國(guó)際局勢(shì)給技術(shù)圈帶來(lái)的影響依然在蔓延。

隨著俄烏戰(zhàn)事推進(jìn)，美國(guó)科技巨頭相繼宣布制裁俄羅斯。

硬件方面，英特爾、AMD、聯(lián)想、戴爾、蘋(píng)果等科技企業(yè)宣布停止對(duì)俄羅斯供貨；軟件方面，SAP、Oracle等軟件巨頭宣布停止在俄羅斯的產(chǎn)品銷(xiāo)售和服務(wù)。

這意味使用這些巨頭產(chǎn)品的企業(yè)、機(jī)構(gòu)業(yè)務(wù)將面臨癱瘓。 與此同時(shí)，開(kāi)源界也牽扯進(jìn)俄烏之間沖突的漩渦中。 3月2日，全球最大的開(kāi)源及私有軟件項(xiàng)目托管平臺(tái)Github官方發(fā)文稱，會(huì)遵守美國(guó)政府的相關(guān)規(guī)定，限制俄羅斯通過(guò)Github獲得軍事技術(shù)能力。

除了GitHub，更多的開(kāi)源社區(qū)也加入了這場(chǎng)運(yùn)動(dòng)，Node．js、知名前端框架React都在其官網(wǎng)上加入了聲援烏克蘭的標(biāo)語(yǔ)。 隨后，全球最大的獨(dú)立開(kāi)源軟件公司SUSE、美國(guó)開(kāi)源軟件巨頭紅帽、主流開(kāi)源容器引擎Docker，紛紛宣布停止與俄羅斯的業(yè)務(wù)。

作為開(kāi)源領(lǐng)域的中流砥柱，這三家加入封禁陣營(yíng)的消息，再次震動(dòng)了開(kāi)源界。 覆巢之下復(fù)有完卵乎，一時(shí)間人人感到自危。

開(kāi)源社區(qū)一向推崇“自由、平等、相互尊重”的原則，開(kāi)源精神被無(wú)數(shù)開(kāi)發(fā)者奉為圭臬，然而“封鎖”事件的上演，令國(guó)內(nèi)開(kāi)發(fā)者們開(kāi)始擔(dān)心，“開(kāi)源無(wú)國(guó)界”是不是偽命題？

“禁封”之后，開(kāi)源軟件還能用嗎？更進(jìn)一步，使用了開(kāi)源代碼，是不是就代表技術(shù)無(wú)法自主可控？ 本次，【科技云報(bào)道】與業(yè)內(nèi)多位高管和專家進(jìn)行了溝通，試圖從開(kāi)源和IT自主可控的角度出發(fā)，撥開(kāi)迷霧重重的開(kāi)源領(lǐng)域的一角。

開(kāi)源的界限

1998年2月，開(kāi)源軟件運(yùn)動(dòng)悄然興起。二十多年后的今天，開(kāi)源已成功走向全球，無(wú)處不在的開(kāi)源軟件，構(gòu)建了整個(gè)互聯(lián)網(wǎng)的基礎(chǔ)。

在這一過(guò)程中，中國(guó)開(kāi)發(fā)者的角色逐漸由單一的利用開(kāi)源，變成了參與甚至是引領(lǐng)開(kāi)源，開(kāi)源在中國(guó)呈現(xiàn)爆發(fā)式增長(zhǎng)態(tài)勢(shì)。

據(jù)Gitee 2020年度報(bào)告數(shù)據(jù)指出，2020年Gitee平臺(tái)上開(kāi)源項(xiàng)目增長(zhǎng)率達(dá)192％，達(dá)到了1500萬(wàn)，是2013年至2018年Gitee平臺(tái)開(kāi)源項(xiàng)目的總和。 同時(shí)，中國(guó)開(kāi)源貢獻(xiàn)者數(shù)量快速增長(zhǎng)，在全球貢獻(xiàn)者占比不斷攀升。

