國際局勢給技術(shù)圈帶來的影響依然在蔓延,。
隨著俄烏戰(zhàn)事推進,美國科技巨頭相繼宣布制裁俄羅斯,。
硬件方面,,英特爾、AMD,、聯(lián)想,、戴爾、蘋果等科技企業(yè)宣布停止對俄羅斯供貨,;軟件方面,,SAP、Oracle等軟件巨頭宣布停止在俄羅斯的產(chǎn)品銷售和服務(wù),。
這意味使用這些巨頭產(chǎn)品的企業(yè),、機構(gòu)業(yè)務(wù)將面臨癱瘓。 與此同時,,開源界也牽扯進俄烏之間沖突的漩渦中,。 3月2日,全球最大的開源及私有軟件項目托管平臺Github官方發(fā)文稱,,會遵守美國政府的相關(guān)規(guī)定,,限制俄羅斯通過Github獲得軍事技術(shù)能力。
除了GitHub,,更多的開源社區(qū)也加入了這場運動,,Node.js、知名前端框架React都在其官網(wǎng)上加入了聲援烏克蘭的標語,。 隨后,,全球最大的獨立開源軟件公司SUSE,、美國開源軟件巨頭紅帽,、主流開源容器引擎Docker,,紛紛宣布停止與俄羅斯的業(yè)務(wù)。
作為開源領(lǐng)域的中流砥柱,,這三家加入封禁陣營的消息,,再次震動了開源界。 覆巢之下復(fù)有完卵乎,,一時間人人感到自危,。
開源社區(qū)一向推崇“自由、平等,、相互尊重”的原則,,開源精神被無數(shù)開發(fā)者奉為圭臬,然而“封鎖”事件的上演,,令國內(nèi)開發(fā)者們開始擔心,,“開源無國界”是不是偽命題?
“禁封”之后,,開源軟件還能用嗎,?更進一步,使用了開源代碼,,是不是就代表技術(shù)無法自主可控,? 本次,【科技云報道】與業(yè)內(nèi)多位高管和專家進行了溝通,,試圖從開源和IT自主可控的角度出發(fā),,撥開迷霧重重的開源領(lǐng)域的一角。
開源的界限
1998年2月,,開源軟件運動悄然興起,。二十多年后的今天,開源已成功走向全球,,無處不在的開源軟件,,構(gòu)建了整個互聯(lián)網(wǎng)的基礎(chǔ)。
在這一過程中,,中國開發(fā)者的角色逐漸由單一的利用開源,,變成了參與甚至是引領(lǐng)開源,開源在中國呈現(xiàn)爆發(fā)式增長態(tài)勢,。
據(jù)Gitee 2020年度報告數(shù)據(jù)指出,,2020年Gitee平臺上開源項目增長率達192%,達到了1500萬,,是2013年至2018年Gitee平臺開源項目的總和,。 同時,,中國開源貢獻者數(shù)量快速增長,在全球貢獻者占比不斷攀升,。
據(jù)Gitee 2020年度報告數(shù)據(jù)指出,,中國在GitHub的貢獻者數(shù)量增長迅速,目前僅次于美國,,數(shù)量位居第二,,并占據(jù)GitHub活躍貢獻者中的14%。
據(jù)GitHub預(yù)測,,到2030年中國開發(fā)者將成為全球最大的開源群體之一,。
由于開源項目允許任何人引入代碼、修改代碼,、造產(chǎn)品以及分享修訂版本,,并帶來良性的創(chuàng)新周期,中國科技界和產(chǎn)業(yè)界從開源軟件中受益極大,。這也使很多人深信“開源無國界”,,沒有一個國家能禁止開源代碼的自由分享。
事實真的如此嗎,?
2017年1月份,,Pastebin網(wǎng)站上出現(xiàn)了這樣一則帖子:Docker在部分國家無法使用,Docker作為一家美國公司,,只能遵守美國在出口管制方面的法規(guī),。
為了努力遵守這些法規(guī),現(xiàn)在阻止位于古巴,、伊朗,、朝鮮、克里米亞共和國,、蘇丹和敘利亞這6個國家的所有IP地址,。 2019年,GitHub出于美國貿(mào)易管制法律要求,,對伊朗,、克里米亞的開發(fā)者用戶進行了限制,甚至是封禁賬號,。 可以看到,,除了開源作者擁有限制他人使用開源代碼的權(quán)利,開源托管平臺和開源商業(yè)公司也不得不以實體的方式,,遵守所在地的法律法規(guī),。
即便國家政策不以黑紙白字的方式嚴格約束,在政治正確,、輿論環(huán)境等多方因素影響下,,開源平臺和開源企業(yè)同樣難以保持中立,。
那么,有“國界”的開源,,是否違背了自由平等的開源精神,?開源代碼到底能不能被“禁封”?
