國際局勢給技術(shù)圈帶來的影響依然在蔓延。

隨著俄烏戰(zhàn)事推進(jìn)，美國科技巨頭相繼宣布制裁俄羅斯。

硬件方面，英特爾、AMD、聯(lián)想、戴爾、蘋果等科技企業(yè)宣布停止對俄羅斯供貨；軟件方面，SAP、Oracle等軟件巨頭宣布停止在俄羅斯的產(chǎn)品銷售和服務(wù)。

這意味使用這些巨頭產(chǎn)品的企業(yè)、機(jī)構(gòu)業(yè)務(wù)將面臨癱瘓。 與此同時(shí)，開源界也牽扯進(jìn)俄烏之間沖突的漩渦中。 3月2日，全球最大的開源及私有軟件項(xiàng)目托管平臺Github官方發(fā)文稱，會遵守美國政府的相關(guān)規(guī)定，限制俄羅斯通過Github獲得軍事技術(shù)能力。

除了GitHub，更多的開源社區(qū)也加入了這場運(yùn)動，Node．js、知名前端框架React都在其官網(wǎng)上加入了聲援烏克蘭的標(biāo)語。 隨后，全球最大的獨(dú)立開源軟件公司SUSE、美國開源軟件巨頭紅帽、主流開源容器引擎Docker，紛紛宣布停止與俄羅斯的業(yè)務(wù)。

作為開源領(lǐng)域的中流砥柱，這三家加入封禁陣營的消息，再次震動了開源界。 覆巢之下復(fù)有完卵乎，一時(shí)間人人感到自危。

開源社區(qū)一向推崇“自由、平等、相互尊重”的原則，開源精神被無數(shù)開發(fā)者奉為圭臬，然而“封鎖”事件的上演，令國內(nèi)開發(fā)者們開始擔(dān)心，“開源無國界”是不是偽命題？

“禁封”之后，開源軟件還能用嗎？更進(jìn)一步，使用了開源代碼，是不是就代表技術(shù)無法自主可控？ 本次，【科技云報(bào)道】與業(yè)內(nèi)多位高管和專家進(jìn)行了溝通，試圖從開源和IT自主可控的角度出發(fā)，撥開迷霧重重的開源領(lǐng)域的一角。

開源的界限

1998年2月，開源軟件運(yùn)動悄然興起。二十多年后的今天，開源已成功走向全球，無處不在的開源軟件，構(gòu)建了整個互聯(lián)網(wǎng)的基礎(chǔ)。

在這一過程中，中國開發(fā)者的角色逐漸由單一的利用開源，變成了參與甚至是引領(lǐng)開源，開源在中國呈現(xiàn)爆發(fā)式增長態(tài)勢。

據(jù)Gitee 2020年度報(bào)告數(shù)據(jù)指出，2020年Gitee平臺上開源項(xiàng)目增長率達(dá)192％，達(dá)到了1500萬，是2013年至2018年Gitee平臺開源項(xiàng)目的總和。 同時(shí)，中國開源貢獻(xiàn)者數(shù)量快速增長，在全球貢獻(xiàn)者占比不斷攀升。

據(jù)Gitee 2020年度報(bào)告數(shù)據(jù)指出，中國在GitHub的貢獻(xiàn)者數(shù)量增長迅速，目前僅次于美國，數(shù)量位居第二，并占據(jù)GitHub活躍貢獻(xiàn)者中的14％。

據(jù)GitHub預(yù)測，到2030年中國開發(fā)者將成為全球最大的開源群體之一。

由于開源項(xiàng)目允許任何人引入代碼、修改代碼、造產(chǎn)品以及分享修訂版本，并帶來良性的創(chuàng)新周期，中國科技界和產(chǎn)業(yè)界從開源軟件中受益極大。這也使很多人深信“開源無國界”，沒有一個國家能禁止開源代碼的自由分享。

事實(shí)真的如此嗎？

2017年1月份，Pastebin網(wǎng)站上出現(xiàn)了這樣一則帖子：Docker在部分國家無法使用，Docker作為一家美國公司，只能遵守美國在出口管制方面的法規(guī)。

為了努力遵守這些法規(guī)，現(xiàn)在阻止位于古巴、伊朗、朝鮮、克里米亞共和國、蘇丹和敘利亞這6個國家的所有IP地址。 2019年，GitHub出于美國貿(mào)易管制法律要求，對伊朗、克里米亞的開發(fā)者用戶進(jìn)行了限制，甚至是封禁賬號。 可以看到，除了開源作者擁有限制他人使用開源代碼的權(quán)利，開源托管平臺和開源商業(yè)公司也不得不以實(shí)體的方式，遵守所在地的法律法規(guī)。

即便國家政策不以黑紙白字的方式嚴(yán)格約束，在政治正確、輿論環(huán)境等多方因素影響下，開源平臺和開源企業(yè)同樣難以保持中立。

那么，有“國界”的開源，是否違背了自由平等的開源精神？開源代碼到底能不能被“禁封”？

開源中國社區(qū)負(fù)責(zé)人、開源中國合伙人李晨認(rèn)為，有兩個概念容易被大家混淆：一是項(xiàng)目開源本身，二是公司的開源行為。

首先，開源在定義里規(guī)定“不得歧視任何個人或團(tuán)體”；作為目前主流的一種軟件分發(fā)模式，任何人都可以參與開源。

“做個不太嚴(yán)謹(jǐn)?shù)侠淼谋扔?，姑且把開源叫做‘放水’，水只要放出來，別人就可以來取用，任何人都可以完成這個操作。當(dāng)然，（開源代碼的作者）也決定是否可以讓他人取水、取多少水，因此開源的界限其實(shí)是人為劃分的?！?/p>

其次，開源商業(yè)公司或第三方平臺的行為，與開源“本身”是無關(guān)的。

例如：GitHub是基于開源的Git項(xiàng)目去做商業(yè)化產(chǎn)品的公司，而Git并不屬于GitHub，因此GitHub有可能因?yàn)榉梢蟛惶峁┠承┑貐^(qū)的服務(wù)，或禁封自己平臺上的用戶，但切不斷開發(fā)者使用開源的Git。

不過李晨也表示，GitHub的一舉一動影響開源生態(tài)是必然的，畢竟它是全球最大的開源托管平臺。

開源不止于技術(shù)

如今，開源軟件的代碼量和復(fù)雜度上已遠(yuǎn)超當(dāng)年，一個開源項(xiàng)目可能會使用或集成多種開源組件，同一個開源項(xiàng)目可能也會有成千上萬的開發(fā)者參與進(jìn)來。

正是由于開源的高度開放性，允許全球無數(shù)開發(fā)者可以不斷復(fù)制、修改、再開源社區(qū)的源代碼，這使得本來只是一項(xiàng)技術(shù)運(yùn)動的開放源代碼運(yùn)動，與知識產(chǎn)權(quán)法發(fā)生了密切關(guān)系。

開源軟件的開發(fā)與維護(hù)，往往涉及到眾多不同的主體，這就涉及到知識產(chǎn)權(quán)的歸屬、許可、授權(quán)等法律問題。

而按照國際通行做法，產(chǎn)品知識產(chǎn)權(quán)是受各國出口管制條例管制的。

那么，什么樣的開源項(xiàng)目涉及出口管制，可能會遭遇“斷供”的后果？

2019年，中科院計(jì)算所的包云崗研究員對12個知名開源基金會、6個常用的開源協(xié)議、3個代碼托管平臺進(jìn)行了調(diào)研與分析，得出了以下結(jié)論： 第一，不同開源基金會管理對開源項(xiàng)目的管理辦法差異較大。

例如：Linux基金會自身的管理辦法不受美國出口管制，所以旗下的項(xiàng)目包括Linux Kernel等默認(rèn)遵循該管理辦法，但虛擬化項(xiàng)目Xen明確說明遵循美國出口管制，就屬于Linux基金會中的特例。

Apache基金會的管理辦法明確說明遵循美國出口管制，所以它旗下所有項(xiàng)目如Hadoop、Spark都將受到出口管制。

Mozilla基金會明確聲明遵守加州法律，出現(xiàn)各類糾紛將必須到Santa Clara的法庭裁決。

第二，調(diào)研的開源許可協(xié)議族（GPL、LGPL、BSD、MIT、Mozilla、Apache－2．0）均未涉及與政府出口管制無關(guān)的聲明。

第三，調(diào)研的3個代碼托管平臺（GitHub、SourceForge、Google Code）均明確聲明遵守美國出口管制條例，并按加州法律解決糾紛。

總的來說，部分開源基金會管理辦法可以規(guī)避美國出口管制，但如果單就開源平臺、開源許可證或協(xié)議聲明進(jìn)行解讀的話，一切依然存在模糊性。

中國信通院《開源軟件知識產(chǎn)權(quán)風(fēng)險(xiǎn)防控研究報(bào)告（2019）》指出，開源許可協(xié)議是理解開源軟件知識產(chǎn)權(quán)問題的關(guān)鍵所在。

開源許可協(xié)議將特定的權(quán)利賦予用戶，同時(shí)也會規(guī)定用戶使用開源軟件時(shí)必須遵守的約束。

不同的開源許可協(xié)議在著作權(quán)、專利、商標(biāo)等方面的規(guī)定不同，因此帶來的風(fēng)險(xiǎn)也就不同。據(jù)中國信通院2021年《開源生態(tài)白皮書》顯示，開源知識產(chǎn)權(quán)風(fēng)險(xiǎn)主要集中在四個方面： 一是版權(quán)侵權(quán)，不遵守開源許可協(xié)議，導(dǎo)致版權(quán)侵權(quán)；二是專利侵權(quán)風(fēng)險(xiǎn)，開源軟件中包含諸多軟件專利，使用開源軟件未得到軟件專利權(quán)人的專利許可，從而導(dǎo)致專利侵權(quán)；三是商標(biāo)侵權(quán)風(fēng)險(xiǎn)，未經(jīng)許可使用開源軟件的商標(biāo)；四是許可證沖突。 例如：在版權(quán)方面，GPL許可協(xié)議要求演繹作品整體發(fā)布時(shí)必須在GPL許可下進(jìn)行發(fā)布，因此使用GPL許可協(xié)議下的源代碼在軟件再發(fā)布時(shí)風(fēng)險(xiǎn)較大。

但Apache、MIT、BSD等許可協(xié)議則對演繹作品的發(fā)布方式?jīng)]有要求。

在專利方面， GPL－3．0、Apache－2．0明示了專利授權(quán)并有專利報(bào)復(fù)條款，MIT、BSD則無規(guī)定。 在商標(biāo)方面，Apache－2．0對商標(biāo)使用做出限制，規(guī)定用戶必須使用許可證頒發(fā)者的商號、商標(biāo)、服務(wù)標(biāo)記或產(chǎn)品名稱。

因此，在使用開源軟件時(shí)，需要首先找出開源軟件使用的哪個許可協(xié)議以及許可協(xié)議的版本，不同版本的許可協(xié)議可能存在較大差異，仔細(xì)閱讀該版本的開源許可協(xié)議的條款，嚴(yán)格按照條款規(guī)定使用開源軟件。

但事實(shí)上，由于開源許可證類型多樣，復(fù)雜度較高，企業(yè)在使用開源軟件時(shí)會面臨多種挑戰(zhàn)： 一是引入開源軟件的數(shù)量難以準(zhǔn)確統(tǒng)計(jì)，二是開源軟件存在潛在的安全漏洞風(fēng)險(xiǎn)，三是開源協(xié)議許可證缺失或違規(guī)使用，因此建議國內(nèi)企業(yè)加強(qiáng)開源風(fēng)險(xiǎn)治理能力，安全合規(guī)地使用開源軟件。

目前，中國信通院已逐步構(gòu)建了開源治理標(biāo)準(zhǔn)體系，幫助國內(nèi)企業(yè)提升開源風(fēng)險(xiǎn)治理能力。

開源與技術(shù)自主可控

烏俄沖突下的科技制裁，讓國內(nèi)開源界再次敲響了警鐘：中國應(yīng)加快自主創(chuàng)新，確保IT設(shè)施的國產(chǎn)化，自己掌握主動權(quán)。

目前，包括開源在內(nèi)的很多技術(shù)領(lǐng)域，中國還是在向國外學(xué)習(xí)，國內(nèi)開發(fā)者使用的大部分開源代碼、參與貢獻(xiàn)的開源項(xiàng)目都是國外發(fā)起的。

想要減少對他國的依賴，實(shí)現(xiàn)技術(shù)自主可控，中國是應(yīng)該降低開源的參與度，還是應(yīng)該像現(xiàn)在一樣積極擁抱開源？

事實(shí)上，開源已成為全球數(shù)字科技創(chuàng)新的動力，成長為一種強(qiáng)大的技術(shù)創(chuàng)新模式，如今新產(chǎn)品、新架構(gòu)、新平臺在開源，連頂尖的研究成果都以開源形式發(fā)布。

開源從最初的軟件行業(yè)走向了硬件、芯片、視頻、IoT、AI等多個領(lǐng)域，開源的商業(yè)模式也在逐漸成熟。

可以看到，開源作為全球科技進(jìn)步至關(guān)重要的創(chuàng)新模式，其影響力不可低估。不僅富有遠(yuǎn)見的企業(yè)將“擁抱開源”作為提升競爭力的戰(zhàn)略途徑，許多國家也開始有意識地推動開源運(yùn)動發(fā)展。

我國“十四五”規(guī)劃和2035年遠(yuǎn)景目標(biāo)綱要提出，要“支持?jǐn)?shù)字技術(shù)開源社區(qū)等創(chuàng)新聯(lián)合體發(fā)展，完善開源知識產(chǎn)權(quán)和法律體系，鼓勵企業(yè)開放軟件源代碼、硬件設(shè)計(jì)和應(yīng)用服務(wù)”，可見國家層面已高度重視開源的進(jìn)步推動作用。

同時(shí)，國家也已開始研究開源所面臨的安全和可控問題，例如：2018年科技部國家重點(diǎn)研發(fā)項(xiàng)目《云計(jì)算與大數(shù)據(jù)開源社區(qū)生態(tài)系統(tǒng)》下設(shè)子課題——《安全可控開源社區(qū)支撐平臺研發(fā)》，以安全可控開源社區(qū)支撐平臺的研發(fā)為目標(biāo)，建立安全可控的開源社區(qū)支撐平臺，以支持云計(jì)算和大數(shù)據(jù)開源生態(tài)系統(tǒng)的建設(shè)和運(yùn)營。

在開源中國社區(qū)負(fù)責(zé)人、開源中國合伙人李晨看來，開源與自主可控本身并不沖突。

一方面，開源帶來的協(xié)作、創(chuàng)新與人才培養(yǎng)等方面的增益，加速了是自主可控的進(jìn)程。另一方面，開源并不代表不安全，做好版本管理、權(quán)限分配、信息防護(hù)、安全策略等方面的細(xì)致工作，開源一樣是安全的。 同時(shí)，李晨表示，2020－2022年是國家安全可控體系推廣最重要的三年，中國IT產(chǎn)業(yè)從“基礎(chǔ)硬件—基礎(chǔ)軟件—行業(yè)應(yīng)用軟件”有望迎來國產(chǎn)替代潮。

Gitee作為國家開源代碼托管平臺項(xiàng)目牽頭方也在這股浪潮之中活躍，通過本土開源力量讓IT自主可控未雨綢繆。 從長期來看，國內(nèi)構(gòu)建自己的開源生態(tài)勢在必行。 一方面，國內(nèi)已開始成立自己的開源基金會，例如：開放原子開源基金會是我國首家開源基金會，發(fā)起人包括阿里、百度、華為、浪潮、騰訊、360、招行銀行等多家龍頭科技企業(yè)，其業(yè)務(wù)涵蓋開源軟件、開源硬件、開源芯片及開源內(nèi)容等領(lǐng)域。截至2021年6月，該基金會共有10個開源項(xiàng)目。

除了開源基金會外，各類開源組織也在協(xié)同發(fā)展，例如：中國信通院重點(diǎn)依托云計(jì)算開源產(chǎn)業(yè)聯(lián)盟、金融行業(yè)開源技術(shù)應(yīng)用社區(qū)、人工智能產(chǎn)業(yè)發(fā)展聯(lián)盟等，幫助企業(yè)運(yùn)營開源項(xiàng)目。

此外，由中國計(jì)算機(jī)學(xué)會（CCF）成立的開源發(fā)展委員會，由中國電子技術(shù)標(biāo)準(zhǔn)化研究院牽頭的木蘭開源社區(qū)等，都是推動國內(nèi)開源生態(tài)建設(shè)的重要力量。

另一方面，提高中國企業(yè)在全球開源項(xiàng)目的參與度，在開源生態(tài)方面取得更多技術(shù)話語權(quán)。

近幾年中國公司進(jìn)入國際化視野，由中國企業(yè)領(lǐng)導(dǎo)的開源項(xiàng)目越來越多，相關(guān)的根技術(shù)開源社區(qū)也出現(xiàn)了。

據(jù)公開數(shù)據(jù)統(tǒng)計(jì)，我國活躍度較高的開源項(xiàng)目超過半數(shù)來自阿里、華為、騰訊、百度等國內(nèi)互聯(lián)網(wǎng)科技企業(yè)，其中有20個項(xiàng)目捐贈給阿帕奇基金會，有21個項(xiàng)目捐贈給Linux基金會，這意味著中國開源項(xiàng)目的質(zhì)量受到了國際上的認(rèn)可。

在全球開源生態(tài)中取得話語權(quán)，將使得企業(yè)最終實(shí)現(xiàn)立足中國，引領(lǐng)全球的基礎(chǔ)軟件技術(shù)領(lǐng)導(dǎo)力。

結(jié)語

開源的初衷很簡單，大家通過自由地使用、分享、回饋，為世界創(chuàng)造價(jià)值。．

帶著這個美好的初衷，開源走過了幾十年歲月，發(fā)展成為數(shù)字世界的基石。

但自由絕非無代價(jià)，無論是來自國界、技術(shù)還是法律的界限，開源都有其潛在的治理風(fēng)險(xiǎn)，這將是國內(nèi)開源參與者必須面對的重要課題。

【科技云報(bào)道原創(chuàng)】