本文翻译自Is Open Source Really Free? – A Guide to Total Cost of Ownership of Open-Source Software
原文作者：Qt公司高级产品经理Peter Schneider
校审：Sam Wang

使用现成的软件能加速开发进程。然而开源软件（OSS）并不是免费使用的。使用开源软件往往伴随着承担义务和风险，这些都是成本。

本指南根据公开信息和我15年的经验总结了使用开源软件进行专业软件开发的成本。

我的背景：在我的职业生涯当中，我曾使用过多个基于开源原则的软件：在诺基亚网络公司从Solaris 操作系统切换到了JBoss操作系统（在红帽收购之前），用于运营商级刀片式服务器。我还在诺基亚推动并参与了maemo.org的落地，这是用于移动设备的开源操作系统。在负责某企业服务管理平台产品时，我也使用过许多开源库，诸如Angular、Docker、Log4J和Fullcalendar.io。

作者注：我坚信开源软件的价值。分析使用开源软件的成本并不是为了夸大或贬低开源软件的价值。我一直相信，在具有共同利益的情况下共享知识产权才是软件开发的未来。尽管如此，我一直愿意为使用开源付费：无论是JBoss的支持费、赞助Maemo社区、为服务管理平台支付多年的开源管理费，或是购置与开源产品（fullcalendar.io）相关的高级功能。我一直很重视开源软件，尤其是在商业产品开发领域。本指南的目的是阐明事实，助您做出更好的决策。

开源即免费的迷思

开源软件的购置成本接近于零。然而，开源软件伴随着管理成本和风险。下图说明了与基于开源软件的开发相关的总拥有成本的常见误解。

乍一看，在使用开源软件库时，软件开发的总成本仅包含人员和开发工具的直接开发成本。有商业支持的软件库会额外收取软件许可证费用和潜在的分发费用。从这个对比可以看出，决定选择什么方案似乎很简单。然而，所有的真相都隐藏在表面之下。

虽然在产品的生命周期内，使用商业软件几乎没有隐性成本，但使用开源库时必须考虑几项额外成本，包括：

1.    自行修复bug，而不是让商业维护者代劳（或是寄希望于社区中有人会义务快速解决）

2.    履行开源义务，比如记录使用过的开源组件以供审计，管理一处提供源代码下载的存储库，以及创建显示产品中所用开源库的用户界面。

3.    当引入新的开源元素或开源许可证条款发生变化时，实施法律审核和风险评估

4.    根据企业信息安全、企业开源政策和开源许可证条款，定期进行许可证合规性审核

本指南中不包括年度安全审计等其他直接成本、间接或一次性成本。安全审计，包括渗透测试，在这两种情况下都是必要的。由不遵守开源条款和条件导致的潜在一次性开支，诸如丧失产品分发权、专利诉讼或因公众声誉受损造成的品牌损失，因其影响过大而被排除在本指南之外。这些风险同样不容忽视。

本指南是从现实案例的角度出发阐释使用开源的总成本。总拥有成本的计算很容易随着输入参数变更。本指南的重点是解释成本构成，而非任何独立结果。

1）自行修复开源代码的成本

修复bug需要时间。每个软件不管是否开源，都会有bug。问题只是谁来修复bug。如果购买了有商业支持的软件库，就会有代码维护人员修复bug。如果使用开源软件，那么可以寄希望于开源社区人员会修复bug。但是在开源社区中并没有服务水平协议（SLA）。或者，用户可以自行修复开源软件中的bug，并要求开源维护者将bug修复合并入上游代码库，即代码所有者。这些后勤工作也是一种额外付出，且不能保证得到开源项目维护者的批准。一旦开源项目不接受外部的bug修复，那么在使用每个新版本时都必须手动为开源库打补丁。

