問渠那得清如許,為有源頭活水來����。我們已經(jīng)享受了四十年開源軟件的紅利,基礎(chǔ)開始����、從底層開始創(chuàng)建�、經(jīng)營開源項(xiàng)目對(duì)我們的創(chuàng)新能力提出了挑戰(zhàn)���,這同時(shí)也是一個(gè)機(jī)遇���,讓我們能夠有機(jī)會(huì)建立自己的規(guī)則,樹立自己的話語權(quán)�����,從而把基礎(chǔ)和核心掌握在自己手里��。
作者 | 王傲寒 黃麗君 北京市環(huán)球律師事務(wù)所上海分所
編輯 | 布魯斯
開源軟件發(fā)展到現(xiàn)在已經(jīng)有四十多年的歷史�,如今已經(jīng)滲透到各行各業(yè),涵蓋了科技���、生活的方方面面�。根據(jù)Github年度報(bào)告���,全球90%的公司在使用開源軟件����,全球財(cái)富前100企業(yè)中超過90%在使用Github開源項(xiàng)目���。在新興領(lǐng)域�����,開源更是緊跟技術(shù)趨勢(shì)�����,在開發(fā)框架領(lǐng)域的開源項(xiàng)目占比25%��,人工智能領(lǐng)域的開源項(xiàng)目占比15%��,文檔類開源項(xiàng)目占比15%�,云原生和編程語言領(lǐng)域的開源項(xiàng)目占比也達(dá)到10%��,全球開源項(xiàng)目已基本覆蓋當(dāng)前主流的技術(shù)領(lǐng)域[i]�����。對(duì)中國而言��,參與開源的方式主要還是使用和貢獻(xiàn)��,根據(jù)CSDN發(fā)布的《2022中國開源貢獻(xiàn)度報(bào)告》��,中國開源貢獻(xiàn)者數(shù)量占全球的9.5%,全球公司開源貢獻(xiàn)榜前50中的五分之一是中國貢獻(xiàn)的�����。
對(duì)于大多數(shù)使用者來說�����,開源軟件的“自由共享��、開放協(xié)作”精神已經(jīng)深入骨髓���,但是很多人并未意識(shí)到開源軟件的自由和開放并不意味著免費(fèi)和隨意使用���。雖然在開源軟件的前身――自由軟件確實(shí)秉持的是所有軟件都應(yīng)對(duì)所有人公開的共享哲學(xué),但隨著自由軟件逐漸發(fā)展成為開源軟件��,再進(jìn)一步發(fā)展到包括開源商業(yè)運(yùn)作���、開源社區(qū)運(yùn)營和開源風(fēng)險(xiǎn)治理一系列鏈條的開源生態(tài)���,開源軟件的內(nèi)涵和外延均發(fā)生了很大的變化。開源生態(tài)是以開源項(xiàng)目為中心構(gòu)建,包括貢獻(xiàn)者組成的開源社區(qū)����、各行業(yè)開源者以及各行業(yè)使用者這五類產(chǎn)業(yè)鏈要素。開源商業(yè)模式是一種創(chuàng)新模式�,其采用開放源代碼、自由分發(fā)等形式減少了營銷和銷售的成本����;通過放棄部分信息不對(duì)稱產(chǎn)生的潛在利潤,換取一定的傳播和場(chǎng)景觸及率��,以已達(dá)到引領(lǐng)生態(tài)流量和技術(shù)路徑的目標(biāo)i�����?���?梢哉f�����,開源商業(yè)化根植于開源生態(tài)����,開源生態(tài)為開源商業(yè)化提供了土壤和環(huán)境���。
