开源软件正成为企业基础设施的重要部分。开发开源软件成了赚钱的生意。现在，了解哪些公司在销售开源软件、哪些社区在开发开源软件成了CIO的一项重要工作。
　　
　　【IT168 专稿】开源软件的未来不是看Linus Torvalds（当今世界最著名的电脑程序员、黑客。Linux内核的发明人及该计划的合作者-编者注），而是看Marty Roesch。
　　
　　1998年，时任电信公司GTE-I工程师的 Roesch开发了检测计算机网络入侵的开源程序：Snort。如今，己是亿万富翁的他把销售Snort专有附件的Sourcefire公司以2.25亿美元的价格卖给了安全软件厂商Check Point。
　　
　　风险投资者称，Roesch的致富道路（利用网络免费分发开源软件、销售改进免费软件的专有软件）已成为软件业最流行的新型商业模式，这称之为混合源码模式。乍一看，该模式似乎使双方都受益：CIO得到了免费软件，开发软件的公司从下载者处得到了电子邮件地址，然后就可以向他们销售专有附件。风险投资者喜欢这种模式，因为这样可以把资金投入到能够销售的软件上，而不是投入到大量销售人员或者营销及品牌活动上。
　　
　　但这些新兴公司在利用开源模式盈利的过程中，可能会与培育它们的社区发生冲突。如果风险资本支持的公司同时开发开源软件和专有软件，就会导致捐献免费软件的人（开源社区）与期望从专有软件获得利益的公司相互摊牌。风险投资公司Highland Capital Partners的合伙人Jo Tango说：“这种利益冲突是必然存在的。哪方对软件添加的附件得到了认可？如何确定这些附件的重要性？附件用于开源产品还是用于盈利产品？”
　　
　　免费软件真的免费吗？
　　
　　弗雷斯特研究公司的高级分析师Michael Goulde说，该模式会引发这种情形：CIO使用看似免费的技术，结果发现将来需要付费才能使用该技术。Tango表示：“这种模式已经存在了好多年，它被称为试用版。”
　　
　　多年来，专有软件公司一直在赠送试用版本软件，但代码不开放，且试用版是支付全价后才能享用的正式版本的简化版。福利管理公司CitiStreet的CIO Barry Strasnick说：“这与那些所谓的开源公司对社区（开源）和企业（专有）版本的软件采取的做法没什么两样。”
　　
　　换句话说，免费软件其实成了一种诱饵。Owens Forest Products的CIO Lee Hughes也说：“我担心，要是某公司有免费的开源版本和功能增强的商用版本，免费版本迟早会遭殃。”
　　
　　如果开源软件仍只是开发人员偶尔使用的工具，Strasnick和Hughes就不会那么担心了。但开源软件已成为CIO软件采购策略中的一个重要部分――在基础架构软件方面更是如此。研究机构Gartner预测：到2010年，全球2000家IT组织将会发现开源方案对80%的基础架构软件投资而言是切实可行的。CIO们将无法把开源软件看成一次性产品，也绝不会不支持那些开源软件，因为它将很可能成为其基础架构软件的主要组件。
　　
　　但购买开源软件与购买传统软件是大不相同的过程。卖软件给你的公司其实是个社区，你在进行调查时查阅的是论坛上的帖子，而发布帖子的开发人员甚至不是正式员工。
　　
　　你可以不想看早饭是怎么做成的，但CIO们在享用开源软件这一“大餐”前有必要先去厨房了解一下它的制作过程。现在，除了混合源码外还出现了许多不同的商业模式，所以CIO们要认真关注这些公司及社区，预测他们在一两年后还会不会存在。这对CIO来说已经成了重要的商业调查，其重要性不亚于关注微软或者Oracle宣布的股价、收购策略及升级计划。
　　　　开源软件的金钱游戏
　　
