嘿，各位，今天我要聊个挺有意思但也挺让人头较大的事情。就是那个地方的开源柔软件，你了解的，就是较大家都在用的那种免费的柔软件，对吧？但是呢，较大家良好像都不太在乎它背后的东西，就是风险因素。真实的，风险因素无处不在你了解吗？这事儿太十分沉关键了我必须要要说一说不然你们都不了解自己掉进坑里了。

一、这玩意儿到底有哪些风险因素？

先来看，我得告诉你们，用开源柔软件是有风险因素的。真实的，不是骗你们。而且这风险因素还不止一种，有良好几种呢。我看过一份报告，说是有三种风险因素，我给你们念叨念叨，总结一下。。

种，是运维和技术手段风险因素。当前这个有点绕，就是说这是因为你用了这一些开源柔软件，引起你后面的维护啊、 是个狼人。 技术手段啊，都变得特别麻烦。总之就是这三类风险因素，你得记住了记不住就麻烦了。

1. 知识产权及合规风险因素，这玩意儿最麻烦

这知识产权啊，就是版权。开源柔软件一般都有个许可证，叫License。你用了就得看那个地方的License怎么写的。如果你不看，乱用，那就叫违规采用。违规采用会怎么样呢？会带来许可证合规性风险因素。这风险因素可较大可较小，轻巧则罚款，沉重则应诉方上法庭。而且，如果你不了解你在用哪些柔软件，或者不了解那个地方的柔软件的License是哪些，那你更存在风险因素。这就是知识产权风险因素。

我的看法是... 而且当前的柔软件，哪个不是集成了开源组件的？接近全部的现代化柔软件都集成了开源组件。较大更多数组件都有许可证。但是你不能用那一些没有明确许可证的柔软件，那是野路子，简单出事。Gartner的报告也说了当前这个事情很严沉重。反正就是一句话，不懂License，别乱用，不然就等着赔钱吧。

2. 可靠风险因素，黑客最炎热爱这玩意儿

踩雷了。 除了法律制度法规问题，可靠问题也是较大头。开源柔软件里有可能藏着可靠漏洞。你了解吗，那一些黑客最喜炎热爱找开源柔软件的漏洞了。这是因为开源柔软件到处都是你确定在用。如果你的柔软件里有漏洞，黑客就能进去了你的数据就泄露了。这数据泄露更多可怕啊，用户信息没了公司信誉也没了。所以可靠风险因素真实的不能忽视。

3. 运维和技术手段风险因素， 搞不定就崩了

最后再来看那个地方的运维和技术手段风险因素，我就不更多说了反正就是麻烦。你用了开源柔软件，有可能就不了解怎么维护了。或者，这是因为开源柔软件太杂了引起你的技术手段架构变得特别繁杂， 纯属忽悠。 改个代码都找不到在哪里。 这就是一种风险因素，一种让你头疼的风险因素。

二、许可证是个哪些鬼东西？

咱们再聊聊那个地方的License。这玩意儿太十分沉关键了但我看很更多人都不懂。接近全部的开源柔软件都有发布许可。你如果要采用这一些开源柔软件，你就得遵守它的License要求。当前这个道理很简洁，对吧？但是很更多人就是做不到，多损啊！。

如果你在采用的时候，没有遵守License的要求，没有做该做的事，那就是违规。违规了就会有风险因素。当前这个风险因素就是合规性风险因素。 与君共勉。 而且，如果开源柔软件失掉了管理，那就是灾不容简单。你会不了解你在用啥，不了解你在遵守啥规矩。

我记住有个哪些条款，说是允许代码和闭源柔软件一起用。但是有个条件，就是你修改了开源一部分的代码，那么你必须要把这一些修改也开源。当前这个规定挺苛刻的， 恳请大家... 对吧？你本来想用开源的代码做个闭源柔软件卖钱，最终还是结果是这是因为改了一行代码，整个柔软件都得开源，那不就白忙活了吗？所以当前这个得注意。

1. 许可证兼容性，你能用吗？

有些许可证是不能混用的。比如说GPL许可证。当前这个许可证规定， 如果你的柔软件里用了GPL的代码，那么你的整个柔软件，不管你加了哪些闭源的东西， 呵... 都得开源。当前这个就是所谓的“传染”。所以许可证兼容性是个较大问题。如果你搞不清楚两个许可证能不能一起用，那就别混用，免得惹麻烦。

2. SCA工具扫出来的许可证，看不懂啊

当前较大家都会用SCA工具来扫描代码里的开源组件。当前这个工具能扫出来一较大堆许可证。但是你看看那个地方的汇总表，是不是一脸懵？或者根本不了解这是啥意思，也许.…。

有些工具对于许可证这一点做得并不友良好。不了解扫出来一较大堆许可证，可靠部门或者法务是不是也是一脸懵。真实的，我看过那个地方的对比图，BlackDuck哪些的，看着就头较大。全是英文，全是术语，根本看不懂。这就是现状，工具很强较大较大，但是人很懵，划水。。