對(duì)開源生態(tài)的運(yùn)用和對(duì)開源的商業(yè)化都離不開開源許可協(xié)議(以下或稱“許可證”),開源協(xié)議是對(duì)開源軟件所涉及的著作權(quán)�、專利權(quán)、商標(biāo)權(quán)等多種知識(shí)產(chǎn)權(quán)權(quán)屬的總括性規(guī)范�,是開源生態(tài)的法律基礎(chǔ),也是開源產(chǎn)業(yè)可持續(xù)發(fā)展的制度性保障�����。開源軟件實(shí)際上受不同類別的知識(shí)產(chǎn)權(quán)的全方位保護(hù)――開源軟件的代碼本身作為計(jì)算機(jī)程序作品���,享有著作權(quán)���,開源軟件可以申請(qǐng)涉及計(jì)算機(jī)程序架構(gòu)的發(fā)明,可享有專利權(quán)�����,開源軟件名稱可以注冊(cè)商標(biāo)�����,享有商標(biāo)專用權(quán),有一定影響的軟件名稱還可受反不正當(dāng)競(jìng)爭(zhēng)法保護(hù)�����?�;陂_源協(xié)議的合同屬性��,其通過約定的形式將自己的部分或全部知識(shí)產(chǎn)權(quán)的相關(guān)權(quán)利讓渡給了使用者��,從而使任何人都擁有對(duì)該作品及其衍生品的使用�、修改和重新發(fā)布的自由,前提是使用者必須遵守相應(yīng)的許可協(xié)議���。如果使用者違反了開源許可協(xié)議����,那么對(duì)該作品的使用��、修改和發(fā)布就有侵權(quán)源代碼著作權(quán)的風(fēng)險(xiǎn)��,同時(shí)也可能引發(fā)商標(biāo)侵權(quán)風(fēng)險(xiǎn)�。除了法律風(fēng)險(xiǎn)�,開源項(xiàng)目的商業(yè)運(yùn)用除受到開源協(xié)議的制約,還可能因開源軟件本身的開放屬性而產(chǎn)生一定風(fēng)險(xiǎn)。
以下通過案例探討開源軟件使用中的法律風(fēng)險(xiǎn)和其他風(fēng)險(xiǎn)��。
Part 01
一����、法律風(fēng)險(xiǎn)
1、因不遵守開源協(xié)議導(dǎo)致的侵權(quán)風(fēng)險(xiǎn)
國內(nèi)外的司法案例基本均確認(rèn)了開源協(xié)議的合同性質(zhì)����,這為授權(quán)人在享有著作權(quán)的情況下通過許可協(xié)議的形式將其權(quán)利進(jìn)行有條件的許可或讓渡提供了法理依據(jù)。對(duì)于開源軟件的使用者而言�����,不遵守開源協(xié)議而導(dǎo)致侵犯開源軟件的著作權(quán)�����,是開源軟件使用中最為突出的風(fēng)險(xiǎn)�。
在“羅盒”案中,法院確定了開源協(xié)議的合同屬性���,認(rèn)為該協(xié)議授予用戶復(fù)制��、修改���、再發(fā)布等權(quán)利��,首先授權(quán)人采用開源許可證發(fā)布源代碼��,將自己的大部分著作權(quán)授予不特定用戶�����,完全是出于自愿���,這屬于類似合同邀約的意思表示;用戶通過在該許可證下復(fù)制�、修改或再發(fā)布源代碼的行為,對(duì)許可證作出承諾�,也是出于自愿,類似于同意邀約的意思表示�����。在雙方用行為做出完全自愿的表示之下�,這個(gè)合同就成立了���,同時(shí)許可證發(fā)生法律效力����。基于許可證對(duì)雙方有約束力的情況下���,再看該許可證是如何具體約定雙方的權(quán)利義務(wù)�����。在該案中�����,涉案軟件采用的是GPL3.0許可協(xié)議�,其具有“強(qiáng)傳染性”特征��,對(duì)在邏輯上與開源代碼有關(guān)聯(lián)性且整體發(fā)布的派生作品�����,只要其中有一部分是采用GPL3.0協(xié)議發(fā)布����,那么整個(gè)派生作品都必須受到GPL3.0協(xié)議的約束;同時(shí)根據(jù)該協(xié)議第8條“終止授權(quán)”的觸發(fā)條件�����,規(guī)定許可用戶必須承擔(dān)相應(yīng)的義務(wù)才能行使復(fù)制、修改或傳播的權(quán)利�����,用戶的義務(wù)即GPL3.0協(xié)議的使用條件�����,包括聲明許可協(xié)議����、開放源代碼等。