我想我们都读过很多关于政府采用开源软件的经验教训以及挑战和机遇的报告。坦率地说,其中许多报告似乎有些枯燥乏味,而且常常重复。
但我最近偶然看到一项研究(尚未获得太多媒体报道),它脱颖而出。它的前提与大多数研究不同,它认识到积极的一面:开源软件 (OSS)“正在美国政府中使用,并由政府发布(包括小的改进和全新的项目),并且政府从中受益。然而,政府中的许多人并没有意识到这一点。” 简而言之,它似乎发现杯子是半满的——或者更好——而不是半空的。
该报告名为政府中的开源软件:挑战与机遇,由美国国土安全部 (DHS) 于 2013 年编写,DHS 并非典型的政府 IT 机构。该报告之所以引人注目,还因为作者之一 David A. Wheeler 博士 是美国政府 (USG) 中 OSS 使用方面最博学的人之一,并且在该领域深耕十多年。
它不仅着眼于美国联邦机构对 OSS 的使用情况,还探讨了政府开发的软件问题。美国政府“应要求共享软件,并且如果软件是用公共资金开发的,则默认以 OSS 形式发布软件。”
通过对专家、供应商和潜在用户(用户包括政府承包商和政府雇员)的访谈,Wheeler 博士及其合著者 Tom Dunn(来自佐治亚理工学院研究所)试图比简单地调查美国政府对 OSS 的使用情况更深入地挖掘。它希望了解“实际存在的真正问题是什么……以帮助确定真正的挑战是什么,并确定解决这些挑战的方法。” 该报告由 DHS 科学与技术理事会的国土开放安全技术 (HOST) 项目赞助。
半满还是半空?
那么,Wheeler 和 Dunn 在他们的报告中发现了什么?
正如一位受访者所说,“OSS 使用得越多,成功的案例越多,人们就会越使用它,从而真正节省时间和金钱。” 这一主题贯穿整个报告。事实上,许多受访者建议“政府应要求共享软件,并且如果软件是用公共资金开发的,则默认以 OSS 形式发布软件。”
确定的核心挑战之一是纯粹的惰性。“也就是说,对变革的抵制……一位政府雇员表示,政府‘拒绝 OSS 是恐惧和惰性的结合。[他们] 不喜欢走出舒适区,并且[存在]对未知的恐惧。’ 一位 OSS 专家表示,‘对于政府中的 OSS 而言,最大的障碍是习惯;他们习惯于购买以前购买过的东西。’” 虽然报告中没有明确指出,但随着在 OSS 环境中成长起来的新一代 IT 专业人员进入政府部门,这种假设很可能会改变。在某种程度上,我们已经在各个机构中看到了这一点。
作者还强调需要“将认证与认可 (C&A) 工作重点重新放在风险管理上,而不是实施僵化的流程。” 我想指出,随着各机构越来越重视安全性和可靠性,这一领域只会扩大。报告敦促,在可能的情况下,应“更大程度地共享 C&A 数据和操作授权”数据(例如,通过举办“C&A 夏季”活动)。报告特别指出,需要“确保所有相关方,包括 OSS 供应商,在政府制定相关规范(例如,通用准则保护配置文件)时都参与进来。”
我从其他政府那里看到的一个关键主题是,各机构需要采取关键步骤,“从专有格式和协议转向模块化系统和开放标准,因为这有助于过渡到包括 OSS 在内的替代方案。” 该报告继续敦促美国政府技术人员“在制定这些开放标准和开发它们的 OSS 实现方面发挥更积极的作用”,并引用了 安全内容自动化协议 (SCAP) 和 开放漏洞评估语言 (OVAL) 规范等示例,这些规范已成为美国政府和私营部门 IT 实施中的基本工具。
毫不奇怪,采购流程受到了一些批评。负责制定“征求提案……的办公室和官员不应假定回复者具有特定的商业模式,并且不应施加不必要的文书负担。” 而且,当谈到发布内部开发或合同开发的 OSS 软件时,这当然“可能需要改变合同策略。”
教育与新政策
但值得注意的是,该报告强调,他们在关于 OSS 使用的研究中发现的许多挑战不需要政策变更,而是缺乏教育或指导,包括“关于 OSS 的一般教育。”
报告指出,“政府确实有一些 OSS 政策。” “管理与预算办公室 (OMB) 发布了一份联邦政府范围内的备忘录,其中指出采购规则适用于所有软件,无论是专有软件还是开源软件 [引用 2004 年 7 月 OMB 软件采购备忘录],将 OSS 置于平等地位。《国防部 (DoD) 制定了 更详细的 OSS 政策,明确指出 OSS 是可接受的并且必须考虑,以及 支持常见问题解答 (FAQ) 和 最佳实践文档。” 他们总结道:“联邦政府对 OSS 的定义缺乏认识或理解,而不是真正缺乏政策。”
