写点什么

采用开源工具:善意推定,但也要做好沟通

作者:Ben Linders

  • 2024-01-17
    北京
  • 本文字数:1485 字

    阅读完需:约 5 分钟

采用开源工具:善意推定,但也要做好沟通

按照 Hila Fish 的说法,开源项目的好处是支持快速创新,让我们可以灵活地定制和调整工具,而且代码是透明的,有利于增强安全性。其缺点是通过隐匿实现安全的策略就行不通了,开源很容易被滥用,并且当开源工具没有公司支持时,可能会导致可维护性降低。


在 DEV: Challenge Accepted 2023 大会上,Hila Fish 谈了从 DevOps 视角看开源项目。


Fish 说,由于开源项目的开放性,它们的创新速度往往比较快。DevOps 团队可以利用这个快速的创新周期,采用新技术和实践来改进他们的流程。Fish 提到了持续集成、持续交付(CI/CD)、容器化和基础设施即代码(IaC)等领域。在这些领域,开源工具和解决方案推动了 DevOps 的创新。


DevOps 的核心原则之一是能够根据组织的独特需求来定制流程和工具,Fish 解释道:


开源软件提供了定制和调整工具以适应特定工作流和需求所需的灵活性。她补充说,DevOps 团队可以修改、扩展和集成开源解决方案,从而创建一个最优的工具链。


开源项目强调透明,允许任何人审查源代码。Fish 说,这可以加强软件开发周期内的安全工作,因为团队有机会检查代码中的漏洞并进行必要的改进。开源项目的协作特性通常可以使其对安全性和其他各种问题做出快速响应,从而帮助 DevOps 团队保证环境的安全和稳定。


开源项目也有一些缺点。Fish 提到,“通过隐匿实现安全”的概念并不适用于开源工具。Fish 说,专有软件公司可以声称他们的代码比开源软件更安全,因为代码不公开,黑客很难利用其漏洞。


Fish 还提到,开源软件很容易被滥用:


最近有一些案例,比如“Colors”NPM 包和“FakerJS”被维护者破坏 / 删除,每个人都有自己的原因。我们要知道,当我们在自己的环境引入开源工具时,这种情况是有可能发生的(即使不是经常发生)。


Fish 说,很多开源工具并没有得到公司的支持。由于维护者是个人,所以他们可以决定停止维护这些项目:


如果我们集成这类项目,这意味着我们要么自己维护它,要么迁移到另一个维护良好的工具。


Fish 提到,对于开源,你需要“善意推定(assume good faith)”。如果你在生产环境中使用一个开源工具,它有一个 Bug,而你打开了一个问题来修复它,那么这个 Bug 的修复可能需要几个月甚至更长的时间,因为他们不欠我们任何东西。


是的,你可以打开代码并尝试自己修复它,但并不是所有人都有资源这样做,所以我们会依赖于项目维护者为我们修复它。


Fish 建议我们解释这个问题并说明其紧迫性。她说,这样人们可能会更快地提供帮助,因为大多数(如果不是全部的话)开源维护者所从事的就是协作和沟通,因为这是开源文化的本质。


Fish 建议,在集成开源工具(特别是生产环境)之前一定要进行研究,确保它在出现问题时能够得到良好的维护。


InfoQ 就如何使用开源工具采访了 Hila Fish。


InfoQ:您在选择开源项目时有什么标准吗?


Hila Fish:我会考虑八个关键指标:项目的受欢迎程度、活跃度、安全性、成熟度、文档、生态系统、易用性和路线图。每个关键度量标准都有一些子问题,你可以问自己这些问题并找出答案,这样你就可以逐个指标地评估项目的成熟度级别。


InfoQ:您是如何使用那些标准的?


Fish:举个例子,就拿活跃度这个指标来说,它可以帮助我们大致估计下,这个开源项目修复 Bug/ 发布特性需要多长时间。查看下提交速率是每天、每周,还是每月,看下问题数量、发布数量,这样你就可以很好地了解活跃度。


文档是选择开源项目的另一个重要指标。文档是项目的门户,要看下它是否内容丰富,涵盖了大多数方面,如如何集成、已知问题、功能说明等。有了文档,你在决定是否采用该工具时就更有依据。


原文链接:

https://www.infoq.com/news/2023/12/upsides-downsides-open-source/

2024-01-17 08:005150

评论 1 条评论

发布
用户头像
如何理解隐匿?

2024-01-17 10:22 · 北京
回复
没有更多了

金融互联网产品经理

Shine man

【总结】产品经理训练营 | 01 认识产品经理

阿席达卡。

区块链产品经理

IVY

区块链

绩效管理,上下同心者胜(四 完结篇)

一笑

管理 绩效 28天写作

项目管理全史(持续更新)

Ian哥

28天写作

[讨论]几个能有效应对 35 岁危机的办法

穿甲兵

“数据库网络故障”愁坏了头,五种方法带你解难题

华为云开发者联盟

数据库 数据 GaussDB 网络故障 丢包

20 行代码:Serverless 架构下用 Python 轻松搞定图像分类和预测

阿里巴巴云原生

人工智能 机器学习 深度学习 Serverless 云原生

豆瓣9.5分,它是Scala领域当之无愧的王者之作!

博文视点Broadview

scala 编程语言 豆瓣高分

产品经理训练营第一章作业

阿波

送你一个造梦机器,然后入眠「幻想短篇 12/28」

道伟

28天写作

张小龙关于微信十年的产品思考 | 视频号 28 天 (13)

赵新龙

28天写作

智汇华云 | ArcherOS Stack利旧FC-SAN存储

华云数据

存储

时间是最大的变量

石君

时间 28天写作

C2C场外交易系统APP开发|C2C场外交易软件开发

系统开发

招投标挖坑、防坑指南

浪潮云

tob 招标 投标

交易所APP系统软件开发案例

系统开发

SpringCloud 从入门到精通 13---Nacos集群搭建

Felix

第一章作业(2021-1-19)

邓嘉华

成年人最渴望的奖励就是成功 Jan 20, 2021

王泰

28天写作

详解MySQL执行事务的语法和流程

华为云开发者联盟

MySQL 数据库 事务 服务器 SQL语法

两万字长文总结,梳理 Java 入门进阶那些事

程序员小跃

Java redis 架构 后端 面向对象编程

产品经理-第一周作业

LLL777

Soul 网关实践 05|sofa服务&SpringCloud服务接入网关

哼干嘛

花一分钟体验大数据任务调度系统 - Apache DolphinScheduler 第一个官方 Docker 镜像

代立冬

大数据 workflow 任务编排

谈谈统计学正态分布阈值原理在数据分析工作中的运用

vivo互联网技术

大数据 正态分布 核心

产品经理岗位招聘分析

Nemo

如何成为分享高手(上)

熊斌

个人成长 28天写作

uni-app的发展和应用

anyRTC开发者

uni-app 音视频 WebRTC sdk 安卓

透过现象看本质:Java类动态加载和热替换

华为云开发者联盟

Java JVM 插件 类加载器 热替换

NanoDet:这是个小于4M超轻量目标检测模型

华为云开发者联盟

PyTorch 目标检测 yolo nanodet

采用开源工具:善意推定,但也要做好沟通_开源_InfoQ精选文章