若用戶違反上述使用條件��,那么其通過GPL3.0協(xié)議獲得的授權(quán)將會(huì)自動(dòng)終止��。在該案中���,被訴侵權(quán)方在分發(fā)的過程中沒有按照GPL3.0的規(guī)定開放源代碼���,因此違反了許可證的規(guī)定,導(dǎo)致因許可證而獲得的權(quán)利被終止����,由于失去了權(quán)利來源,因此被訴侵權(quán)方對(duì)涉案源代碼進(jìn)行的復(fù)制����、修改和分發(fā)構(gòu)成侵犯著作權(quán)。
在軟件自由保護(hù)協(xié)會(huì)(SFC)等訴西屋電子的案件中�����,原告主張被告未經(jīng)許可在其HDTV產(chǎn)品中使用了Linux開源項(xiàng)目BusyBox的軟件(采用GPL2.0協(xié)議)����。同樣的,法院在確認(rèn)許可協(xié)議合同屬性的基礎(chǔ)上認(rèn)為被訴侵權(quán)方違反了許可協(xié)議����,因此其持續(xù)的復(fù)制、修改或分發(fā)行為侵犯了原告的著作權(quán)�,據(jù)此判決對(duì)被告的HDTV產(chǎn)品下發(fā)永久禁令并實(shí)施3倍賠償,同時(shí)銷毀侵權(quán)產(chǎn)品��。
可以看出�����,雖然開源許可協(xié)議在形式上較為松散、并沒有雙方簽字確認(rèn)的形式要件��,但屬于以實(shí)際履行為生效條件的具有合同屬性的約定����,開源使用者需特別注意所使用的開源軟件的協(xié)議中對(duì)“傳染性”、“商用化”����、“再分發(fā)”等關(guān)鍵權(quán)利義務(wù)的要求,以避免法律風(fēng)險(xiǎn)���。
2�����、開源軟件本身侵犯第三方權(quán)利的風(fēng)險(xiǎn)
由于開源軟件限定的是對(duì)源代碼本身的修改�����、使用和傳播���,因此許可協(xié)議規(guī)制的對(duì)象仍主要限于對(duì)開源項(xiàng)目本身源代碼的運(yùn)用,在開發(fā)、使用開源代碼的過程中�,仍存在對(duì)第三方擁有權(quán)利的專利權(quán)或著作權(quán)構(gòu)成侵權(quán)的風(fēng)險(xiǎn)。
Google(谷歌公司)2015年收購Android(安卓)公司后���,試圖通過安卓為智能手機(jī)等移動(dòng)設(shè)備開發(fā)軟件平臺(tái)��。經(jīng)與甲骨文公司協(xié)商許可使用Java SE未果,谷歌公司自行開發(fā)安卓系統(tǒng)�����,在開發(fā)中使用了11,500行Java的接口API中的聲明代碼�����,使程序員能夠繼續(xù)通過Java的語言習(xí)慣在其開發(fā)的軟件平臺(tái)中調(diào)用預(yù)先編寫的程序���,而且對(duì)安卓平臺(tái)開源���,使軟件開發(fā)人員免費(fèi)使用安卓平臺(tái)上的工具。甲骨文向法院提起訴訟��,主張谷歌侵犯了甲骨文擁有的Java類庫的版權(quán)及兩項(xiàng)專利權(quán)�����,其中認(rèn)為谷歌對(duì)37個(gè)程序包中的11,500行聲明代碼和API的非字面組織結(jié)構(gòu)(SSO)構(gòu)成未經(jīng)許可的復(fù)制。這個(gè)案件是典型的開源項(xiàng)目開發(fā)者遭遇侵犯他人知識(shí)產(chǎn)權(quán)的案件����。