　　八年前，Roesch独自开发了Snort的核心。此后，他估计自己为Snort讨论列表发了3000个帖子，并且精心构建了庞大的用户社区（下载量超过200万人次、固定用户达10万人）。Roesch原本可以利用自己的名声在软件公司找到一份优厚的工作，但他喜欢为Snort项目而工作。于是在2001年，他开始寻找风险投资者，看看他们能不能资助自己开办支持Snort的公司的计划。不过一圈下来，没有人感兴趣。Roesch说：“除非我们为Snort添加某些专有的知识内容，否则他们不会走近我们。”
　　
　　Roesch一发布在Snort上使用的一些专有管理工具及对用户友好的图形界面，就立刻获得风险资金，成立了Sourcefire公司。Snort的竞争对手是思科等财力雄厚的知名公司开发的软件。他说：“如果你想进入激烈竞争的软件领域，就必须借助风险投资。”
　　
　　Roesch声称，迄今为止，Snort社区的成员都没有因为他在经济上的成功而批评他。但社区的其他人希望确保Snort仍是开放的，他们在2003年成立了名为Bleeding Snort的组织，为Snort提供开源入侵检测规则和定义（类似防病毒程序的病毒定义文件）。此举确有先见之明。现在，Sourcefire先为付费客户提供更新版本，而免费用户则需要等五天；不像Bleeding Snort的更新版本，Sourcefire不再使用开源许可证发布；基于Snort开发专有软件的公司必须向Sourcefire支付费用，才可以得到更新版本。但Bleeding Snort往往比Sourcefire抢先发布新的规则。Alan Shimel是使用Snort引擎作为其专有软件一部分的安全软件公司StillSecure的首席策略官。Shimel在保持Snort引擎的开放性方面显然享有既得利益，但他说：“Roesch组建Sourcefire后，Snort社区的许多成员不高兴。我与Check Point内部的人有过交谈。他们说打算开放Snort解决方案的源码，但最终往往是事与愿违、以失败告终。”
　　
　　Check Point的网站声称它“致力于Snort开源社区，我们期望在将来促进Snort解决方案和Snort社区的发展。”
　　
　　但事实上，不是所有开源安全软件都仍是开放的。名为Nessus的软件包最初在1998年采用开源许可证发布，但最新版本（3.0）却采用商业许可证发布（早期版本仍作为开源产品提供）――不过它仍免费提供给用户。Nessus的开发者Renaud Deraison说，商用软件客户对他施加压力，要求不开放源码。“许多客户禁止使用开源软件，因为必须办理各种法律手续才可以获得使用开源软件的许可。他们需要的是优质软件，许可证不大重要。”虽然Nessus改弦易辙的做法在Slashdot.org等讨论网站上遭到了一些开源拥护者的批评，但Nessus的使用似乎并未受到影响――至少目前是这样。
　　
　　同时，天生对厂商的承诺有怀疑的CIO们对Check Point收购Snort表示了担忧。全国卫生研究所联邦信用合作社（该组织使用Snort和Sourcefire的附件）的技术副总裁Kirk Drake说：“这绝对是个问题，但它与我们以前看到的没什么不同。我们所使用的产品转换了东家，产品可能出现变化，价格也将随之变化。”　　防范特洛伊木马
　　
　　开源社区里没有人指责Roesch或者Check Point靠开源软件赚钱。毕竟，套用免费软件运动之父Richard Stallman的话来说：“free指的是自由，而不是免费。”但开源社区在一个方面达成了共识：谁也不喜欢企图利用开源软件作为特洛伊木马，诱使人们使用收费的专有软件的公司。
　　
　　咨询公司TCG Advisors的总经理Geoffrey Moore预言，在不远的将来，对开源社区的运作原理缺乏足够认识的公司将会考验混合源码模式的极限。Moore说：“我认为开源社区可能会对不按社区的愿望或者准则行事的公司产生强烈反弹。”
　　
