科技雲報道原創。
國際局勢給技術圈帶來的影響依然在蔓延。
隨著俄烏戰事推進,美國科技巨頭相繼宣布製裁俄羅斯。硬件方麵,英特爾、AMD、聯想、戴爾、蘋果等科技企業宣布停止對俄羅斯供貨;軟件方麵,SAP、Oracle等軟件巨頭宣布停止在俄羅斯的産品銷售和服務。這意味使用這些巨頭産品的企業、機構業務將麵臨癱瘓。
與此同時,開源界也牽扯進俄烏之間衝突的漩渦中。
3月2日,全球最大的開源及私有軟件項目托管平台Github官方發文稱,會遵守美國政府的相關規定,限製俄羅斯通過Github獲得軍事技術能力。除瞭GitHub,更多的開源社區也加入瞭這場運動,Node.js、知名前端框架React都在其官網上加入瞭聲援烏剋蘭的標語。
隨後,全球最大的獨立開源軟件公司SUSE、美國開源軟件巨頭紅帽、主流開源容器引擎Docker,紛紛宣布停止與俄羅斯的業務。作為開源領域的中流砥柱,這三傢加入封禁陣營的消息,再次震動瞭開源界。
覆巢之下復有完卵乎,一時間人人感到自危。開源社區一嚮推崇“自由、平等、相互尊重”的原則,開源精神被無數開發者奉為圭臬,然而“封鎖”事件的上演,令國內開發者們開始擔心,“開源無國界”是不是僞命題?“禁封”之後,開源軟件還能用嗎?更進一步,使用瞭開源代碼,是不是就代錶技術無法自主可控?
本次,【科技雲報道】與業內多位高管和專傢進行瞭溝通,試圖從開源和IT自主可控的角度齣發,撥開迷霧重重的開源領域的一角。
開源的界限
1998年2月,開源軟件運動悄然興起。二十多年後的今天,開源已成功走嚮全球,無處不在的開源軟件,構建瞭整個互聯網的基礎。
在這一過程中,中國開發者的角色逐漸由單一的利用開源,變成瞭參與甚至是引領開源,開源在中國呈現爆發式增長態勢。
據Gitee 2020年度報告數據指齣,2020年Gitee平台上開源項目增長率達192%,達到瞭1500萬,是2013年至2018年Gitee平台開源項目的總和。
同時,中國開源貢獻者數量快速增長,在全球貢獻者占比不斷攀升。據Gitee 2020年度報告數據指齣,中國在GitHub的貢獻者數量增長迅速,目前僅次於美國,數量位居第二,並占據GitHub活躍貢獻者中的14%。據GitHub預測,到2030年中國開發者將成為全球最大的開源群體之一。
由於開源項目允許任何人引入代碼、修改代碼、造産品以及分享修訂版本,並帶來良性的創新周期,中國科技界和産業界從開源軟件中受益極大。這也使很多人深信“開源無國界”,沒有一個國傢能禁止開源代碼的自由分享。
事實真的如此嗎?
2017年1月份,Pastebin網站上齣現瞭這樣一則帖子:Docker在部分國傢無法使用,Docker作為一傢美國公司,隻能遵守美國在齣口管製方麵的法規。為瞭努力遵守這些法規,現在阻止位於古巴、伊朗、朝鮮、剋裏米亞共和國、蘇丹和敘利亞這6個國傢的所有IP地址。
2019年,GitHub齣於美國貿易管製法律要求,對伊朗、剋裏米亞的開發者用戶進行瞭限製,甚至是封禁賬號。
可以看到,除瞭開源作者擁有限製他人使用開源代碼的權利,開源托管平台和開源商業公司也不得不以實體的方式,遵守所在地的法律法規。即便國傢政策不以黑紙白字的方式嚴格約束,在政治正確、輿論環境等多方因素影響下,開源平台和開源企業同樣難以保持中立。
那麼,有“國界”的開源,是否違背瞭自由平等的開源精神?開源代碼到底能不能被“禁封”?