报告中传达的一个重要主题是,各机构需要与私营部门合作,了解各种 OSS 的差异和属性。“关于商业支持和保修有很多评论。我们建议政府对其员工和承包商进行关于 OSS 支持和保修的多种选择的教育;通常有 OSS 的商业支持供应商。” 这在 C&A 领域尤其重要,正如报告指出的那样,安全评估(例如,通过通用准则和 FIPS 140-2)可能成本高昂,但至关重要。
引用美国政府内外 OSS 专家的观点,“很多[问题源于]政府不了解 OSS 模式的运作方式。……就 [OSS] 使用而言,障碍通常是教育。人们缺乏信息,[仍然] 在管理层存在一些 FUD,[并且] 他们认为 OSS 可能不安全(这种想法仍然存在)。”
有趣的是,关于最后一点,作者“预计许多挑战与安全或安全认知有关。我们确实发现了这些挑战,但许多挑战出现在其他领域。” 这些预期包括对低质量或恶意软件植入的担忧。但正如他们指出的那样,“软件的质量可能高也可能低,无论它是 OSS 与否。” 正如几位用户所说
“OSS 可能有好有坏,但有一些指标可以判断哪个好哪个坏。……[OSS] 可以以更透明的方式声明更高的质量;他们可以通过使用软件质量保证工具来证明他们的源代码非常可靠……您可以进行自动化验证,以确保您符合政府风格的政策,更不用说其他政策了,这样源代码就不太可能出现内存问题或其他情况。能够声明这些质量指标将具有很大的价值……[使用 OSS,您] 能够以透明的方式声明您正在生成高质量的代码,尤其是在保护人们的数据时。”
该报告赞扬了 OSS 供应链的透明度,“因为它能够应对风险。……您可以在 OSS 的来源方面比专有软件获得更多的信任。”
政府分支的风险
报告中确定的更令人感兴趣的“挑战”之一是政府机构通过复制现有 OSS 项目(通常称为“分支”)来创建独立管理的项目的趋势以及相关风险。David 之前曾撰写过关于该主题的文章(例如,请参阅我去年对他的采访)。
OSS 的好处之一是它是现成的商业软件,并且可以由潜在的各种供应商提供支持,并且可以作为机构软件使用的敏捷、可重用的模块化方法。“项目分支通常会让政府在长期维护方面付出更高的代价,因为政府必须为每次更改付费(而不是与他人分摊维护成本),而且分支也与主要 OSS 项目未来的创新隔绝。” 这通常与 OSS 文献的宗旨一致,“强烈建议尽可能避免创建项目分支。然而,政府及其承包商常常不必要地鼓励创建项目分支,而不是阻止它。”
因此,他们发现“由于项目分支大大降低了 OSS 的价值主张,因此政府应强烈反对创建项目分支”,即使报告指出了“反常的激励措施”来这样做。
自报告发布以来发生了什么变化?
自报告编写以来已经过去了一段时间。因此,我询问了 Wheeler 博士,他对今天发生的变化或他会提出哪些不同的建议有什么看法?
“发生了什么变化?我认为我们在论文《政府中的开源软件:挑战与机遇》中说的所有内容仍然是正确的。但是,如果说没有任何变化,那将具有误导性。美国联邦政府变化缓慢,但我确实看到美国联邦政府在使用和开发 OSS 方面正在缓慢转变。具体数据很难获得,但我看到越来越多关于“如何”使用或发布 OSS 的问题,而不是“我是否可以”做某事。美国政府正在开发的 OSS 项目数量也在不断增加;您可以通过 http://www.dwheeler.com/government-oss-released/ 查看部分列表。越来越多在政府部门或为政府部门提供支持的人员拥有 GitHub 帐户。越来越多的人正在获得 OSS 的“操作授权”,他们正在将更多 OSS 集成到更大的系统中,并且他们正在共同开发 OSS。
“人们越来越意识到有多种方法可以解决他们对 OSS 的担忧。例如,在论文中,我们注意到许多关于支持和保修的担忧;许多人错误地认为商业支持永远不会为 OSS 提供。然而,许多供应商为 OSS 提供支持,并且在某些情况下,自助支持是完全可行的。人们应该检查他们的支持选项,而不是假设没有支持选项。有些人担心 OSS 中存在低质量或恶意软件的风险,但他们不了解专有软件也存在完全相同的风险。正如论文中指出的那样,OSS 和专有程序的解决方案都很明确:特定程序需要根据其自身的优点进行评估。
“政府使用 OSS 并非新鲜事;互联网的存在部分是因为政府为 TCP/IP 协议栈的开发和以 OSS 形式发布付费。但是,人们开始认真考虑在许多其他领域应用 OSS 方法,而不是孤立事件,这令人鼓舞。”
不是是否,而是如何
DHS 发布的报告绝对值得一读。虽然它专注于美国政府使用 OSS 面临的实际问题和挑战,但它对世界各地的政府都具有非常有用的见解。它证实了我日益增长的观点,正如我之前在 之前的文章中写道,我们已经超越了关于 OSS 的一些旧的争论。相反,今天许多政府越来越关注开源选择的“操作方法”;而不是“是否”使用它。
评论已关闭。