OSCAR 分享之蚂蚁开源治理的方法和实践

简介: 用不用开源技术不再是个问题,如何用好开源技术才是
OSCAR 是开源产业大会,学术界、产业界共同探讨开源的使用、共享和治理等相关话题,2022 年的开源产业大会于 2022 年 9 月 16 日在北京成功举办,大会上蚂蚁技术专家才楚做了关于蚂蚁开源治理的方法和实践主题分享,此文进行了一些总结。

1.jpg

1.开源治理的必要性

用不用开源技术不再是个问题,如何用好开源技术才是,这是这些年来大家普遍的共识。应用云原生化之后,发布到线上的制品中超过 90% 的代码是非开发人员编写的代码,而是框架、组件、库等。研发的主要工作从「代码编写」进化到了「接口编排」,在大幅度提升了效率的同时,开源技术的风险随着大规模自动化的持续交付流水线进入了线上生产环境。即使事后定位到某个组件的问题,影响分析、稳定性保障、版本升级都是非常大的难题。

近年 fastjson、log4j 这些高危远程执行漏洞,GPL 协议引起的诉讼等问题都说明这类问题发生的必然性,并且此类问题造成的损失十分巨大,此前认为开源技术和免费技术是一回事的观点必须要抛弃了,尤其是对风险敏感的金融相关技术研发组织。

2.数据驱动的治理

开源治理的难点主要在于没有数据:

  • 在治理决策时,不清楚用了哪些开源组件、不清楚开源组件的开源风险现状是什么、不清楚开源组件被谁在用
  • 在治理执行时,开源治理规则没有地方统一管理、治理规则无法动态分发、治理进展无法数据化跟踪

2.png

所以,我们需要使用制造业供应链管理的理念:

  • 对使用了哪些原材料需要有清单
  • 这些原材料如果有质量问题则需要记录
  • 知道这些原材料哪些产品在用(便于交付前质检和交付后溯源、审计)

因此,开源治理时必须要达到的四目标:

  • 知道研发组织使用了哪些开源组件
  • 知道开源组件的风险分析结果
  • 知道开源组件被哪些应用在使用
  • 能够高效、精准地形成持续交付管控切面,必要时阻断

3.开源治理的工具

数据驱动的治理的关键在于需要工具能在研发活动中,将风险通过研发工具透出给开发者,并辅助开发者处理。

3.png

4.蚂蚁的治理实践

4.png

从治理决策出发,持续治理执行和治理评估,研发人员和治理规则定义者之间保持持续迭代的关系,通过辅助工具,如 IDEA 自定义快速检查功能和 SmartUnit 保障代码单元测试质量。

  • 治理决策,基于现状定义治理目标、流程管控规则
  • 治理执行,线上存量问题、线下增量问题联动治理
  • 研发体验,尽量在研发最早期提示风险和辅助用户升级

5.png

在治理决策时,通过 10 个指标明确风险现状,定义治理头部组件/应用,定义出治理规则,这些清单数据来自于构建活动中通过 SCA 工具收集的数据,统一制品库对接开源组件风险分析工具提供的接口,拿到风险分析结果并以制品元数据的形式进行持久化,前端查询展示为数据大盘。

6.png

在治理执行时,治理规则统一管理,通过数据大盘可以了解到当前运行了哪些规则、规则分类、规则分级以及应用响应的情况等,这些数据能够和 Rule enforce 客户端互动,客户端在执行 enforce 的时候通过 API 从管理端拉取最新规则,在 IDEA 本地执行校验。

7.png

在开发者本地,通过 IDEA 自定义功能菜单的方式就可以快速执行检查,当然命令行手动执行命令检查同样是支持的,在流水线中同样是支持的。这种动态规则的拉取是蚂蚁对 apache maven enforce plugin 进行了深度改造定制实现的,通过这个客户端可以透出升级操作指引给开发者,辅助开发者操作。