開源中國社區負責人、開源中國閤夥人李晨認為,有兩個概念容易被大傢混淆:一是項目開源本身,二是公司的開源行為。
首先,開源在定義裏規定“不得歧視任何個人或團體”;作為目前主流的一種軟件分發模式,任何人都可以參與開源。“做個不太嚴謹但閤理的比喻,姑且把開源叫做‘放水’,水隻要放齣來,彆人就可以來取用,任何人都可以完成這個操作。當然,(開源代碼的作者)也決定是否可以讓他人取水、取多少水,因此開源的界限其實是人為劃分的。”
其次,開源商業公司或第三方平台的行為,與開源“本身”是無關的。例如:GitHub是基於開源的Git項目去做商業化産品的公司,而Git並不屬於GitHub,因此GitHub有可能因為法律要求不提供某些地區的服務,或禁封自己平台上的用戶,但切不斷開發者使用開源的Git。不過李晨也錶示,GitHub的一舉一動影響開源生態是必然的,畢竟它是全球最大的開源托管平台。
開源不止於技術
如今,開源軟件的代碼量和復雜度上已遠超當年,一個開源項目可能會使用或集成多種開源組件,同一個開源項目可能也會有成韆上萬的開發者參與進來。
正是由於開源的高度開放性,允許全球無數開發者可以不斷復製、修改、再開源社區的源代碼,這使得本來隻是一項技術運動的開放源代碼運動,與知識産權法發生瞭密切關係。
開源軟件的開發與維護,往往涉及到眾多不同的主體,這就涉及到知識産權的歸屬、許可、授權等法律問題。而按照國際通行做法,産品知識産權是受各國齣口管製條例管製的。
那麼,什麼樣的開源項目涉及齣口管製,可能會遭遇“斷供”的後果?
2019年,中科院計算所的包雲崗研究員對12個知名開源基金會、6個常用的開源協議、3個代碼托管平台進行瞭調研與分析,得齣瞭以下結論:
第一,不同開源基金會管理對開源項目的管理辦法差異較大。
例如:Linux基金會自身的管理辦法不受美國齣口管製,所以旗下的項目包括Linux Kernel等默認遵循該管理辦法,但虛擬化項目Xen明確說明遵循美國齣口管製,就屬於Linux基金會中的特例。
Apache基金會的管理辦法明確說明遵循美國齣口管製,所以它旗下所有項目如Hadoop、Spark都將受到齣口管製。
Mozilla基金會明確聲明遵守加州法律,齣現各類糾紛將必須到Santa Clara的法庭裁決。
第二,調研的開源許可協議族(GPL、LGPL、BSD、MIT、Mozilla、Apache-2.0)均未涉及與政府齣口管製無關的聲明。
第三,調研的3個代碼托管平台(GitHub、SourceForge、Google Code)均明確聲明遵守美國齣口管製條例,並按加州法律解決糾紛。
總的來說,部分開源基金會管理辦法可以規避美國齣口管製,但如果單就開源平台、開源許可證或協議聲明進行解讀的話,一切依然存在模糊性。
中國信通院《開源軟件知識産權風險防控研究報告(2019)》指齣,開源許可協議是理解開源軟件知識産權問題的關鍵所在。開源許可協議將特定的權利賦予用戶,同時也會規定用戶使用開源軟件時必須遵守的約束。
不同的開源許可協議在著作權、專利、商標等方麵的規定不同,因此帶來的風險也就不同。據中國信通院2021年《開源生態白皮書》顯示,開源知識産權風險主要集中在四個方麵:
一是版權侵權,不遵守開源許可協議,導緻版權侵權;二是專利侵權風險,開源軟件中包含諸多軟件專利,使用開源軟件未得到軟件專利權人的專利許可,從而導緻專利侵權;三是商標侵權風險,未經許可使用開源軟件的商標;四是許可證衝突。
例如:在版權方麵,GPL許可協議要求演繹作品整體發布時必須在GPL許可下進行發布,因此使用GPL許可協議下的源代碼在軟件再發布時風險較大。但Apache、MIT、BSD等許可協議則對演繹作品的發布方式沒有要求。
在專利方麵, GPL-3.0、Apache-2.0明示瞭專利授權並有專利報復條款,MIT、BSD則無規定。
在商標方麵,Apache-2.0對商標使用做齣限製,規定用戶必須使用許可證頒發者的商號、商標、服務標記或産品名稱。
因此,在使用開源軟件時,需要首先找齣開源軟件使用的哪個許可協議以及許可協議的版本,不同版本的許可協議可能存在較大差異,仔細閱讀該版本的開源許可協議的條款,嚴格按照條款規定使用開源軟件。
但事實上,由於開源許可證類型多樣,復雜度較高,企業在使用開源軟件時會麵臨多種挑戰:
一是引入開源軟件的數量難以準確統計,二是開源軟件存在潛在的安全漏洞風險,三是開源協議許可證缺失或違規使用,因此建議國內企業加強開源風險治理能力,安全閤規地使用開源軟件。目前,中國信通院已逐步構建瞭開源治理標準體係,幫助國內企業提升開源風險治理能力。
開源與技術自主可控
烏俄衝突下的科技製裁,讓國內開源界再次敲響瞭警鍾:中國應加快自主創新,確保IT設施的國産化,自己掌握主動權。
目前,包括開源在內的很多技術領域,中國還是在嚮國外學習,國內開發者使用的大部分開源代碼、參與貢獻的開源項目都是國外發起的。想要減少對他國的依賴,實現技術自主可控,中國是應該降低開源的參與度,還是應該像現在一樣積極擁抱開源?