據(jù)Gitee 2020年度報(bào)告數(shù)據(jù)指出，中國(guó)在GitHub的貢獻(xiàn)者數(shù)量增長(zhǎng)迅速，目前僅次于美國(guó)，數(shù)量位居第二，并占據(jù)GitHub活躍貢獻(xiàn)者中的14％。

據(jù)GitHub預(yù)測(cè)，到2030年中國(guó)開(kāi)發(fā)者將成為全球最大的開(kāi)源群體之一。

由于開(kāi)源項(xiàng)目允許任何人引入代碼、修改代碼、造產(chǎn)品以及分享修訂版本，并帶來(lái)良性的創(chuàng)新周期，中國(guó)科技界和產(chǎn)業(yè)界從開(kāi)源軟件中受益極大。這也使很多人深信“開(kāi)源無(wú)國(guó)界”，沒(méi)有一個(gè)國(guó)家能禁止開(kāi)源代碼的自由分享。

事實(shí)真的如此嗎？

2017年1月份，Pastebin網(wǎng)站上出現(xiàn)了這樣一則帖子：Docker在部分國(guó)家無(wú)法使用，Docker作為一家美國(guó)公司，只能遵守美國(guó)在出口管制方面的法規(guī)。

為了努力遵守這些法規(guī)，現(xiàn)在阻止位于古巴、伊朗、朝鮮、克里米亞共和國(guó)、蘇丹和敘利亞這6個(gè)國(guó)家的所有IP地址。 2019年，GitHub出于美國(guó)貿(mào)易管制法律要求，對(duì)伊朗、克里米亞的開(kāi)發(fā)者用戶進(jìn)行了限制，甚至是封禁賬號(hào)。 可以看到，除了開(kāi)源作者擁有限制他人使用開(kāi)源代碼的權(quán)利，開(kāi)源托管平臺(tái)和開(kāi)源商業(yè)公司也不得不以實(shí)體的方式，遵守所在地的法律法規(guī)。

即便國(guó)家政策不以黑紙白字的方式嚴(yán)格約束，在政治正確、輿論環(huán)境等多方因素影響下，開(kāi)源平臺(tái)和開(kāi)源企業(yè)同樣難以保持中立。

那么，有“國(guó)界”的開(kāi)源，是否違背了自由平等的開(kāi)源精神？開(kāi)源代碼到底能不能被“禁封”？

開(kāi)源中國(guó)社區(qū)負(fù)責(zé)人、開(kāi)源中國(guó)合伙人李晨認(rèn)為，有兩個(gè)概念容易被大家混淆：一是項(xiàng)目開(kāi)源本身，二是公司的開(kāi)源行為。

首先，開(kāi)源在定義里規(guī)定“不得歧視任何個(gè)人或團(tuán)體”；作為目前主流的一種軟件分發(fā)模式，任何人都可以參與開(kāi)源。

“做個(gè)不太嚴(yán)謹(jǐn)?shù)侠淼谋扔?，姑且把開(kāi)源叫做‘放水’，水只要放出來(lái)，別人就可以來(lái)取用，任何人都可以完成這個(gè)操作。當(dāng)然，（開(kāi)源代碼的作者）也決定是否可以讓他人取水、取多少水，因此開(kāi)源的界限其實(shí)是人為劃分的?！?/p>

其次，開(kāi)源商業(yè)公司或第三方平臺(tái)的行為，與開(kāi)源“本身”是無(wú)關(guān)的。

例如：GitHub是基于開(kāi)源的Git項(xiàng)目去做商業(yè)化產(chǎn)品的公司，而Git并不屬于GitHub，因此GitHub有可能因?yàn)榉梢蟛惶峁┠承┑貐^(qū)的服務(wù)，或禁封自己平臺(tái)上的用戶，但切不斷開(kāi)發(fā)者使用開(kāi)源的Git。

