A warning to software founders developing apps with lean teams and open source code
The risk of open source code
開源程式碼已經爆發性地受到歡迎,並成為現代軟體的一個重要組成部分(因為它可以大幅提高軟體建置的速度和效率)。成熟可靠的程式碼的易取得性和方便性意味著軟體開發者不必浪費時間和有限的資源重新發明輪子。然而根據我所在公司進行的一項研究,開源程式碼並不是沒有風險。事實上報告發現開源安全風險比以往更高。大多數企業不知道他們自己的程式碼中包含了什麼。對於軟體創始人來說這可能是一個相當困境。在經濟下滑和裁員之際,軟體新創公司比以往任何時候都更精簡。那些之前資金充足的公司現在面臨著困局。在這種情況下,如果沒有進行適當的管理,依賴開源程式碼來支援軟體開發的快節奏發展是一種高效但本質上具有風險的方法。
報告發現,過去五年內高風險的開源漏洞的數量驚人地增加(僅在零售和電子商務領域增加了 557%)。此外對於專案依賴的安全修補和維護嚴重不足(91%的專案都包含過時的開源元件)。因此在軟體安全和投資者資金面臨風險的情況下,創始人和初創企業家該如何在資金緊縮和人才不足的情況下保持競爭力?
Don't be a trendsetter
創始人在推出新創公司時有許多風險,但程式碼不應該是其中之一。無論你在哪個行業,都需要記住每家公司都是一家軟體公司,這意味著你的程式碼將代表你的企業價值的重要部分。在評估從哪裡獲取程式碼時,不要選擇平易近人的路。作為開源程式碼的使用者,我們有責任確保它在軟體組合中得到適當的審查、管理和維護。儘管我們希望所有開源維護者都抱有良好的意圖並且具有相同的編碼能力,但不幸的是事實並非如此。選擇知名的程式碼平臺更為安全 - 例如,創始人應該明智地從著名的社群(如 GitHub 和 GitLab)選擇開源元件。聲譽良好且成熟的開源社群可以提供團隊所需的可視性和指標,以便正確評估專案的安全性和質量。例如,使用在 GitHub 上託管的專案,您可以看到開發和提交活動,並檢視專案擁有者和維護者的檔案。相反,使用從映象站點下載的軟體包,您無法瞭解其中包含了什麼以及您從誰下載的。而且最重要的是,由於開源程式碼是免費的,所以選擇更高質量的平臺既可以加快開發速度,也可以保護您的公司。
Conclusion and advice
在當今競爭激烈的軟體行業中,創業家和初創企業家必須維持競爭力,同時又需要在有限的資源和人力的情況下執行。依賴開源程式碼可以提高開發速度,但必須小心管理和維護,以避免安全漏洞和風險。
首先創始人不應該冒險成為潮流的帶領者,而應該選擇來自知名社群的開源元件。明智地選擇能夠提供可視性和指標的平臺,這樣團隊才能更好地評估專案的安全性和質量。
其次創始人應該確保進行安全修補和專案依賴的維護,避免使用過時的開源元件。保持專案的安全性是至關重要的,因為安全漏洞可能導致企業的損失和信任問題。
最後創始人應該積極參與開源社群,對於所使用的元件提供協助與貢獻。這不僅可以增加開源元件的品質和安全性,還能與其他開發者建立關係和進行知識的交流。
總而言之,開源程式碼在軟體開發中的確具有巨大的價值和效益,但創始人必須謹慎使用和管理,以減少風險並確保企業的成功。
