促進政府機關采用開源軟件的六點建議

開放源代碼驅動了技術人員低成本合作創新。這也是政務機關優先使用開源軟件的初衷。實際上，美國總務管理局首席信息官 Sonny Hashmi 表示，落實開源軟件是今年的首要任務。

那么怎樣在保證軟件安全的情況下，提升政府機關的采用率呢？一下是實現這一目標的六點建議。

1. 標準化通用平臺

想象一下，如果你讓新兵在武器商店中隨便挑選他們想要的武器。你可以預料到在后續訓練，共同協作和后勤工作中的混亂場景。

構建數據中心的時候這條原則同樣適用。絕大多數開發者想要使用最新的工具，但是這和想要創建標準化，穩定安全平臺的運維團隊的宗旨是相違背的。

舉例來說：Software Collections 的使用。它提供了企業 Linux 工具倉庫，通過提供最新最穩定的數據庫，開發工具和編程語言取悅了開發者。也將這些工具打包，提供給運維團隊使用。可謂雙贏。

2. 通過使用系統管理工具來實現自動化

一旦你的平臺標準化了之后你就可以開始著手自動化了。系統管理工具可以把數據中心由一個小作坊改造成高產能的IT工廠。通過給標準化的系統增加集成 系統工具，一個通用的控制臺可以實時顯示系統狀態，提示是否需要打補丁。就像大型工廠控制管理系統，這些工具保證了數據工廠為用戶們正常運轉。

3. 使用 SCAP軟件來監控數據中心的安全性

現在你已經安裝了一些開源工具。你怎么保證他們的安全呢？幸運的是安全內容自動化協議（SCAP）可以講繁瑣的人類安全語言通過 XML 格式轉化為清晰的機器語言。在過去，SCAP 掃描工具只有特定的公司可以使用，如今，像 OpenSCAP 等開源工具都是通過國家標準和技術研究所認證可以免費使用的。通過集成 SCAP 類工具，IT 企業可以經常進行大規模的安全掃描來保證數據中心的安全和穩定。

4. 掌握數據庫和工具安全漏洞的動向，最小化漏洞窗口

當數據中心面臨漏洞，在安全窗口期，所有補丁必須馬上部署。最好的辦法就是選擇一款和 CVE（已經確認并公開的漏洞）同步的軟件。

漏洞識別后，CVE 會給它一個編號，讓廠商持續關注這個漏洞。許多開源項目不持續跟蹤 CVE，但是有些商業公司項目會這么做，所以需要作出明智的選擇。

追蹤CVE動態的同時，管理員可以使用 OpenSCAP 軟件來進行漏洞掃描。OpenSCAP 軟件可以使用開源漏洞描述語言（OVAL）來掃描已知漏洞。這一點也需要你明智選擇提供 OVAL 語言的廠商。

5. 使用政府認證的軟件

并不是說因為因為開源所以政府不會認證。就像商業軟件，開源軟件也可以符合政府例如 FIPS 140 編錄數據庫服務協定和通用標準。

如果你的團隊正在寫自己的編錄數據庫服務，請停一停。因為這樣會讓你費時費力。

直接使用編錄數據庫服務標準工具庫來寫你的應就不用擔心不符合該標準。編錄數據庫服務類庫讓開發者站在了巨人的肩膀上，它幫助開發人員完成了認證工作。

6. 找好相關廠商

問十個 Linux 管理員問一個問題可能得到12個答案。哪一個是正確的呢？通過搜索引擎找到問題答案的情況會更糟糕。所以有時候答案太多不一定是件好事。

和商業公司一起合作，你不僅可以從他們的專業知識受益，也可以受益于他們可以解決之前客戶遇到過的問題。對于開源項目也是一樣，當你想要給項目加個功能，你可以自己干。但是需要花費大量的人力物力。而通過開源項目廠商你可以輕松的實現你的意愿。

了解這些建議，介紹開源項目不會成一件困難的事情。開源軟件可以和商業軟件一樣服務與大家，而且好處更多。開支減少加上開源軟件與生俱來的協作性可以創造更豐富的創新，更好的提高各個機構的工作效率。

原文： https://opensource.com/government/14/11/6-tips-adopting-open-source

譯文： http://code.csdn.net/news/2822925 譯者： akacd