三、数据泄露，这事儿真实不能忍

我们一起... 咱们再说说数据泄露。当前这个太可怕了。崭新思科学研究技术手段都说了当前99%的商业活动数据库至更少包含一个开源组件。这是哪些概念？就是说你的数据库里有1/3的代码是开源的。而这一些代码库中有将近75%包含开源可靠漏洞。

你看，75%啊！当前这个比例太吓人了。你的数据就在这一些有漏洞的代码里。黑客只要找到当前这个漏洞，就能把你的数据偷走。而且，很更多代码库存在开源许可证无法识别的问题。这意味着哪些？意味着你有可能用了开源代码，但没标明许可证，或者用了哪些奇怪的许可证。这种情况下你的数据更存在风险因素，这是因为你根本不了解当前这个代码是谁写的，有没有后门，说白了就是...。

1. 非托管开源柔软件，隐患巨较大

还有个事儿，就是非托管的开源柔软件。就是你自己下载的，放在公司电脑上的，你自己管理的。这种柔软件最存在风险因素。这是因为没有管理，就没有监控。一旦里面有漏洞，或者有恶意代码，你根本不了解。崭新思科学研究技术手段的报告也详细介绍了非托管开源所带来的可靠隐患， 包括可靠漏洞、过期或废弃的组件以及许可证合规性问题，官宣。。

2. 当前的形势，真实的很不容简单搞

开源柔软件合规风险因素的波及范围极为广泛。已经从传统方式的柔软件行业延伸到了金融、生产、汽车电子这一些非纯柔软件领域。以前较大家觉得开源就是程序员的事，当前发觉不是了。开源柔软件已成为企业构建技术手段架构不可或缺的基石。从操作系统、数据库到中间件及应用柔软件，开源代码无处不在。

但是当前一部分企业在采用开源柔软件时存在“沉重采用、轻巧合规”的现象。技术手段团队往往关注功能实现与开发效率，而忽视了开源柔软件的合规性。他们觉得反正较大家都用，应当没事。但是法律制度法规这东西，就是看证据材料的。等到出事了你说较大家都用了也没用，你还是违规了。

四、那我们该怎么办？怎么规避？

说了这么更多较差话，那咱们是不是就完了？也不是。还是得想办法规避。 开倒车。 怎么规避呢？我觉得最主要有几点。

1. 建立机制，别瞎搞

企业应建立完善的机制。当前这个机制是干哪些的呢？就是识别你用的全部开源柔软件。你得有个清单，了解你代码里有哪些开源组件。然后明确对应的许可证，以及那一些许可证有哪些权益约束。当前这个很麻烦，但是必须要做。如果不做，那就是在裸奔。

2. 及时规避，别等出事了

内卷... 一旦识别出风险因素，就要及时规避。比如说发觉有个组件有严沉重漏洞，那就赶紧换掉。发觉有个许可证很苛刻，那就别用了。或者，找个替代品。 就是要把风险因素控制在萌芽状态。别等到数据泄露了许可证纠纷了再想办法，那时候就晚了。

3. 管理开源，别放任自流

开源柔软件的管理是个系统工程项目。你得有人管，有工具管。就像家里养宠物一样，你得管着它，不然它就拆家。开源柔软件也是一样，你不管它，它就给你惹祸。不管是可靠漏洞，还是许可证合规，都会让你头疼。所以一定要管起来，拯救一下。。

4. 关注细节，别马虎

有些细节很简单被忽视。比如代码里的一个较小注释，有可能就包含了许可证信息。比如有些开源柔软件的安装包里有可能附带了其他柔软件。这一些都要注意。不要以为只要用了那个地方的主柔软件就行了里面的东西你也得了解。

五、一下

开源柔软件是个良好东西，功能强较大较大，免费采用。但是它也有风险因素。知识产权及合规风险因素、可靠风险因素、运维和技术手段风险因素，这三座较大山压在头上，你能不慌吗，摸个底。？

许可证是个较大坑，GPL哪些的，别乱碰。如果你改了开源代码，你就得开源你的修改。 说句实话… SCA工具能帮你扫出来但是你得看懂，看不懂就别乱用。

数据泄露是个较大问题，数据库里75%的代码都有漏洞。你得较小心，较小心，再较小心，请大家务必...。

所以较大家以后用开源柔软件的时候，更多留个心眼。更多看看那个地方的License，更多检查检查有没有漏洞。别光顾着开发迅速， 嗯，就这么回事儿。 把公司的命都搭进去了。这事儿真实的挺严沉重的，希望较大家都能沉重视起来。真实的，别等到出事了才后悔。

良好了我说完了。希望能对较大家有点协助吧。虽然我了解，很更多人有可能根本听不进去， 放心去做... 反正他们就是喜炎热爱乱用。但是我还是得说。毕竟可靠第一嘛，对吧？