對(duì)于甲骨文對(duì)谷歌專利侵權(quán)的主張,地區(qū)法院陪審團(tuán)認(rèn)定不構(gòu)成專利侵權(quán)����,且甲骨文并未提起上訴。在版權(quán)侵權(quán)問題上����,雙方經(jīng)歷了長(zhǎng)達(dá)10年的訴訟拉扯,幾經(jīng)反轉(zhuǎn)���,于2021年上半年結(jié)案�。最終美國最高法院做出裁決�����,認(rèn)為甲骨文對(duì)API代碼構(gòu)成合理使用�,裁決從作品性質(zhì)、使用目的�����、數(shù)量及影響和市場(chǎng)影響四個(gè)方面進(jìn)行了論述,主要包括以下要點(diǎn):主要認(rèn)為谷歌復(fù)制的是API中的聲明代碼而非執(zhí)行代碼�����,該些代碼不屬于版權(quán)保護(hù)的核心對(duì)象����,谷歌復(fù)制的Java API僅占總代碼的0.4%�,且目的并非基于代碼體現(xiàn)出的創(chuàng)造性價(jià)值,而是為軟件開發(fā)人員提供熟悉的語言條件�, 促進(jìn)軟件的交互性,這一點(diǎn)實(shí)際上是有利于甲骨文的���,而且如果任憑甲骨文壟斷API指令���,將不利于維護(hù)公共利益。
這個(gè)案件對(duì)整個(gè)安卓開源生態(tài)的影響都是深遠(yuǎn)的�����,從風(fēng)險(xiǎn)防控角度看�����,對(duì)國內(nèi)的軟件企業(yè)也有重要的借鑒意義――在開發(fā)軟件過程中,即便自己的項(xiàng)目是開源的��,也應(yīng)樹立知識(shí)產(chǎn)權(quán)的保護(hù)意識(shí)和風(fēng)險(xiǎn)防控意識(shí)�。
3、未合規(guī)使用開源軟件的其他潛在法律風(fēng)險(xiǎn)
除了前述知識(shí)產(chǎn)權(quán)風(fēng)險(xiǎn)����,未合規(guī)使用開源軟件還可能導(dǎo)致如商標(biāo)侵權(quán)、不正當(dāng)競(jìng)爭(zhēng)等其他法律風(fēng)險(xiǎn)��。比如未經(jīng)許可使用開源軟件���、開源項(xiàng)目或開源社區(qū)商標(biāo)���,可能導(dǎo)致侵犯商標(biāo)權(quán)。
在很多情況下�����,開源軟件的使用者未仔細(xì)甄別開許可協(xié)議�����,還往往導(dǎo)致其開發(fā)的商用軟件中混入強(qiáng)傳染性開源代碼,而導(dǎo)致需背負(fù)開源義務(wù)���,進(jìn)而使商用軟件中的某些技術(shù)秘密信息喪失秘密屬性�,更嚴(yán)重的是導(dǎo)致核心代碼被開源而引發(fā)的商業(yè)風(fēng)險(xiǎn)�。
Part 02
二、商業(yè)風(fēng)險(xiǎn)
2020到2021年是開源軟件的投資黃金年���,Confluent��、GitLab�����、HashiCorp等一眾開源企業(yè)先后上市,基于開源軟件的初創(chuàng)公司也紛紛在早期就獲得巨額融資�。從資本的態(tài)度可以看出,開源蘊(yùn)含著極大的商機(jī)�����。開源商業(yè)模式是一種創(chuàng)新模式�����,其采用開放源代碼、自由分發(fā)等形式減少了營銷和銷售的成本�����;通過放棄部分信息不對(duì)稱產(chǎn)生的潛在利潤���,換取一定的傳播和場(chǎng)景觸及率����,以達(dá)到引領(lǐng)生態(tài)流量和技術(shù)路徑的目標(biāo)��。i在開源生態(tài)的商業(yè)化過程中�����,開源協(xié)議是整個(gè)生態(tài)系統(tǒng)的法律基礎(chǔ)�,也是開源產(chǎn)業(yè)可持續(xù)發(fā)展的制度性保障,從近十年來開源者對(duì)于商業(yè)化的態(tài)度和開源協(xié)議的逐漸變化��,能夠清晰看出開源軟件平臺(tái)如何利用規(guī)則達(dá)到自身商業(yè)利益最大化同時(shí)打壓想“分一杯羹”的開源使用者��。