8.png

相关文章
|
7月前
|
人工智能 运维 监控
「云原生可观测团队」获选「InfoQ 年度技术内容贡献奖」
「云原生可观测团队」获选「InfoQ 年度技术内容贡献奖」
1198 17
|
存储 消息中间件 Prometheus
《2021 阿里云可观测技术峰会演讲实录合辑(上)》——二、万节点规模云服务的SRE能力建设【上】
《2021 阿里云可观测技术峰会演讲实录合辑(上)》——二、万节点规模云服务的SRE能力建设
188 0
|
自然语言处理 运维 监控
《2021 阿里云可观测技术峰会演讲实录合辑(下)》——一、 基于OPLG从0到1构建统一可观测平台实践【上】
《2021 阿里云可观测技术峰会演讲实录合辑(下)》——一、 基于OPLG从0到1构建统一可观测平台实践【上】
181 0
《2021 阿里云可观测技术峰会演讲实录合辑(下)》——一、	基于OPLG从0到1构建统一可观测平台实践【上】
|
存储 数据采集 边缘计算
《2021 阿里云可观测技术峰会演讲实录合辑(下)》——一、 基于OPLG从0到1构建统一可观测平台实践【下】
《2021 阿里云可观测技术峰会演讲实录合辑(下)》——一、 基于OPLG从0到1构建统一可观测平台实践【下】
159 0
|
存储 SQL 运维
《2021 阿里云可观测技术峰会演讲实录合辑(上)》——三、友邦人寿可观测体系设计与落地
《2021 阿里云可观测技术峰会演讲实录合辑(上)》——三、友邦人寿可观测体系设计与落地
184 0
|
消息中间件 运维 监控
《2021 阿里云可观测技术峰会演讲实录合辑(上)》——二、万节点规模云服务的SRE能力建设【下】
《2021 阿里云可观测技术峰会演讲实录合辑(上)》——二、万节点规模云服务的SRE能力建设【下】
146 0
|
云安全 新零售 人工智能
重磅发布 | 《云上企业战略与发展设计框架白皮书》
编者按: 云计算是企业数智化转型的基础和催化剂之一,也是企业转型必不可少的技术要素。但“上云“之路并非坦途,可能会遇到安全合规、业务复杂性、团队能力,基础设施等诸多挑战和难点。阿里云联合中国(深圳)综合开发研究院共同发布《云上企业战略与发展设计框架白皮书》,引导企业增强数智化转型发展的意识和能力,直面数字经济机遇挑战,从“企业上云”向“云上企业”升级。 文末附白皮书下载链接 全文约2137字,建议阅读时间6分钟。
488 0
|
分布式计算 Cloud Native 数据可视化
重磅报告发布,从102个开源大数据项目深度研究开源大数据技术发展!
《2022年开源大数据热力报告》,由开放原子开源基金会、X-lab开放实验室和阿里巴巴开源委员会联合出品。报告基于公开数据研究最活跃的102个开源大数据项目,探寻出开源大数据技术发展背后的“摩尔定律”。
重磅报告发布,从102个开源大数据项目深度研究开源大数据技术发展!
|
运维 Cloud Native 安全
招行架构师徐佳航:金融云原生与开源标准的共同生长
云原生的技术价值喻示着它就是未来,加入到一个具有可延续性生命力的开源社区,可以帮助我们更快地到达那里。——徐佳航,KubeVela Maintainer,来自招商银行基础设施研发中心云平台及运维平台开发团队。
招行架构师徐佳航:金融云原生与开源标准的共同生长
|
Kubernetes Cloud Native 数据可视化
解构云原生,从概念到落地:阿里云、声网、微博、好未来、CNCF的专家们怎么看?
对于云原生从业者而言,2020年最大的挑战就是兑现新技术给业务带去的价值。
1240 8
解构云原生,从概念到落地:阿里云、声网、微博、好未来、CNCF的专家们怎么看?