不過(guò)李晨也表示，GitHub的一舉一動(dòng)影響開(kāi)源生態(tài)是必然的，畢竟它是全球最大的開(kāi)源托管平臺(tái)。

開(kāi)源不止于技術(shù)

如今，開(kāi)源軟件的代碼量和復(fù)雜度上已遠(yuǎn)超當(dāng)年，一個(gè)開(kāi)源項(xiàng)目可能會(huì)使用或集成多種開(kāi)源組件，同一個(gè)開(kāi)源項(xiàng)目可能也會(huì)有成千上萬(wàn)的開(kāi)發(fā)者參與進(jìn)來(lái)。

正是由于開(kāi)源的高度開(kāi)放性，允許全球無(wú)數(shù)開(kāi)發(fā)者可以不斷復(fù)制、修改、再開(kāi)源社區(qū)的源代碼，這使得本來(lái)只是一項(xiàng)技術(shù)運(yùn)動(dòng)的開(kāi)放源代碼運(yùn)動(dòng)，與知識(shí)產(chǎn)權(quán)法發(fā)生了密切關(guān)系。

開(kāi)源軟件的開(kāi)發(fā)與維護(hù)，往往涉及到眾多不同的主體，這就涉及到知識(shí)產(chǎn)權(quán)的歸屬、許可、授權(quán)等法律問(wèn)題。

而按照國(guó)際通行做法，產(chǎn)品知識(shí)產(chǎn)權(quán)是受各國(guó)出口管制條例管制的。

那么，什么樣的開(kāi)源項(xiàng)目涉及出口管制，可能會(huì)遭遇“斷供”的后果？

2019年，中科院計(jì)算所的包云崗研究員對(duì)12個(gè)知名開(kāi)源基金會(huì)、6個(gè)常用的開(kāi)源協(xié)議、3個(gè)代碼托管平臺(tái)進(jìn)行了調(diào)研與分析，得出了以下結(jié)論： 第一，不同開(kāi)源基金會(huì)管理對(duì)開(kāi)源項(xiàng)目的管理辦法差異較大。

例如：Linux基金會(huì)自身的管理辦法不受美國(guó)出口管制，所以旗下的項(xiàng)目包括Linux Kernel等默認(rèn)遵循該管理辦法，但虛擬化項(xiàng)目Xen明確說(shuō)明遵循美國(guó)出口管制，就屬于Linux基金會(huì)中的特例。

Apache基金會(huì)的管理辦法明確說(shuō)明遵循美國(guó)出口管制，所以它旗下所有項(xiàng)目如Hadoop、Spark都將受到出口管制。

Mozilla基金會(huì)明確聲明遵守加州法律，出現(xiàn)各類(lèi)糾紛將必須到Santa Clara的法庭裁決。

第二，調(diào)研的開(kāi)源許可協(xié)議族（GPL、LGPL、BSD、MIT、Mozilla、Apache－2．0）均未涉及與政府出口管制無(wú)關(guān)的聲明。

第三，調(diào)研的3個(gè)代碼托管平臺(tái)（GitHub、SourceForge、Google Code）均明確聲明遵守美國(guó)出口管制條例，并按加州法律解決糾紛。

總的來(lái)說(shuō)，部分開(kāi)源基金會(huì)管理辦法可以規(guī)避美國(guó)出口管制，但如果單就開(kāi)源平臺(tái)、開(kāi)源許可證或協(xié)議聲明進(jìn)行解讀的話，一切依然存在模糊性。

中國(guó)信通院《開(kāi)源軟件知識(shí)產(chǎn)權(quán)風(fēng)險(xiǎn)防控研究報(bào)告（2019）》指出，開(kāi)源許可協(xié)議是理解開(kāi)源軟件知識(shí)產(chǎn)權(quán)問(wèn)題的關(guān)鍵所在。

開(kāi)源許可協(xié)議將特定的權(quán)利賦予用戶，同時(shí)也會(huì)規(guī)定用戶使用開(kāi)源軟件時(shí)必須遵守的約束。