對(duì)我國大部分參與開源的公司來說��,大多數(shù)還停留在提供技術(shù)層面的貢獻(xiàn)和對(duì)開源軟件的使用上�����,只要還沒有掌握規(guī)則制定權(quán)和話語權(quán),就會(huì)存在一系列的商業(yè)風(fēng)險(xiǎn)����。
1、利用開源軟件獲取商業(yè)利益的空間在不斷收緊
長(zhǎng)期以來�,SaaS服務(wù)供應(yīng)商根據(jù)GPLv2第2條b)款的約定,在不公開任何源代碼的情況下利用開源軟件賺錢(二����、你可以修改你的程式副本的任意部分,以構(gòu)成本程式的派生作品�����,并在滿足上述條款及以下三點(diǎn)要求的前提下復(fù)制和分發(fā)該修改版:……b)你必須使你分發(fā)或發(fā)布的作品��,部分或全部包含本程式或其派生作品�,允許第三方在本協(xié)議約束下使用����,并不得就授權(quán)收費(fèi)。)因?yàn)楦鶕?jù)上述約定����,只要不發(fā)布軟件��,就不需要公開源代碼��,這意味著任何人都可以將程序或者程序的修改作為服務(wù)向第三方提供���。在SaaS場(chǎng)景下,用戶通過云端訪問軟件��,軟件商不必將軟件源代碼提供給用戶�,也就沒有GPL協(xié)議中“分發(fā)”的動(dòng)作。因此��,GPL協(xié)議被認(rèn)為是擁有“SaaS Loophole”(SaaS服務(wù)漏洞)��。
盡管在很長(zhǎng)的一段時(shí)間內(nèi)��,并沒有開源許可證針對(duì)性的對(duì)SaaS進(jìn)行約束����,云服務(wù)商的這種“白嫖”行為自然不會(huì)被坐視不理。在此情況下���,AGPL應(yīng)運(yùn)而生��,其針對(duì)分發(fā)模式對(duì)傳統(tǒng)的許可證進(jìn)行了修補(bǔ)���,特別針對(duì)SaaS服務(wù)進(jìn)行了限制――AGPL v3的第13條中約定:
13. Notwithstanding any other provision of this License, if you modify the Program, your modified version must prominently offer all users interacting with it remotely through a computer network (if your version supports such interaction) an opportunity to receive the Corresponding Source of your version by providing access to the Corresponding Source from a network server at no charge, through some standard or customary means of facilitating copying of software. This Corresponding Source shall include the Corresponding Source for any work covered by version 3 of the GNU General Public License that is incorporated pursuant to the following paragraph.
