采用开源工具：善意推定，但也要做好沟通

在 DEV: Challenge Accepted 2023 大会上，Hila Fish 从 DevOps 视角探讨了开源项目的利与弊。Fish 指出，开源项目能够支持快速创新，允许定制和调整工具以适应特定需求，同时提高代码的透明度，有利于安全性的增强。然而，这也意味着不能依赖于安全的匿名性，开源软件可能被滥用，并且在缺乏企业支持的情况下，可能存在可维护性的问题。

Fish 强调，开源软件的快速创新周期可以让 DevOps 团队采用新技术和实践，如持续集成、持续交付（CI/CD）、容器化和基础设施即代码（IaC），来优化他们的工作流程。开源软件的定制能力允许 DevOps 团队创建一个最优的工具链，而透明的特性则促进了代码审查和安全改进的机会。

然而，开源项目的透明性也意味着不能依靠代码隐藏来确保安全，这与传统的专有软件策略相悖。Fish 还提到了开源软件容易被滥用的问题，例如 NPM 包“Colors”和“FakerJS”的恶意维护事件。此外，缺乏企业支持的开源工具可能导致维护者随时停止更新，给使用这些工具的团队带来挑战。

从实际应用的角度，Fish 建议采用开源工具之前进行彻底研究，确保工具能得到良好的维护。她提到了“善意推定”的原则，即在使用开源工具时，即使遇到 Bug，我们也应该理解维护者可能无法立即修复，因为他们没有义务为我们服务。她建议说明问题的紧迫性，以便更快地得到社区的帮助。

在接受 InfoQ 采访时，Fish 分享了自己选择开源项目的标准，包括项目的受欢迎程度、活跃度、安全性、成熟度、文档、生态系统、易用性和路线图。通过这些指标，结合对项目活跃度的具体评估和文档的细致审查，可以更好地判断一个开源项目是否适合采用。

原文链接：https://www.infoq.com/news/2023/12/upsides-downsides-open-source/