不同的開(kāi)源許可協(xié)議在著作權(quán)、專利、商標(biāo)等方面的規(guī)定不同，因此帶來(lái)的風(fēng)險(xiǎn)也就不同。據(jù)中國(guó)信通院2021年《開(kāi)源生態(tài)白皮書(shū)》顯示，開(kāi)源知識(shí)產(chǎn)權(quán)風(fēng)險(xiǎn)主要集中在四個(gè)方面： 一是版權(quán)侵權(quán)，不遵守開(kāi)源許可協(xié)議，導(dǎo)致版權(quán)侵權(quán)；二是專利侵權(quán)風(fēng)險(xiǎn)，開(kāi)源軟件中包含諸多軟件專利，使用開(kāi)源軟件未得到軟件專利權(quán)人的專利許可，從而導(dǎo)致專利侵權(quán)；三是商標(biāo)侵權(quán)風(fēng)險(xiǎn)，未經(jīng)許可使用開(kāi)源軟件的商標(biāo)；四是許可證沖突。 例如：在版權(quán)方面，GPL許可協(xié)議要求演繹作品整體發(fā)布時(shí)必須在GPL許可下進(jìn)行發(fā)布，因此使用GPL許可協(xié)議下的源代碼在軟件再發(fā)布時(shí)風(fēng)險(xiǎn)較大。

但Apache、MIT、BSD等許可協(xié)議則對(duì)演繹作品的發(fā)布方式?jīng)]有要求。

在專利方面， GPL－3．0、Apache－2．0明示了專利授權(quán)并有專利報(bào)復(fù)條款，MIT、BSD則無(wú)規(guī)定。 在商標(biāo)方面，Apache－2．0對(duì)商標(biāo)使用做出限制，規(guī)定用戶必須使用許可證頒發(fā)者的商號(hào)、商標(biāo)、服務(wù)標(biāo)記或產(chǎn)品名稱。

因此，在使用開(kāi)源軟件時(shí)，需要首先找出開(kāi)源軟件使用的哪個(gè)許可協(xié)議以及許可協(xié)議的版本，不同版本的許可協(xié)議可能存在較大差異，仔細(xì)閱讀該版本的開(kāi)源許可協(xié)議的條款，嚴(yán)格按照條款規(guī)定使用開(kāi)源軟件。

但事實(shí)上，由于開(kāi)源許可證類(lèi)型多樣，復(fù)雜度較高，企業(yè)在使用開(kāi)源軟件時(shí)會(huì)面臨多種挑戰(zhàn)： 一是引入開(kāi)源軟件的數(shù)量難以準(zhǔn)確統(tǒng)計(jì)，二是開(kāi)源軟件存在潛在的安全漏洞風(fēng)險(xiǎn)，三是開(kāi)源協(xié)議許可證缺失或違規(guī)使用，因此建議國(guó)內(nèi)企業(yè)加強(qiáng)開(kāi)源風(fēng)險(xiǎn)治理能力，安全合規(guī)地使用開(kāi)源軟件。

目前，中國(guó)信通院已逐步構(gòu)建了開(kāi)源治理標(biāo)準(zhǔn)體系，幫助國(guó)內(nèi)企業(yè)提升開(kāi)源風(fēng)險(xiǎn)治理能力。

開(kāi)源與技術(shù)自主可控

烏俄沖突下的科技制裁，讓國(guó)內(nèi)開(kāi)源界再次敲響了警鐘：中國(guó)應(yīng)加快自主創(chuàng)新，確保IT設(shè)施的國(guó)產(chǎn)化，自己掌握主動(dòng)權(quán)。

目前，包括開(kāi)源在內(nèi)的很多技術(shù)領(lǐng)域，中國(guó)還是在向國(guó)外學(xué)習(xí)，國(guó)內(nèi)開(kāi)發(fā)者使用的大部分開(kāi)源代碼、參與貢獻(xiàn)的開(kāi)源項(xiàng)目都是國(guó)外發(fā)起的。