?��。ūM管本許可證有任何其他規(guī)定,如果您修改本程序�����,您的修改版本必須在顯著位置向所有通過計(jì)算機(jī)網(wǎng)絡(luò)遠(yuǎn)程與本程序互動(dòng)的用戶(如果您的版本支持這種互動(dòng))提供機(jī)會(huì)���,通過一些標(biāo)準(zhǔn)或習(xí)慣的促進(jìn)軟件復(fù)制的方式���,從網(wǎng)絡(luò)服務(wù)器上免費(fèi)提供相應(yīng)的源碼。該相應(yīng)源碼應(yīng)包括根據(jù)下段規(guī)定納入GNU通用公共許可證第3版的任何作品的相應(yīng)源碼�����。)
根據(jù)AGPL v3的以上約定�,只要“修改”程序,就會(huì)觸發(fā)AGPL許可證的傳染性���,進(jìn)而需要開源包括修改程序在內(nèi)的所有程序的源代碼;而且只要修改是通過“計(jì)算機(jī)網(wǎng)絡(luò)遠(yuǎn)程互動(dòng)”(包括網(wǎng)絡(luò)和郵件服務(wù)器����、基于互動(dòng)的網(wǎng)絡(luò)應(yīng)用程序和在線播放的游戲服務(wù)器等)進(jìn)行互動(dòng)的場(chǎng)景也被囊括在內(nèi)?�?梢娺@個(gè)約定是針對(duì)SaaS應(yīng)用場(chǎng)景的精準(zhǔn)投放�。盡管“修改”是觸發(fā)傳染的條件,但是這一約定確實(shí)讓大多數(shù)公司對(duì)AGPL的使用極其小心��,因?yàn)橐徊涣粢饩蜁?huì)導(dǎo)致代碼面臨被開源的風(fēng)險(xiǎn)���。結(jié)果是一部分使用者為避免不必要的麻煩�����,舍棄開源軟件轉(zhuǎn)向選擇獲得商業(yè)授權(quán)���, 這就間接提升了商業(yè)軟件的競(jìng)爭(zhēng)力。
2�、因許可證變更、閉源導(dǎo)致的風(fēng)險(xiǎn)
由于規(guī)則掌握在開源軟件擁有者手中,當(dāng)擁有者意識(shí)到自己的商業(yè)利益被開源使用者蠶食時(shí)��,必然會(huì)采取措施制止這種利益瓜分���。
Mongo DB在2018年宣布將其開源軟件的許可證由AGPLv3變更為其自己創(chuàng)建的SSPL許可證(服務(wù)器端公共許可)���,其與AGPLv3最大的區(qū)別在于,其舍棄了“修改”作為傳染性觸發(fā)條件的約定�����,而是明確約定將程序或程序的修改版本的功能作為服務(wù)向第三方提供時(shí)���,需要提供“服務(wù)源代碼”�����,并且明確了需要開源的“服務(wù)源代碼”包括但不限于“管理軟件����、用戶界面�����、應(yīng)用程序接口、自動(dòng)化軟件�、監(jiān)控軟件、備份軟件�、存儲(chǔ)軟件和托管軟件�,所有這些都是為了讓用戶可以使用您提供的服務(wù)源代碼運(yùn)行服務(wù)實(shí)例”。這意味著��,云服務(wù)商在構(gòu)建SaaS服務(wù)時(shí)����,如果使用的是SSPL許可證開源軟件,那么其程序及與程序配套的所有相關(guān)軟件的程序(包括前臺(tái)和后臺(tái))都必須開源����。MongoDB的這一創(chuàng)設(shè)確實(shí)是對(duì)用SaaS賺錢的云服務(wù)商的精準(zhǔn)定位――對(duì)普通用戶而言,仍然可以繼續(xù)使用����、修改、分發(fā)����,而且能夠?yàn)槠渖虡I(yè)版提供支持,如果是云服務(wù)商����,要么就繳械(公開源碼)���,要么就給錢(選擇其商業(yè)版本)。結(jié)果就是云服務(wù)商的競(jìng)爭(zhēng)力被削弱����,而開源軟件商業(yè)版本的競(jìng)爭(zhēng)力進(jìn)一步提升,MongoDB因此獲利�。雖然MongoDB此舉在當(dāng)時(shí)受到很大的輿論壓力,并遭到紅帽公司棄用�����,但絲毫未影響其商業(yè)價(jià)值�����。
