“违反
开源软件(OSS)许可或卷入了一个知识产权(IP,Intellectual Property)的争端所带来的风险随着开源软件的使用而相应增加,”Niski写道。他的报告列举了一个类似的案例:2002年,Progress Software公司被指控侵犯通用公共许可证(GPL,General Public License),这使得该公司在开发和营销工作方面损失了1000万美元。
最近,在2007年第四季度,一些公司,包括Verizon Communications公司被起诉在自己的产品中包含BusyBox组件,因而违反GPL的有关规定,Niski指出。
“隐形”的开源软件带来的另一个问题对于那些寻求
SOA治理得
IT管理者来说很熟悉。
“对于开源软件组件的
自由使用可能会影响IT们的运作和发展,” Niski写道。“一个企业使用的功能重叠的组件越多,这些组件之间相互冲突和不兼容的概率合风险就越大。尤其是在Java EE领域,特别当多个应用程序必须共用一个应用
服务器,或者应用服务器本身包含了开源软件组件时。当为一个单一的目的使用多个组件时,或在一个单一的运行时的背景下使用同一个组件的多个版本时,软件之间冲突的可能性就会很大。”
举例来说,Niski写道,在一个Java EE应用中,在运行时的类路径下使用多个XML解析器或多个SOAP消息库就有可能会带来一些问题。
“如果一个应用服务器采用了不同版本的类库,并且该类库也被捆绑到了部署到该服务器的应用程序上,或者一个应用在部署的过程中采用了不同的公共接口部署方式---那么,意想不到的、难以诊断的错误就有可能发生,” Niski警告说。
这些法律和质量保证(QA)问题并不是SOA所特有的,而是普遍存在的,Niski说。
“我不认为开源领域的许可或知识产权的问题是SOA领域所独有的,”Niski说。“在报告中,我讨论的常见的挑战是:了解许可的影响、治理组件的使用、赔偿和支持。”
他的建议包括设立一个治理计划,使用开源管理(OSM)工具帮助检查新的和现有的应用以便发现OSS组件。Niski表示,这些工具应该纳入软件开发生命周期(Software Development Lifecycle)中,以帮助企业确定开源软件组件并了解其许可的影响。
Niski的报告特别提到了三家公司的工具软件,这三个公司是, Black Duck Software 公司、Palamida 公司和OpenLogic公司。值得注意的是,这三家公司的产品在功能上是有重叠的,并且是根据企业的需要设计的,企业有可能只需要一家公司的产品,也有可能需要多个公司的产品。
该报告指出上述三家公司产品的基本优势如下:
◆Black Duck公司的产品对于法律和遵约问题提供最广泛的支持;
◆Palamida公司的产品除了在治理上可以管理开源软件,还可以从从安全和脆弱性角度管理开源软件;
◆OpenLogic公司的产品为OSS软件包提供认证、支持和赔偿服务。
【责任编辑 陈东方】
