如果您是在企业 IT 部门工作的越来越多的 Linux 倡导者之一，那么您很可能正在参与一场斗争。您这边，Linux/开源这边，是一场草根运动，通常由自下而上驱动，而不是自上而下。与此同时，IT 管理仍然是一种自上而下的文化，它更喜欢以强制战略形式出现的“解决方案”，而不是临时的解决问题。

为了理解我们面临的挑战，访问自上而下的一方会有所帮助。这就是我在 2004 年 6 月 27 日至 30 日在波士顿举行的信息系统审计与控制协会 ISACA 第 32 届年会和会员年度大会上所做的事情。

在其 32 年的历史中，ISACA 一直专注于治理、控制、问责制、战略、规划、风险降低、业务连续性等等。以下是一些教育课程的示例

不足为奇的是，开源不在议程上——直到今年，我被邀请来教授一门关于“开源的现实”的课程。

在我的演讲前后，我参加了其他各种会议。在每种情况下，除了演讲者用来进行 Microsoft PowerPoint 演示的笔记本电脑外，我都是房间里唯一携带笔记本电脑的人。当我拿出笔记本电脑记笔记或准备自己的演讲时，其他人看着我就像我带着一件上了膛的武器。也许我正要进行无线黑客攻击？

当然，那会很酷，但对于这群人来说却并非如此。对他们来说，开源带有未知的意味。“开放”的概念听起来像是即将发生的安全漏洞——最好通过一开始就避免它来“管理”风险。

因此，发表演讲是一项有趣的挑战。我之前曾与新手交谈过，但从未与也恰好在 IT 治理部门工作的新手交谈过。我感觉自己像是在向前苏联政治局解释自由企业。文化距离接近于绝对。

我以我已经知道大家都在思考的两个问题开场

我回答说“我们不再在堪萨斯州了”，并继续解释了我们理所当然的许多文明恩典，从电子邮件和 Web 服务器到亚马逊和 eBay，都归功于开源开发人员、价值观和影响——所有这些都像下一次风暴或地震一样狂野且不可控制。

话虽如此，我接着解释说，开源也关于足智多谋的个人和团体做需要做的事情，开源是当需求方自我供给时会发生什么的一个例子，并且可以将其理解为信息系统建设和维护业务的 DIY 部门。

我还说，当您从商业堡垒的城墙上俯视它时，这一切都不是很明显，商业堡垒要求它在管理层放下护城河上的桥梁之前遵守已批准的程序。

我展示了 Web 上各种开源对话的大小，这些对话的大小与关于 Microsoft 和其他熟悉名称的对话的大小相等甚至超过。我展示了与会者公司可能已经在运行多少 Linux 和开源代码，无论他们是否知道。

而且，我谈到了共同的利益——例如，软件的使用价值（而不是销售价值），以及低成本、可用性、质量、完整性、效率、有效性、连续性、强大的基础设施、杠杆化的实物资产、问题解决能力以及从其他演讲者的幻灯片中复制的其他优点。

在问答环节中，我们谈到了 SCO FUD 和其他可预测的问题。一位与会者要求解释为什么“他们”（指开源倡导者）“如此粗鲁”。后来在波士顿港的游船之旅中，她走到我面前，在我面前挥舞着香烟，并坚持认为开源人士“有很好的理由，但他们必须改变他们的行为”。但她无法给我一个她所指的例子的。

在我的演讲之后，几位与会者告诉我，他们实际上是他们组织内部的开源用户和倡导者（其中一位是孟山都），但即使从长远来看前景良好，大型保守的 IT 组织中开源的前景在短期内也很差。

主要问题是可审计性。一位与会者告诉我，开源的东西确实是可审计的（例如，源代码本身可以被审计），但这仍然远非显而易见。

然而，很明显，对于大多数与会者来说，开源根本不在他们的考虑范围之内。“我们没有任何开源，我们也不打算拥有任何开源”，是基本的反应。另一个迹象：房间只坐满了一半。我之后的会议是关于“无线黑客攻击曝光”。那里座无虚席。