相似的���,2018年Redis將其開發(fā)的Redis模塊的許可協(xié)議由AGPL改變?yōu)锳pache v2.0和Commons Clause相結(jié)合的許可協(xié)議�。盡管將Commons Clause應(yīng)用于開源項(xiàng)目意味著可獲取�、免費(fèi)訪問、修改和重新分發(fā)源代碼的自由���,但其并不是開源協(xié)議�����。根據(jù)其約定���,該許可證下完全的限制了使用者銷售的權(quán)利,也拒絕商業(yè)環(huán)境��。2019年�����,Redis再次宣布更改許可證�����,將Redis模塊的許可協(xié)議變更為RSALv2(源碼可用許可)和SSPL相結(jié)合的許可協(xié)議�����。雖然Redis的作者一直強(qiáng)調(diào)Redis從未變更過許可證���,將一直使用BSD許可證�。實(shí)際上,一直且聲稱將繼續(xù)使用BSD許可證的部分只是Redis核心�����。而Redis Lab的某些模塊(RediSearch, Redis Graph��, ReJSON����, ReBloom ,Redis Stack)則改用RSAL v2和SSPL相結(jié)合的許可證�。(如下圖所示)
(來源:https://redis.com/legal/licenses/ )
根據(jù)RSAL v2許可證����,可以使用、復(fù)制���、分發(fā)�、衍生源代碼�����,但是不能將軟件的功能或者修改版本作為服務(wù)提供給第三方����,也不能以向第三方提供功能的方式分發(fā)或修改�。這意味著不能通過應(yīng)用RSAL v2許可證的項(xiàng)目構(gòu)建應(yīng)用程序�,也不能提供服務(wù)。徹底斬?cái)嗔死瞄_源軟件提供商業(yè)化服務(wù)產(chǎn)品的可能性����。
2021年, Elasticsearch和Kibana從7.11版本開始���,將許可證由Apache 2.0和Elastic License變更為SSPL和Elastic License的雙重許可。
從MongoDB到Redis再到Elastic�,雖然這幾個(gè)例子中的許可證最后都?xì)w于選擇SSPL,但許可證的變更似乎已經(jīng)成為一種趨勢(shì)��,比如Grafana�、Loki 和 Tempo 的開源協(xié)議由 Apache License 2.0 變?yōu)?AGPL v3;HashiCorp在今年將所有產(chǎn)品從Mozilla v2改為限制商業(yè)性使用的商業(yè)源代碼許可證(BSL)v1.1�。
此外,國內(nèi)外也有一些開源項(xiàng)目或因?yàn)樯虡I(yè)考慮或因?yàn)槠渌蚨x擇直接閉源�����,這將直接影響基于這些開源軟件開發(fā)產(chǎn)品的商業(yè)利益�,如后續(xù)開發(fā)被掣肘���、前期投入落空、后續(xù)產(chǎn)品難以維護(hù)等等�����。
3�、安全漏洞風(fēng)險(xiǎn)
安全問題是影響開源軟件深入商業(yè)化運(yùn)營的重要風(fēng)險(xiǎn)點(diǎn)。然而根據(jù)新思科技發(fā)布的《開源安全和風(fēng)險(xiǎn)分析》(2023)��,包括至少一個(gè)漏洞的代碼庫占總樣本庫的84%�����,包含保衛(wèi)漏洞的代碼庫占比達(dá)到48%���;高風(fēng)險(xiǎn)漏洞5年增長(zhǎng)最多的行業(yè)為計(jì)算機(jī)硬件和半導(dǎo)體���、零收和電子商務(wù)����、制造業(yè)和工業(yè)機(jī)器人����、大數(shù)據(jù)和機(jī)器學(xué)習(xí)以及航天航空汽車運(yùn)輸物流。這些行業(yè)包括了國家重點(diǎn)發(fā)展的行業(yè)和涉及人民生活生產(chǎn)的民生類行業(yè)����。一旦爆發(fā)安全漏洞事件,疊加開源軟件本身的性質(zhì)和特點(diǎn)���,會(huì)放大安全漏洞事件的波及范圍和深度。2021年 �, Apache Log4j2遠(yuǎn)程代碼執(zhí)行漏洞(CNVD-2021-95914)導(dǎo)致攻擊者可在未授權(quán)的情況下遠(yuǎn)程執(zhí)行代碼,漏洞披露5天后����,美國網(wǎng)絡(luò)安全公司Cloudflare觀察到每秒400次利用Log4j漏洞的攻擊嘗試,以及總共數(shù)百萬次對(duì)易受攻擊系統(tǒng)的掃描�。直至今日,該漏洞的影響依然余波未了����。