为了计算修复bug的工作量，可以用在任意软件代码中预期的bug平均数量来预估修复一个bug的平均时间。网上的一些说法指出，一位软件开发者平均需要花费半天到一天的时间去修复一个商业软件中的bug。根据我管理一个由20名开发者组成的研发团队的经验来看，不得不说，我从没见过一个bug能在一天之内被修复。我同意，有时对于代码的实际修正时间不超过30分钟，但这仅仅是修复一个bug所需时间的一小部分。我会将开发者修复一个bug的平均时间范围设定在半天到两天之间。

|     开发者平均需要半天到两天时间修复一个软件bug。

成本计算的第二个参数是开源软件中的bug数量。假设开源软件在其生命周期中有和其他软件一样多的bug。在这种情况下，我们使用一个通用假设：根据卡内基梅隆大学CyLab可持续计算联盟的数据，商业软件每1000行代码通常有20到30个bug。让我们进一步假设，开源软件的bug数量比独立开发的软件更少（由于更多的参与者贡献并使用相同的软件），那么我们可能会在这个范围中取一个低值。

|    开源软件平均每1000行代码有20个bug。

这就留下了一个问题：一个应用程序有多少行代码，其中又有多少是开源的。各个应用程序中的代码行数有时相差会很大。iPhone应用程序平均有五万行代码，Über应用程序有大约42.8万行代码，而TikTok有1500万行代码。为简化这种复杂性，且因为我在Qt工作，我假设我们的模型应用程序使用了Qt Framework Essential开源库，该库支持双重许可模式(商业支持和开源)。Qt Framework Essentials软件库常用于高性能移动和桌面应用以及嵌入式设备。据SLOCCount统计，Qt 6.3版本的Qt Framework Essentials（qtbase与qtdeclarative存储库）包含了293,6523行代码（LOC）。

|    Qt Framework Essentials库包含约三百万行代码

最后，我们需要估算软件开发者一天的平均成本。我将使用基于glassdoor.com 的2022年美国软件开发者的平均工资，即555美元/天。加上间接员工成本的1.25倍（与欧盟资助项目相同比率），我们得到软件开发者的日平均成本是688美元/人。我将预期的bug数量分摊到10年内，这是软件重构或重做的典型时间。所以，如果有人愿意自行维护Qt Framework Essentials开源库，则意味着：

我们可以寄希望于开源社区修复大部分bug，但即使假设某人只需要修复所有这些bug的1%，这仍意味着每年20,640美元的成本。

2）履行开源义务

使用开源软件伴随着强制性和自愿性的义务。强制性责任的范围取决于代码包含的许可证条款和条件类型。尽管在诸如GPL、MIT和BSD等缩略词背后隐藏着众多开源许可证类型，开源软件用户的典型责任包括：

i.    您需要在产品中开发一个用户界面（UI），显示使用了哪些开源软件。如果您使用多个开源软件来创建软件，那么开发这个UI的工作将在每个开源组件之间分摊。

（图）诺基亚X20智能手机中列出所有开源组件及其许可证条款的用户界面

一般来说，使用的开源软件越多，将所有内容整合在一起所需的时间就越长。根据我参与过的两个待办事项优化会议来看，软件产品中该UI的初始开发需要一位开发者五到十个天时间。我估计每年内容维护需花费他/她1天时间。


ii.    您需要将源代码与产品一起或单独提供，这意味着您需要管理一个存储库，人们可以根据开源许可证，有时甚至是您自己的代码，在其中查看和下载开源代码。最好能创建一个工作流，使人们能够请求使用开源软件、创建并维护一个可以获得相关源代码的软件储藏库，并指派专人负责。

（图）诺基亚X20智能手机中的UI，显示如何获取开源代码的指南

开发相应的UI需要大约2到3人天。创建工作流又需花费2人天。使用Github等现有基础设施创建和维护软件存储库可能需要一天的时间。

iii.    您需要管理一个列出所有开源软件许可证以及其许可证条款的内部文档，以满足客户或潜在客户的潜在需求，尤其是在构建商业软件时。维护这个文档并不困难，但最初创建它需要1人天，以后每年再留出1人天用于管理该列表（可能与UI中发布的列表使用相同的原始格式）。

iv.    产品用户需要能够修改设备中的开源库。如果您正在构建一个硬件产品，那么这意味着您需要提供刷写设备软件的方法。出于服务的目的，您可能需要提供刷写界面，但为用户提供包括说明书在内的工具链可能颇费周章。我会分配5人天来创建和维护该工具链，但这个数字对于完成此项工作来说可能太少了，至少初始阶段是这样。