　　这种行为带来的后果可能会严重影响CIO的基础设施建设。譬如说，开源项目可能会被社区丢弃，没有人支持。另外就是会出现“分歧”问题，即开源代码库被用来启动与原来项目不兼容的新项目。而最糟糕的局面是有人恶意攻击以前是开源的代码库。
　　
　　CIO们担心落得这样的田地――特别是在软件供应商倒闭了的情况下。Strasnick说：“要是我使用的是某个专有软件，在不得不使用其他软件来替代它的情况下，我肯定会担心基础设施被破坏。”但如果代码是开放的，就像Strasnick的JBoss中间件系统那样，万一用户与供应商之间的关系搞僵，用户完全可以带着这些代码转投另一家提供商。
　　
　　“如果JBoss决定不再支持我的软件。我还是有源代码，并且很容易能找到提供支持的其他厂商。”他说。　　开源模式缘何困难重重？
　　
　　CIO更喜欢Roesch无法向潜在投资者推销的开源商业模式：公司为单一开源代码库提供支持的服务模式。
　　
　　Strasnick说：“我喜欢服务模式，因为我的钱全部投在实施及支持上。”几家知名的开源公司如Red Hat（Linux）、JBoss（中间件）和MySQL（数据库）都是围绕这种模式创建的。但因为软件代码库向任何人开放，所以对竞争者而言进入门槛很低。
　　
　　这些公司必须极其精简高效，才能与同类的专有软件公司竞争。弗雷斯特研究公司的Goulde说：“CIO期望在开源软件方面少花钱，至少节省30%到50%的费用。”如果软件是免费的，这似乎很容易实现；但软件对提供支持的公司来说通常不是免费的；许多公司必须雇佣员工来领导、管理及开发开源产品。围绕Linux出现的提供免费服务的社区历时多年才发展起来，而它只是例外，并不是普遍规则。更糟的是，风险投资者不喜欢纯服务模式，因为服务利润势必低于专有软件的利润。Moore说：“风险投资界致力于获得数倍于投资的回报。他们投资的公司必须在某个阶段获得可持续的竞争优势。”这有助于解释为什么开源公司的发展不如专有软件公司来得快。
　　
　　另一个制约因素是在小众市场或者垂直行业建立基于开源的商业模式几乎不可能。只有一小部分下载者会向厂商购买支持服务（譬如Snort有10万固定用户，但只有800人订购了支持服务）。而除非使用软件的人有很多，否则开发人员和用户社区就无法发展。所以成功的重要开源产品具有某些共同点：广泛适用于多种类型的公司和行业；往往瞄准因每个人（包括竞争对手）都能够使用软件的源代码，所以许多公司认为无法提供竞争优势（譬如基础设施）的领域。
　　
　　即便开源软件符合所有这些条件，仍很难建立基于开源的商业模式，除非软件很复杂、并且是确保业务运行的重要部分。这种情况下，CIO、特别是人手较少的中小公司的CIO绝对离不开商业支持。Goulde声称，支持一直是CIO们最担心的问题。全国卫生研究所联邦信用合作社的Drake说：“如果我们准备采用一个软件包，就需要该厂商承担一部分风险。”
　　
　　而CIO们也总是倾向于选择老牌的大厂商而不是小规模的新兴公司提供支持。这就是为什么MySQL与惠普和戴尔达成了合作伙伴关系从而支持其开源数据库。MySQL的CEO Marten Mickos称，MySQL从服务收入当中提成，而CIO知道大厂商在支持产品后也可以放下心来。
　　
　　不过由于CIO们对小厂商不放心，而风险投资界又不愿意支持开源软件，CIO们将会在今后几年看到越来越多的人在推销混合源码模式，他们有必要对这些厂商进行认真筛查。
　　
　　Roesch认为，Snort社区将会生存下去。他说：“Check Point需要明白为什么保持源代码开放很重要，事实上它已认识到了这一点。”作为教育的一方面，开源开发模式在项目所有者和用户之间建立了在专有软件领域无法模仿的关系。 “许多购买Sourcefire软件的人在大学里就开始使用Snort，现在他们把该软件带到了公司。” 他说。