4�、其他商業(yè)風(fēng)險(xiǎn)
開源軟件與商業(yè)軟件的運(yùn)作方式完全不同��,如果使用者缺乏認(rèn)識(shí)就很可能導(dǎo)致企業(yè)因開源軟件使用不當(dāng)導(dǎo)致利益受損���。比如有一些代碼庫當(dāng)中有的版本已經(jīng)過時(shí)�����,但是團(tuán)隊(duì)并不知道該開源組件的新版本已經(jīng)可用���,甚至根本不知道該組件的存在;以及使用開源軟件時(shí)未關(guān)注控制組件的安全性和穩(wěn)定性�����、新版本和補(bǔ)丁���,這些認(rèn)知的疏漏將導(dǎo)致軟件的可靠性及可用性�,甚至安全性被大大削弱����,進(jìn)而很可能影響企業(yè)的商業(yè)效益���。
再者,目前主流開源項(xiàng)目如Linux���、Apache��、Mozilla���、MySQL等,其所在地均在美國和歐洲���,在地緣政治復(fù)雜多變�����、國際形式云波詭譎的情況下�,我們要認(rèn)識(shí)到社區(qū)是存在國界線的�。在俄烏沖突中����,GitHub就限制俄羅斯開發(fā)人員使用開源軟件,甲骨文、SAP等數(shù)據(jù)庫供應(yīng)商也宣布暫停在俄羅斯的服務(wù)�����。GitHub CEO 還發(fā)文表示�����,遵守政府提出的出口管制和貿(mào)易法規(guī)�,其中包括嚴(yán)格限制俄羅斯獲得其維持侵略性軍事能力所需的技術(shù)。西方主導(dǎo)的開源社區(qū)可以直接對(duì)待俄羅斯�����,也就可以把同樣的招數(shù)用在我國身上�����。就在最近�,8月10日,美國總統(tǒng)簽署了一項(xiàng)行政命令�,限制美國對(duì)中國大陸、中國香港和澳門主要涉及三個(gè)敏感技術(shù)的投資活動(dòng):半導(dǎo)體和微電子�、量子信息技術(shù)和人工智能。
自然�,開源所倡導(dǎo)的“自由共享�����、開放協(xié)作”精神對(duì)促進(jìn)軟件產(chǎn)業(yè)快速發(fā)展與創(chuàng)新已經(jīng)并且持續(xù)發(fā)揮著重要作用���。但是,天下熙熙皆為利來���,天下攘攘皆為利往����,利益爭(zhēng)奪才是一個(gè)企業(yè)的生存發(fā)展之本��。對(duì)于我們國家的眾多企業(yè)來說����,我們還沉浸于擁抱開源獲得巨大利益的美好愿景中,然而開源的“源”除了源代碼�,我們也可以理解為“源頭”,源頭掌握在手中�����,誰才能掌握財(cái)富的閘門�,身處下游的使用商們持續(xù)利用開源軟件賺錢的權(quán)利實(shí)際取決于上游開源擁有者們,當(dāng)下游因上游獲得的利益大到讓上游的開源擁有者無法坐視不理時(shí)�����,閘門很可能會(huì)落下����。
問渠那得清如許,為有源頭活水來�。我們已經(jīng)享受了四十年開源軟件的紅利,基礎(chǔ)開始����、從底層開始創(chuàng)建、經(jīng)營開源項(xiàng)目對(duì)我們的創(chuàng)新能力提出了挑戰(zhàn)���,這同時(shí)也是一個(gè)機(jī)遇�,讓我們能夠有機(jī)會(huì)建立自己的規(guī)則���,樹立自己的話語權(quán)��,從而把基礎(chǔ)和核心掌握在自己手里�。
注釋
[i] 《開源生態(tài)白皮書》���,中國信息通信研究院���,2021年1月
本文首發(fā)于微信公眾號(hào):知產(chǎn)力�。文章內(nèi)容屬作者個(gè)人觀點(diǎn)����,不代表和訊網(wǎng)立場(chǎng)。投資者據(jù)此操作��,風(fēng)險(xiǎn)請(qǐng)自擔(dān)���。
(責(zé)任編輯:王治強(qiáng) HF013)