想要減少對(duì)他國(guó)的依賴，實(shí)現(xiàn)技術(shù)自主可控，中國(guó)是應(yīng)該降低開(kāi)源的參與度，還是應(yīng)該像現(xiàn)在一樣積極擁抱開(kāi)源？

事實(shí)上，開(kāi)源已成為全球數(shù)字科技創(chuàng)新的動(dòng)力，成長(zhǎng)為一種強(qiáng)大的技術(shù)創(chuàng)新模式，如今新產(chǎn)品、新架構(gòu)、新平臺(tái)在開(kāi)源，連頂尖的研究成果都以開(kāi)源形式發(fā)布。

開(kāi)源從最初的軟件行業(yè)走向了硬件、芯片、視頻、IoT、AI等多個(gè)領(lǐng)域，開(kāi)源的商業(yè)模式也在逐漸成熟。

可以看到，開(kāi)源作為全球科技進(jìn)步至關(guān)重要的創(chuàng)新模式，其影響力不可低估。不僅富有遠(yuǎn)見(jiàn)的企業(yè)將“擁抱開(kāi)源”作為提升競(jìng)爭(zhēng)力的戰(zhàn)略途徑，許多國(guó)家也開(kāi)始有意識(shí)地推動(dòng)開(kāi)源運(yùn)動(dòng)發(fā)展。

我國(guó)“十四五”規(guī)劃和2035年遠(yuǎn)景目標(biāo)綱要提出，要“支持?jǐn)?shù)字技術(shù)開(kāi)源社區(qū)等創(chuàng)新聯(lián)合體發(fā)展，完善開(kāi)源知識(shí)產(chǎn)權(quán)和法律體系，鼓勵(lì)企業(yè)開(kāi)放軟件源代碼、硬件設(shè)計(jì)和應(yīng)用服務(wù)”，可見(jiàn)國(guó)家層面已高度重視開(kāi)源的進(jìn)步推動(dòng)作用。

同時(shí)，國(guó)家也已開(kāi)始研究開(kāi)源所面臨的安全和可控問(wèn)題，例如：2018年科技部國(guó)家重點(diǎn)研發(fā)項(xiàng)目《云計(jì)算與大數(shù)據(jù)開(kāi)源社區(qū)生態(tài)系統(tǒng)》下設(shè)子課題——《安全可控開(kāi)源社區(qū)支撐平臺(tái)研發(fā)》，以安全可控開(kāi)源社區(qū)支撐平臺(tái)的研發(fā)為目標(biāo)，建立安全可控的開(kāi)源社區(qū)支撐平臺(tái)，以支持云計(jì)算和大數(shù)據(jù)開(kāi)源生態(tài)系統(tǒng)的建設(shè)和運(yùn)營(yíng)。

在開(kāi)源中國(guó)社區(qū)負(fù)責(zé)人、開(kāi)源中國(guó)合伙人李晨看來(lái)，開(kāi)源與自主可控本身并不沖突。

一方面，開(kāi)源帶來(lái)的協(xié)作、創(chuàng)新與人才培養(yǎng)等方面的增益，加速了是自主可控的進(jìn)程。另一方面，開(kāi)源并不代表不安全，做好版本管理、權(quán)限分配、信息防護(hù)、安全策略等方面的細(xì)致工作，開(kāi)源一樣是安全的。 同時(shí)，李晨表示，2020－2022年是國(guó)家安全可控體系推廣最重要的三年，中國(guó)IT產(chǎn)業(yè)從“基礎(chǔ)硬件—基礎(chǔ)軟件—行業(yè)應(yīng)用軟件”有望迎來(lái)國(guó)產(chǎn)替代潮。