如果我们把强制性责任的成本相加，就会得到下列成本：

一次性开支：

年度开支：

 
开源社区的志愿活动包括贡献修复bug、分享对原始代码的功能改进、参与和赞助开源社区活动，以及扮演一个更积极的角色，比如开源组件的审批者或维护者。本指南不包含任何与志愿活动有关的费用，因为每个人都可以选择参加哪些活动。但请记住，开源社区是一种社会形式，只有当大多数受益人为项目做出贡献时，它才能发挥作用。

3）开源软件的法律审核

每次在产品中添加新的开源软件，大多数公司都会进行法律审核。法律评估主要用于验证当前的开源政策是否得到遵守。由于开源许可证类型有限，这样的法律审核应该不会花费太多时间。如有必要改变开源许可证政策，这种法律审核则将消耗大量的时间。大多数情况下由律师进行把关，而相关成本通常只发生一次。

在我看来，律师应该更积极地持续监控开源许可证的使用，包括风险管理、下游用户合规性、遵守行业专利和他人知识产权并保护自己的知识产权等方面。这其中的一些活动很难量化，而另一些则可能会产生危及整个企业的风险。

然而，大多数公司的现实情况不尽相同，法律审核也只会执行一次。一次法律审核，确认在线的许可证条款和条件，评估潜在的风险，可能不会超过一天时间，我预计每年需要进行一次这种审核。

*根据Glassdoor.com的数据，美国高级律师的平均年薪为：148,000美元。间接成本：207,000美元，日薪：1,038美元

4）开源软件合规管理

合规管理包括企业所有活动，需检查：

• 公司产品只包含符合内部知识产权和遵守开源政策的开源软件

• 公司遵守开源义务

根据Synopsys的2019年白皮书，85%的被审计代码库存在许可证合规问题。最好能通过明确开源政策和培训软件开发者来主动实现合规性。前文提到的法律审核也是实现合规性的一部分。此外，许多公司正在应用诸如自动化软件扫描和许可证管理工具来进行开发后合规管理。

自动软件扫描产品，如Snyk或Debricked，通常是按开发者定价的云解决方案。每个开发者的价格从每月25美元到139美元不等（至少公开定价如此）。我将假设5位软件开发者需要该产品许可证。这些产品有助于识别某产品是否包含可能不符合公司政策的开源软件，例如GPL3许可证的代码。由于现在的应用程序包含数百万行代码，自动扫描也许是避免合规问题的有效实践。

合规审查工具的成本应根据产品中不同的开源软件组件进行部分分配。

使用开源软件的总拥有成本

开源软件的总拥有成本（TCO）可以看成是购买汽车。汽车有特定的购置成本。然而，除了向汽车经销商支付的价格以外，您还需要考虑所有额外的开支，如登记、保险和维护费用。尽管开源软件的购置成本为零，但在产品的生命周期当中，大家还需要了解其他成本。

本指南将以五年为时间框架计算TCO，这可能是商业软件生命周期的最小值。我将TCO分成初始成本和年度经常性开支。如前所述，为了简单起见我将排除不太可能发生的或自愿的开支，如诉讼费用或社区捐款等。

结论

总体而言，13.5万美元的软件开发成本并不算多。开源成本的替代方案是带商业支持的软件的成本，通常是SaaS订阅模式。

我在推荐选择开源或商业软件时一直很谨慎。决策总是取决于诸多因素。总体拥有成本就是其中之一。就我个人而言，由于我在Qt公司任职，自然就有所偏颇，我的建议是双管齐下：使用基于开源的有商业支持的软件，并为开源项目做贡献。为什么？虽然开源的购置成本近乎为零，这极具吸引力，而且许多相关成本可以在几个开源组件之间分摊，但当遇到重要客户反馈一个bug而您难以自行修复时，您就会觉得有人提供技术支持也不错。开源和回馈开源的好处在于软件质量更好。因此，我的建议是积极参与社区活动，这最终会帮助到每个人。

您觉得这个指南有用吗？不妨看一看Qt的其他软件开发指南，例如由Qt公司委托Forrester编写的Smarter Products Need Smarter Development报告。