在 2004 年 7 月 9 日的 SuitWatch 新闻通讯中，我写到了我在会议上目睹的文化鸿沟，以及它与 Supernova 的近乎绝对的对比，Supernova 是我在 ISACA 前几天发表演讲的会议。Supernova 的主题是去中心化。如果有什么不同的话，ISACA 的主题是完全相反的。

Glen Campbell，一位 IT 顾问和两种文化的资深人士，立即发来一封电子邮件。“大多数财富 2000 强 IT 商店中最大的驱动因素是风险缓解”，他说。“同样，DIY-IT 的整个概念对于大多数 IT 商店来说是完全过时的。他们在 60 年代、70 年代和 80 年代做了 DIY-IT，并发现，外包他们的内部系统（给 SAP、Siebel、EDS 或 IBM）不仅成本更低，而且——哒哒！——降低了他们的风险，因为如果出现问题，他们可以起诉另一家大公司。”

需要“六个九”可靠性的客户多年来一直从这些相同的提供商或从 HP、Sun 或 Novell 获得它。“这就是为什么 Sun 可以对运行 Apache 的服务器收取 10-50 倍的费用（顺便说一句，Apache 是大型公司已经开始信任的极少数开源软件包之一）”，Campbell 补充道。

监管环境也加剧了企业 IT 的偏执。

去年，我参加了在纽约举行的哈佛商业会议，德勤和其他公司的许多昂贵的顾问在会上描述了最近通过的萨班斯-奥克斯利法案要求的复杂的新报告和会计程序，该法案在安然事件后，强制执行更高程度的企业和个人问责制。无论它打算做什么好事，萨班斯-奥克斯利法案显然也承诺（借用 Scott McNealy 的不朽名言）“用顾问来遮蔽天空”并扩大公司官僚机构——例如，IT 治理。在 ISACA，萨班斯-奥克斯利法案显然是会员的福音。突然，他们发现自己正站在公司高层因新法律而被强制转向寻求帮助的方向。

因此，问题变成了，开源在萨班斯-奥克斯利法案的背景下处于什么位置？这是 Glen Campbell 再次发言

而且他的还不是唯一坏消息。另一份 SuitWatch 回复包括以下内容

然而，Linux 在企业中继续增长。整个 LAMP 套件也是如此。我正在伦敦的身份管理峰会上撰写这篇专栏文章，我刚刚与英国东北海岸桑德兰市的 IT 负责人 Conn Crawford 以及 Open Systems Management, Ltd. 的业务发展经理 Nick Somper 进行了交谈。他们都有关于 Linux 的故事要讲。Crawford 说他的城市刚刚购买了一台红帽服务器，用于为该市的 PKI 系统颁发证书。Somper 的公司为包括 UNIX、Linux 和 Windows 系统在内的分布式和混合环境提供“自适应系统管理”。他认为 Linux 在 IT 领域是一个庞大且不断增长的存在。

Crawford 和 Somper 都生活在 Linux 已经超越草根阶段的市场空间中。它是该空间 IT 生态系统的一部分。现在的挑战是让 Linux 对于那些以规避风险为生活方式的大型 IT 商店来说，在感知和现实中都不仅仅是安全的。但在我们这样做之前，我们需要了解所涉及的差异。

Ofoto 的首席技术官 Adam Hertz 拥有一家商店，DIY-IT 和开源是生活方式。公司的整个业务都在几乎完全在内部开发的系统上运行，这些系统基于 Linux 和其他开源组件。它的增长速度也极快，每天增加高达 2 TB 的存储空间。如果没有开源、Linux 和 DIY-IT，他的整个业务是不可能实现的。从这个角度来看，以下是他对大多数 ISACA 会员生活的相对保守的环境的看法

如果我们想将 Linux 向上销售到规避风险的企业，那么遵循德累斯顿-克莱因沃特-瓦瑟斯坦（一家价值数十亿美元以上的投资银行）的首席信息官 J.P. Rangaswami 的指导和榜样将有所帮助。当我请 J.P. 帮助理解这里的挑战时，他说

去年 12 月，Risk Waters 将 J.P. 评为年度最佳 CIO。

本文资源： /article/7691。