Gitee作為國(guó)家開(kāi)源代碼托管平臺(tái)項(xiàng)目牽頭方也在這股浪潮之中活躍，通過(guò)本土開(kāi)源力量讓IT自主可控未雨綢繆。 從長(zhǎng)期來(lái)看，國(guó)內(nèi)構(gòu)建自己的開(kāi)源生態(tài)勢(shì)在必行。 一方面，國(guó)內(nèi)已開(kāi)始成立自己的開(kāi)源基金會(huì)，例如：開(kāi)放原子開(kāi)源基金會(huì)是我國(guó)首家開(kāi)源基金會(huì)，發(fā)起人包括阿里、百度、華為、浪潮、騰訊、360、招行銀行等多家龍頭科技企業(yè)，其業(yè)務(wù)涵蓋開(kāi)源軟件、開(kāi)源硬件、開(kāi)源芯片及開(kāi)源內(nèi)容等領(lǐng)域。截至2021年6月，該基金會(huì)共有10個(gè)開(kāi)源項(xiàng)目。

除了開(kāi)源基金會(huì)外，各類(lèi)開(kāi)源組織也在協(xié)同發(fā)展，例如：中國(guó)信通院重點(diǎn)依托云計(jì)算開(kāi)源產(chǎn)業(yè)聯(lián)盟、金融行業(yè)開(kāi)源技術(shù)應(yīng)用社區(qū)、人工智能產(chǎn)業(yè)發(fā)展聯(lián)盟等，幫助企業(yè)運(yùn)營(yíng)開(kāi)源項(xiàng)目。

此外，由中國(guó)計(jì)算機(jī)學(xué)會(huì)（CCF）成立的開(kāi)源發(fā)展委員會(huì)，由中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院牽頭的木蘭開(kāi)源社區(qū)等，都是推動(dòng)國(guó)內(nèi)開(kāi)源生態(tài)建設(shè)的重要力量。

另一方面，提高中國(guó)企業(yè)在全球開(kāi)源項(xiàng)目的參與度，在開(kāi)源生態(tài)方面取得更多技術(shù)話語(yǔ)權(quán)。

近幾年中國(guó)公司進(jìn)入國(guó)際化視野，由中國(guó)企業(yè)領(lǐng)導(dǎo)的開(kāi)源項(xiàng)目越來(lái)越多，相關(guān)的根技術(shù)開(kāi)源社區(qū)也出現(xiàn)了。

據(jù)公開(kāi)數(shù)據(jù)統(tǒng)計(jì)，我國(guó)活躍度較高的開(kāi)源項(xiàng)目超過(guò)半數(shù)來(lái)自阿里、華為、騰訊、百度等國(guó)內(nèi)互聯(lián)網(wǎng)科技企業(yè)，其中有20個(gè)項(xiàng)目捐贈(zèng)給阿帕奇基金會(huì)，有21個(gè)項(xiàng)目捐贈(zèng)給Linux基金會(huì)，這意味著中國(guó)開(kāi)源項(xiàng)目的質(zhì)量受到了國(guó)際上的認(rèn)可。

在全球開(kāi)源生態(tài)中取得話語(yǔ)權(quán)，將使得企業(yè)最終實(shí)現(xiàn)立足中國(guó)，引領(lǐng)全球的基礎(chǔ)軟件技術(shù)領(lǐng)導(dǎo)力。

結(jié)語(yǔ)

開(kāi)源的初衷很簡(jiǎn)單，大家通過(guò)自由地使用、分享、回饋，為世界創(chuàng)造價(jià)值。．

帶著這個(gè)美好的初衷，開(kāi)源走過(guò)了幾十年歲月，發(fā)展成為數(shù)字世界的基石。

但自由絕非無(wú)代價(jià)，無(wú)論是來(lái)自國(guó)界、技術(shù)還是法律的界限，開(kāi)源都有其潛在的治理風(fēng)險(xiǎn)，這將是國(guó)內(nèi)開(kāi)源參與者必須面對(duì)的重要課題。

【科技云報(bào)道原創(chuàng)】