事實上,開源已成為全球數字科技創新的動力,成長為一種強大的技術創新模式,如今新産品、新架構、新平台在開源,連頂尖的研究成果都以開源形式發布。開源從最初的軟件行業走嚮瞭硬件、芯片、視頻、IoT、AI等多個領域,開源的商業模式也在逐漸成熟。
可以看到,開源作為全球科技進步至關重要的創新模式,其影響力不可低估。不僅富有遠見的企業將“擁抱開源”作為提升競爭力的戰略途徑,許多國傢也開始有意識地推動開源運動發展。
我國“十四五”規劃和2035年遠景目標綱要提齣,要“支持數字技術開源社區等創新聯閤體發展,完善開源知識産權和法律體係,鼓勵企業開放軟件源代碼、硬件設計和應用服務”,可見國傢層麵已高度重視開源的進步推動作用。
同時,國傢也已開始研究開源所麵臨的安全和可控問題,例如:2018年科技部國傢重點研發項目《雲計算與大數據開源社區生態係統》下設子課題——《安全可控開源社區支撐平台研發》,以安全可控開源社區支撐平台的研發為目標,建立安全可控的開源社區支撐平台,以支持雲計算和大數據開源生態係統的建設和運營。
在開源中國社區負責人、開源中國閤夥人李晨看來,開源與自主可控本身並不衝突。一方麵,開源帶來的協作、創新與人纔培養等方麵的增益,加速瞭是自主可控的進程。另一方麵,開源並不代錶不安全,做好版本管理、權限分配、信息防護、安全策略等方麵的細緻工作,開源一樣是安全的。
同時,李晨錶示,2020-2022年是國傢安全可控體係推廣最重要的三年,中國IT産業從“基礎硬件—基礎軟件—行業應用軟件”有望迎來國産替代潮。Gitee作為國傢開源代碼托管平台項目牽頭方也在這股浪潮之中活躍,通過本土開源力量讓IT自主可控未雨綢繆。
從長期來看,國內構建自己的開源生態勢在必行。
一方麵,國內已開始成立自己的開源基金會,例如:開放原子開源基金會是我國首傢開源基金會,發起人包括阿裏、百度、華為、浪潮、騰訊、360、招行銀行等多傢龍頭科技企業,其業務涵蓋開源軟件、開源硬件、開源芯片及開源內容等領域。截至2021年6月,該基金會共有10個開源項目。
除瞭開源基金會外,各類開源組織也在協同發展,例如:中國信通院重點依托雲計算開源産業聯盟、金融行業開源技術應用社區、人工智能産業發展聯盟等,幫助企業運營開源項目。此外,由中國計算機學會(CCF)成立的開源發展委員會,由中國電子技術標準化研究院牽頭的木蘭開源社區等,都是推動國內開源生態建設的重要力量。
另一方麵,提高中國企業在全球開源項目的參與度,在開源生態方麵取得更多技術話語權。
近幾年中國公司進入國際化視野,由中國企業領導的開源項目越來越多,相關的根技術開源社區也齣現瞭。據公開數據統計,我國活躍度較高的開源項目超過半數來自阿裏、華為、騰訊、百度等國內互聯網科技企業,其中有20個項目捐贈給阿帕奇基金會,有21個項目捐贈給Linux基金會,這意味著中國開源項目的質量受到瞭國際上的認可。在全球開源生態中取得話語權,將使得企業最終實現立足中國,引領全球的基礎軟件技術領導力。
結語
開源的初衷很簡單,大傢通過自由地使用、分享、迴饋,為世界創造價值。帶著這個美好的初衷,開源走過瞭幾十年歲月,發展成為數字世界的基石。但自由絕非無代價,無論是來自國界、技術還是法律的界限,開源都有其潛在的治理風險,這將是國內開源參與者必須麵對的重要課題。
【關於科技雲報道】
專注於原創的企業級內容行傢——科技雲報道。成立於2015年,是前沿企業級IT領域Top10媒體。獲工信部權威認可,可信雲、全球雲計算大會官方指定傳播媒體之一。深入原創報道雲計算、大數據、人工智能、區塊鏈等領域。
責任編輯:
