國際局勢(shì)給技術(shù)圈帶來的影響依然在蔓延,。

隨著俄烏戰(zhàn)事推進(jìn)，美國科技巨頭相繼宣布制裁俄羅斯,。

硬件方面,，英特爾、AMD,、聯(lián)想,、戴爾、蘋果等科技企業(yè)宣布停止對(duì)俄羅斯供貨,；軟件方面,，SAP、Oracle等軟件巨頭宣布停止在俄羅斯的產(chǎn)品銷售和服務(wù),。

這意味使用這些巨頭產(chǎn)品的企業(yè),、機(jī)構(gòu)業(yè)務(wù)將面臨癱瘓。 與此同時(shí),，開源界也牽扯進(jìn)俄烏之間沖突的漩渦中,。 3月2日，全球最大的開源及私有軟件項(xiàng)目托管平臺(tái)Github官方發(fā)文稱,，會(huì)遵守美國政府的相關(guān)規(guī)定,，限制俄羅斯通過Github獲得軍事技術(shù)能力。

除了GitHub,，更多的開源社區(qū)也加入了這場(chǎng)運(yùn)動(dòng),，Node．js、知名前端框架React都在其官網(wǎng)上加入了聲援烏克蘭的標(biāo)語,。 隨后,，全球最大的獨(dú)立開源軟件公司SUSE、美國開源軟件巨頭紅帽,、主流開源容器引擎Docker,，紛紛宣布停止與俄羅斯的業(yè)務(wù)。

作為開源領(lǐng)域的中流砥柱，這三家加入封禁陣營的消息,，再次震動(dòng)了開源界,。 覆巢之下復(fù)有完卵乎，一時(shí)間人人感到自危,。

開源社區(qū)一向推崇“自由,、平等、相互尊重”的原則,，開源精神被無數(shù)開發(fā)者奉為圭臬,，然而“封鎖”事件的上演，令國內(nèi)開發(fā)者們開始擔(dān)心,，“開源無國界”是不是偽命題,？

“禁封”之后，開源軟件還能用嗎,？更進(jìn)一步,，使用了開源代碼，是不是就代表技術(shù)無法自主可控,？ 本次,，【科技云報(bào)道】與業(yè)內(nèi)多位高管和專家進(jìn)行了溝通，試圖從開源和IT自主可控的角度出發(fā),，撥開迷霧重重的開源領(lǐng)域的一角,。

開源的界限

1998年2月，開源軟件運(yùn)動(dòng)悄然興起,。二十多年后的今天,，開源已成功走向全球，無處不在的開源軟件,，構(gòu)建了整個(gè)互聯(lián)網(wǎng)的基礎(chǔ),。

在這一過程中，中國開發(fā)者的角色逐漸由單一的利用開源,，變成了參與甚至是引領(lǐng)開源,，開源在中國呈現(xiàn)爆發(fā)式增長態(tài)勢(shì)。

據(jù)Gitee 2020年度報(bào)告數(shù)據(jù)指出,，2020年Gitee平臺(tái)上開源項(xiàng)目增長率達(dá)192％,，達(dá)到了1500萬，是2013年至2018年Gitee平臺(tái)開源項(xiàng)目的總和,。 同時(shí),，中國開源貢獻(xiàn)者數(shù)量快速增長，在全球貢獻(xiàn)者占比不斷攀升,。

據(jù)Gitee 2020年度報(bào)告數(shù)據(jù)指出,，中國在GitHub的貢獻(xiàn)者數(shù)量增長迅速,，目前僅次于美國，數(shù)量位居第二,，并占據(jù)GitHub活躍貢獻(xiàn)者中的14％,。

據(jù)GitHub預(yù)測(cè)，到2030年中國開發(fā)者將成為全球最大的開源群體之一,。

由于開源項(xiàng)目允許任何人引入代碼,、修改代碼、造產(chǎn)品以及分享修訂版本,，并帶來良性的創(chuàng)新周期,，中國科技界和產(chǎn)業(yè)界從開源軟件中受益極大。這也使很多人深信“開源無國界”,，沒有一個(gè)國家能禁止開源代碼的自由分享,。

事實(shí)真的如此嗎？

2017年1月份,，Pastebin網(wǎng)站上出現(xiàn)了這樣一則帖子：Docker在部分國家無法使用,，Docker作為一家美國公司，只能遵守美國在出口管制方面的法規(guī),。

為了努力遵守這些法規(guī)，現(xiàn)在阻止位于古巴,、伊朗,、朝鮮、克里米亞共和國,、蘇丹和敘利亞這6個(gè)國家的所有IP地址,。 2019年，GitHub出于美國貿(mào)易管制法律要求,，對(duì)伊朗,、克里米亞的開發(fā)者用戶進(jìn)行了限制，甚至是封禁賬號(hào),。 可以看到,，除了開源作者擁有限制他人使用開源代碼的權(quán)利，開源托管平臺(tái)和開源商業(yè)公司也不得不以實(shí)體的方式,，遵守所在地的法律法規(guī),。

即便國家政策不以黑紙白字的方式嚴(yán)格約束，在政治正確,、輿論環(huán)境等多方因素影響下,，開源平臺(tái)和開源企業(yè)同樣難以保持中立。

那么,，有“國界”的開源,，是否違背了自由平等的開源精神,？開源代碼到底能不能被“禁封”？

開源中國社區(qū)負(fù)責(zé)人,、開源中國合伙人李晨認(rèn)為,，有兩個(gè)概念容易被大家混淆：一是項(xiàng)目開源本身，二是公司的開源行為,。

首先,，開源在定義里規(guī)定“不得歧視任何個(gè)人或團(tuán)體”；作為目前主流的一種軟件分發(fā)模式,，任何人都可以參與開源,。

“做個(gè)不太嚴(yán)謹(jǐn)?shù)侠淼谋扔鳎们野验_源叫做‘放水’,，水只要放出來,，別人就可以來取用，任何人都可以完成這個(gè)操作,。當(dāng)然,，（開源代碼的作者）也決定是否可以讓他人取水、取多少水,，因此開源的界限其實(shí)是人為劃分的,。”

其次,，開源商業(yè)公司或第三方平臺(tái)的行為,，與開源“本身”是無關(guān)的。

例如：GitHub是基于開源的Git項(xiàng)目去做商業(yè)化產(chǎn)品的公司,，而Git并不屬于GitHub,，因此GitHub有可能因?yàn)榉梢蟛惶峁┠承┑貐^(qū)的服務(wù)，或禁封自己平臺(tái)上的用戶,，但切不斷開發(fā)者使用開源的Git,。

不過李晨也表示，GitHub的一舉一動(dòng)影響開源生態(tài)是必然的,，畢竟它是全球最大的開源托管平臺(tái),。

開源不止于技術(shù)

如今，開源軟件的代碼量和復(fù)雜度上已遠(yuǎn)超當(dāng)年,，一個(gè)開源項(xiàng)目可能會(huì)使用或集成多種開源組件,，同一個(gè)開源項(xiàng)目可能也會(huì)有成千上萬的開發(fā)者參與進(jìn)來。

正是由于開源的高度開放性,，允許全球無數(shù)開發(fā)者可以不斷復(fù)制,、修改、再開源社區(qū)的源代碼,，這使得本來只是一項(xiàng)技術(shù)運(yùn)動(dòng)的開放源代碼運(yùn)動(dòng),，與知識(shí)產(chǎn)權(quán)法發(fā)生了密切關(guān)系,。

開源軟件的開發(fā)與維護(hù)，往往涉及到眾多不同的主體,，這就涉及到知識(shí)產(chǎn)權(quán)的歸屬,、許可、授權(quán)等法律問題,。

而按照國際通行做法,，產(chǎn)品知識(shí)產(chǎn)權(quán)是受各國出口管制條例管制的。

那么,，什么樣的開源項(xiàng)目涉及出口管制,，可能會(huì)遭遇“斷供”的后果？

2019年,，中科院計(jì)算所的包云崗研究員對(duì)12個(gè)知名開源基金會(huì),、6個(gè)常用的開源協(xié)議、3個(gè)代碼托管平臺(tái)進(jìn)行了調(diào)研與分析,，得出了以下結(jié)論： 第一,，不同開源基金會(huì)管理對(duì)開源項(xiàng)目的管理辦法差異較大。

例如：Linux基金會(huì)自身的管理辦法不受美國出口管制,，所以旗下的項(xiàng)目包括Linux Kernel等默認(rèn)遵循該管理辦法,，但虛擬化項(xiàng)目Xen明確說明遵循美國出口管制，就屬于Linux基金會(huì)中的特例,。

Apache基金會(huì)的管理辦法明確說明遵循美國出口管制,，所以它旗下所有項(xiàng)目如Hadoop、Spark都將受到出口管制,。

Mozilla基金會(huì)明確聲明遵守加州法律，出現(xiàn)各類糾紛將必須到Santa Clara的法庭裁決,。

第二,，調(diào)研的開源許可協(xié)議族（GPL、LGPL,、BSD,、MIT、Mozilla,、Apache－2．0）均未涉及與政府出口管制無關(guān)的聲明,。

第三，調(diào)研的3個(gè)代碼托管平臺(tái)（GitHub,、SourceForge,、Google Code）均明確聲明遵守美國出口管制條例，并按加州法律解決糾紛,。

總的來說,，部分開源基金會(huì)管理辦法可以規(guī)避美國出口管制,，但如果單就開源平臺(tái)、開源許可證或協(xié)議聲明進(jìn)行解讀的話,，一切依然存在模糊性,。

中國信通院《開源軟件知識(shí)產(chǎn)權(quán)風(fēng)險(xiǎn)防控研究報(bào)告（2019）》指出，開源許可協(xié)議是理解開源軟件知識(shí)產(chǎn)權(quán)問題的關(guān)鍵所在,。

開源許可協(xié)議將特定的權(quán)利賦予用戶,，同時(shí)也會(huì)規(guī)定用戶使用開源軟件時(shí)必須遵守的約束。

不同的開源許可協(xié)議在著作權(quán),、專利,、商標(biāo)等方面的規(guī)定不同，因此帶來的風(fēng)險(xiǎn)也就不同,。據(jù)中國信通院2021年《開源生態(tài)白皮書》顯示,，開源知識(shí)產(chǎn)權(quán)風(fēng)險(xiǎn)主要集中在四個(gè)方面： 一是版權(quán)侵權(quán)，不遵守開源許可協(xié)議,，導(dǎo)致版權(quán)侵權(quán),；二是專利侵權(quán)風(fēng)險(xiǎn)，開源軟件中包含諸多軟件專利,，使用開源軟件未得到軟件專利權(quán)人的專利許可,，從而導(dǎo)致專利侵權(quán)；三是商標(biāo)侵權(quán)風(fēng)險(xiǎn),，未經(jīng)許可使用開源軟件的商標(biāo),；四是許可證沖突。 例如：在版權(quán)方面,，GPL許可協(xié)議要求演繹作品整體發(fā)布時(shí)必須在GPL許可下進(jìn)行發(fā)布,，因此使用GPL許可協(xié)議下的源代碼在軟件再發(fā)布時(shí)風(fēng)險(xiǎn)較大。

但Apache,、MIT,、BSD等許可協(xié)議則對(duì)演繹作品的發(fā)布方式?jīng)]有要求。

在專利方面,， GPL－3．0,、Apache－2．0明示了專利授權(quán)并有專利報(bào)復(fù)條款，MIT,、BSD則無規(guī)定,。 在商標(biāo)方面，Apache－2．0對(duì)商標(biāo)使用做出限制,，規(guī)定用戶必須使用許可證頒發(fā)者的商號(hào),、商標(biāo)、服務(wù)標(biāo)記或產(chǎn)品名稱,。

因此,，在使用開源軟件時(shí),，需要首先找出開源軟件使用的哪個(gè)許可協(xié)議以及許可協(xié)議的版本，不同版本的許可協(xié)議可能存在較大差異,，仔細(xì)閱讀該版本的開源許可協(xié)議的條款,，嚴(yán)格按照條款規(guī)定使用開源軟件。

但事實(shí)上,，由于開源許可證類型多樣,，復(fù)雜度較高，企業(yè)在使用開源軟件時(shí)會(huì)面臨多種挑戰(zhàn)： 一是引入開源軟件的數(shù)量難以準(zhǔn)確統(tǒng)計(jì),，二是開源軟件存在潛在的安全漏洞風(fēng)險(xiǎn),，三是開源協(xié)議許可證缺失或違規(guī)使用，因此建議國內(nèi)企業(yè)加強(qiáng)開源風(fēng)險(xiǎn)治理能力,，安全合規(guī)地使用開源軟件,。

目前，中國信通院已逐步構(gòu)建了開源治理標(biāo)準(zhǔn)體系,，幫助國內(nèi)企業(yè)提升開源風(fēng)險(xiǎn)治理能力,。

開源與技術(shù)自主可控

烏俄沖突下的科技制裁，讓國內(nèi)開源界再次敲響了警鐘：中國應(yīng)加快自主創(chuàng)新,，確保IT設(shè)施的國產(chǎn)化,，自己掌握主動(dòng)權(quán)。

目前,，包括開源在內(nèi)的很多技術(shù)領(lǐng)域,，中國還是在向國外學(xué)習(xí)，國內(nèi)開發(fā)者使用的大部分開源代碼,、參與貢獻(xiàn)的開源項(xiàng)目都是國外發(fā)起的,。

想要減少對(duì)他國的依賴，實(shí)現(xiàn)技術(shù)自主可控,，中國是應(yīng)該降低開源的參與度,，還是應(yīng)該像現(xiàn)在一樣積極擁抱開源？

事實(shí)上,，開源已成為全球數(shù)字科技創(chuàng)新的動(dòng)力，成長為一種強(qiáng)大的技術(shù)創(chuàng)新模式,，如今新產(chǎn)品,、新架構(gòu)、新平臺(tái)在開源,，連頂尖的研究成果都以開源形式發(fā)布,。

開源從最初的軟件行業(yè)走向了硬件、芯片,、視頻,、IoT,、AI等多個(gè)領(lǐng)域，開源的商業(yè)模式也在逐漸成熟,。

可以看到,，開源作為全球科技進(jìn)步至關(guān)重要的創(chuàng)新模式，其影響力不可低估,。不僅富有遠(yuǎn)見的企業(yè)將“擁抱開源”作為提升競爭力的戰(zhàn)略途徑,，許多國家也開始有意識(shí)地推動(dòng)開源運(yùn)動(dòng)發(fā)展。

我國“十四五”規(guī)劃和2035年遠(yuǎn)景目標(biāo)綱要提出,，要“支持?jǐn)?shù)字技術(shù)開源社區(qū)等創(chuàng)新聯(lián)合體發(fā)展,，完善開源知識(shí)產(chǎn)權(quán)和法律體系，鼓勵(lì)企業(yè)開放軟件源代碼,、硬件設(shè)計(jì)和應(yīng)用服務(wù)”,，可見國家層面已高度重視開源的進(jìn)步推動(dòng)作用。

同時(shí),，國家也已開始研究開源所面臨的安全和可控問題,，例如：2018年科技部國家重點(diǎn)研發(fā)項(xiàng)目《云計(jì)算與大數(shù)據(jù)開源社區(qū)生態(tài)系統(tǒng)》下設(shè)子課題——《安全可控開源社區(qū)支撐平臺(tái)研發(fā)》，以安全可控開源社區(qū)支撐平臺(tái)的研發(fā)為目標(biāo),，建立安全可控的開源社區(qū)支撐平臺(tái),，以支持云計(jì)算和大數(shù)據(jù)開源生態(tài)系統(tǒng)的建設(shè)和運(yùn)營。

在開源中國社區(qū)負(fù)責(zé)人,、開源中國合伙人李晨看來,，開源與自主可控本身并不沖突。

一方面,，開源帶來的協(xié)作,、創(chuàng)新與人才培養(yǎng)等方面的增益，加速了是自主可控的進(jìn)程,。另一方面,，開源并不代表不安全，做好版本管理,、權(quán)限分配,、信息防護(hù)、安全策略等方面的細(xì)致工作,，開源一樣是安全的,。 同時(shí)，李晨表示,，2020－2022年是國家安全可控體系推廣最重要的三年,，中國IT產(chǎn)業(yè)從“基礎(chǔ)硬件—基礎(chǔ)軟件—行業(yè)應(yīng)用軟件”有望迎來國產(chǎn)替代潮。

Gitee作為國家開源代碼托管平臺(tái)項(xiàng)目牽頭方也在這股浪潮之中活躍，通過本土開源力量讓IT自主可控未雨綢繆,。 從長期來看,，國內(nèi)構(gòu)建自己的開源生態(tài)勢(shì)在必行。 一方面,，國內(nèi)已開始成立自己的開源基金會(huì),，例如：開放原子開源基金會(huì)是我國首家開源基金會(huì)，發(fā)起人包括阿里,、百度,、華為、浪潮,、騰訊,、360、招行銀行等多家龍頭科技企業(yè),，其業(yè)務(wù)涵蓋開源軟件,、開源硬件、開源芯片及開源內(nèi)容等領(lǐng)域,。截至2021年6月,，該基金會(huì)共有10個(gè)開源項(xiàng)目。

除了開源基金會(huì)外,，各類開源組織也在協(xié)同發(fā)展,，例如：中國信通院重點(diǎn)依托云計(jì)算開源產(chǎn)業(yè)聯(lián)盟、金融行業(yè)開源技術(shù)應(yīng)用社區(qū),、人工智能產(chǎn)業(yè)發(fā)展聯(lián)盟等,，幫助企業(yè)運(yùn)營開源項(xiàng)目。

此外,，由中國計(jì)算機(jī)學(xué)會(huì)（CCF）成立的開源發(fā)展委員會(huì),，由中國電子技術(shù)標(biāo)準(zhǔn)化研究院牽頭的木蘭開源社區(qū)等，都是推動(dòng)國內(nèi)開源生態(tài)建設(shè)的重要力量,。

另一方面,，提高中國企業(yè)在全球開源項(xiàng)目的參與度，在開源生態(tài)方面取得更多技術(shù)話語權(quán),。

近幾年中國公司進(jìn)入國際化視野,，由中國企業(yè)領(lǐng)導(dǎo)的開源項(xiàng)目越來越多，相關(guān)的根技術(shù)開源社區(qū)也出現(xiàn)了,。

據(jù)公開數(shù)據(jù)統(tǒng)計(jì),，我國活躍度較高的開源項(xiàng)目超過半數(shù)來自阿里、華為,、騰訊、百度等國內(nèi)互聯(lián)網(wǎng)科技企業(yè),，其中有20個(gè)項(xiàng)目捐贈(zèng)給阿帕奇基金會(huì),，有21個(gè)項(xiàng)目捐贈(zèng)給Linux基金會(huì),，這意味著中國開源項(xiàng)目的質(zhì)量受到了國際上的認(rèn)可。

在全球開源生態(tài)中取得話語權(quán),，將使得企業(yè)最終實(shí)現(xiàn)立足中國,，引領(lǐng)全球的基礎(chǔ)軟件技術(shù)領(lǐng)導(dǎo)力。

結(jié)語

開源的初衷很簡單,，大家通過自由地使用,、分享、回饋,，為世界創(chuàng)造價(jià)值,。．

帶著這個(gè)美好的初衷，開源走過了幾十年歲月,，發(fā)展成為數(shù)字世界的基石,。

但自由絕非無代價(jià)，無論是來自國界,、技術(shù)還是法律的界限,，開源都有其潛在的治理風(fēng)險(xiǎn)，這將是國內(nèi)開源參與者必須面對(duì)的重要課題,。

【科技云報(bào)道原創(chuàng)】