们理解并正确预算合规性可能很困难。 在团队需要删除数十个库，并为数百个库创建和发布许可证披露，并且通过根据需要升级和修补来关闭潜在的安全漏洞之后，“第一次就做对”变得更容易。 从成本和声誉的角度来看，从头开始正确构建某些东西总是比事后改造更便宜。

未来正在迅速到来。 许多公司在 Heartbleed 事件后被迫开始关注合规性，因为他们发现自己对开源软件的使用情况知之甚少。 当每位 CEO 询问他们认为会是一个快速问题的问题——“我们在哪里使用 OpenSSL？”——结果变成了一个资源密集型的多月分析时，项目人员开始关注。 这一事件确实改变了公司的合规性工作，因为他们意识到他们的意识偏差有多大。

今年哪些 All Things Open 演讲是您不容错过的？

我对开源许可很感兴趣，今年的 All Thing Open 会议举办了近年来我见过的关于该主题的最佳演讲。

我与 Heather Meeker 合作多年，我期待着她的 让你的代码自由（不吓唬律师）：在进行代码发布和贡献时的许可和知识产权考虑。 Heather 做了大量此类工作，并且会讲述一些关于处理此过程的最佳和最差方式的精彩故事。 我总能在她的演讲中学到新东西。

此外，Bradley Kuhn 的 GPL 强制执行对业务有利 演讲肯定会是一个很棒的演讲，可以帮助理解为开源使用通用公共许可证的社区的目标和动机。 不幸的是，它与我的演讲在同一时间，所以我今年看不到它了！

最后，将商业软件引入开源的工程、业务和法律选择 和 理解开源许可证 演讲看起来都很有趣。 我可能需要分身才能同时参加这两个演讲。

本文是 All Things Open 演讲者访谈 系列的一部分。 All Things Open 是一个探索企业中开源、开放技术和开放网络的会议.