授权许可的风险

在 IT 系统中，我们需要应对和考虑的风险种类繁多，以至于很容易忽视那些非技术性的风险，尤其是那些我们往往不会直接加以处理的风险，比如授权许可。但授权许可承载着风险，也承载着成本，必须在我们所做的每一件 IT 工作中加以考虑。

在我撰写本文之际，授权许可的风险正是新闻中非常鲜活的话题。就在昨天，最大且最知名的云计算提供商之一遭遇了一次全球性的、长达三小时的中断，事后这次中断被归因于不慎让其某些授权许可过期。其基础设施栈中一个相对次要的组件，原本具备大规模的全球冗余，却因授权许可过期而在顷刻之间沦为毫无价值。存在授权许可依赖就意味着必须对其加以谨慎管理。有些授权许可比其他的更为危险。有些只会让你面临审计的风险，另一些则会造成中断或数据丢失。

授权许可可能是有意为之的风险，正如上面的例子那样，许可过期、设备随之停止工作。也可能并非有意，比如远程终止开关，或者设备与日期的混乱，又或是配置错误导致系统失效。但这是一种必须加以考虑、并且往往可能不得不加以缓解的风险。关键系统像定时炸弹般失效或以无法修复的方式瘫痪，其风险可能非常危险。与硬件或软件故障不同，在无法联系到供应商的情况下，往往没有任何办法去修复系统。而这家供应商可能处于离线状态，可能已不在支持期内，可能不再支持该产品，可能自身存在技术问题，甚至可能已经倒闭！

授权许可造成的中断往往会使客户陷入这样一种境地：供应商手握极大的筹码，可以在中断即将发生、或者更糟糕地已经发生之时，为续期的授权许可开出几乎任意的价格。迫于压力，客户很容易为授权许可支付数倍于正常价格的费用，以使系统重新上线、恢复客户的信心。

虽然某些授权许可代表着极端的风险，而另一些只是带来不便，但这种风险必须加以评估和理解。在我自己的经历中，我曾见过一家外国软件供应商仅仅为了迫使展开采购谈判，就撤销了关键软件的授权许可，给相关环境造成了巨大的损失，而对此几乎没有任何法律追索的余地——仅仅因为他们具备这样一种简单的能力：即便对于付费客户，也能通过授权许可远程使系统瘫痪。这种做法通常是非法的，无疑也是不道德的，但在这些情形下，客户往往几乎没有任何追索的途径。

当然，除了这类风险之外，许多授权许可问题可能是技术性的或意外性的。无非就是授权许可服务器离线、系统出故障、意外发生。那些被设计为在无法验证其许可时就变得无法访问的系统，仅凭这一点就承载了一整类其他类型系统所不具备的风险。这种风险比人们通常意识到的更为常见，而且往往是最难加以缓解的风险之一。

当然，除了这些类型的风险之外，授权许可还会带来管理开销，而一如既往地，开销是一种形式的风险，而风险反过来又是一种形式的成本。研究、采购、跟踪和维护许可——即便是那些不会潜在地拖垮你基础设施的许可——都要耗费时间，而时间就是金钱。并且授权许可始终存在这样的风险：你买得太少而面临审计风险（或者买错了），或者你买得太多而超支。在上述任何一种情况下，这都是必须计入任何解决方案整体 TCO 的成本，但它们却常常被忽视。

授权许可的时间与成本往往是某个问题中较为可观的成本之一，但由于它们被忽视，要理解它们如何融入各类解决方案的长期财务全貌就可能极其困难 – 尤其是因为它们往往会在之后以各种方式影响其他决策。

授权许可只是 IT 中的一个生活现实，但它一点也不酷、不有趣，因此常常被忽视，或者至少不被大力讨论。要明白授权许可如同 IT 的任何其他方面一样有需要管理的成本，并承载着风险——可能是非常巨大的风险——需要加以应对，这些不过是良好 IT 决策的组成部分。