開源中國社區(qū)負責人,、開源中國合伙人李晨認為,,有兩個概念容易被大家混淆:一是項目開源本身,二是公司的開源行為,。
首先,開源在定義里規(guī)定“不得歧視任何個人或團體”,;作為目前主流的一種軟件分發(fā)模式,,任何人都可以參與開源。
“做個不太嚴謹?shù)侠淼谋扔?,姑且把開源叫做‘放水’,,水只要放出來,別人就可以來取用,,任何人都可以完成這個操作,。當然,(開源代碼的作者)也決定是否可以讓他人取水,、取多少水,,因此開源的界限其實是人為劃分的?!?/p>
其次,,開源商業(yè)公司或第三方平臺的行為,與開源“本身”是無關(guān)的,。
例如:GitHub是基于開源的Git項目去做商業(yè)化產(chǎn)品的公司,,而Git并不屬于GitHub,因此GitHub有可能因為法律要求不提供某些地區(qū)的服務(wù),,或禁封自己平臺上的用戶,,但切不斷開發(fā)者使用開源的Git。
不過李晨也表示,,GitHub的一舉一動影響開源生態(tài)是必然的,,畢竟它是全球最大的開源托管平臺。
開源不止于技術(shù)
如今,,開源軟件的代碼量和復(fù)雜度上已遠超當年,,一個開源項目可能會使用或集成多種開源組件,同一個開源項目可能也會有成千上萬的開發(fā)者參與進來,。
正是由于開源的高度開放性,,允許全球無數(shù)開發(fā)者可以不斷復(fù)制,、修改、再開源社區(qū)的源代碼,,這使得本來只是一項技術(shù)運動的開放源代碼運動,,與知識產(chǎn)權(quán)法發(fā)生了密切關(guān)系。
開源軟件的開發(fā)與維護,,往往涉及到眾多不同的主體,,這就涉及到知識產(chǎn)權(quán)的歸屬、許可,、授權(quán)等法律問題,。
而按照國際通行做法,產(chǎn)品知識產(chǎn)權(quán)是受各國出口管制條例管制的,。
那么,,什么樣的開源項目涉及出口管制,可能會遭遇“斷供”的后果,?
2019年,,中科院計算所的包云崗研究員對12個知名開源基金會、6個常用的開源協(xié)議,、3個代碼托管平臺進行了調(diào)研與分析,,得出了以下結(jié)論: 第一,不同開源基金會管理對開源項目的管理辦法差異較大,。
例如:Linux基金會自身的管理辦法不受美國出口管制,,所以旗下的項目包括Linux Kernel等默認遵循該管理辦法,但虛擬化項目Xen明確說明遵循美國出口管制,,就屬于Linux基金會中的特例,。
Apache基金會的管理辦法明確說明遵循美國出口管制,所以它旗下所有項目如Hadoop,、Spark都將受到出口管制,。
Mozilla基金會明確聲明遵守加州法律,出現(xiàn)各類糾紛將必須到Santa Clara的法庭裁決,。
第二,,調(diào)研的開源許可協(xié)議族(GPL、LGPL,、BSD,、MIT、Mozilla,、Apache-2.0)均未涉及與政府出口管制無關(guān)的聲明,。
第三,調(diào)研的3個代碼托管平臺(GitHub,、SourceForge,、Google Code)均明確聲明遵守美國出口管制條例,,并按加州法律解決糾紛。
總的來說,,部分開源基金會管理辦法可以規(guī)避美國出口管制,,但如果單就開源平臺、開源許可證或協(xié)議聲明進行解讀的話,,一切依然存在模糊性,。
中國信通院《開源軟件知識產(chǎn)權(quán)風險防控研究報告(2019)》指出,開源許可協(xié)議是理解開源軟件知識產(chǎn)權(quán)問題的關(guān)鍵所在,。
開源許可協(xié)議將特定的權(quán)利賦予用戶,,同時也會規(guī)定用戶使用開源軟件時必須遵守的約束。
不同的開源許可協(xié)議在著作權(quán),、專利,、商標等方面的規(guī)定不同,因此帶來的風險也就不同,。據(jù)中國信通院2021年《開源生態(tài)白皮書》顯示,開源知識產(chǎn)權(quán)風險主要集中在四個方面: 一是版權(quán)侵權(quán),,不遵守開源許可協(xié)議,,導致版權(quán)侵權(quán);二是專利侵權(quán)風險,,開源軟件中包含諸多軟件專利,,使用開源軟件未得到軟件專利權(quán)人的專利許可,從而導致專利侵權(quán),;三是商標侵權(quán)風險,,未經(jīng)許可使用開源軟件的商標;四是許可證沖突,。 例如:在版權(quán)方面,,GPL許可協(xié)議要求演繹作品整體發(fā)布時必須在GPL許可下進行發(fā)布,因此使用GPL許可協(xié)議下的源代碼在軟件再發(fā)布時風險較大,。
但Apache,、MIT、BSD等許可協(xié)議則對演繹作品的發(fā)布方式?jīng)]有要求,。
在專利方面,, GPL-3.0、Apache-2.0明示了專利授權(quán)并有專利報復(fù)條款,,MIT,、BSD則無規(guī)定。 在商標方面,,Apache-2.0對商標使用做出限制,,規(guī)定用戶必須使用許可證頒發(fā)者的商號,、商標、服務(wù)標記或產(chǎn)品名稱,。
因此,,在使用開源軟件時,需要首先找出開源軟件使用的哪個許可協(xié)議以及許可協(xié)議的版本,,不同版本的許可協(xié)議可能存在較大差異,,仔細閱讀該版本的開源許可協(xié)議的條款,嚴格按照條款規(guī)定使用開源軟件,。
但事實上,,由于開源許可證類型多樣,復(fù)雜度較高,,企業(yè)在使用開源軟件時會面臨多種挑戰(zhàn): 一是引入開源軟件的數(shù)量難以準確統(tǒng)計,,二是開源軟件存在潛在的安全漏洞風險,三是開源協(xié)議許可證缺失或違規(guī)使用,,因此建議國內(nèi)企業(yè)加強開源風險治理能力,,安全合規(guī)地使用開源軟件。
目前,,中國信通院已逐步構(gòu)建了開源治理標準體系,,幫助國內(nèi)企業(yè)提升開源風險治理能力。
開源與技術(shù)自主可控
烏俄沖突下的科技制裁,,讓國內(nèi)開源界再次敲響了警鐘:中國應(yīng)加快自主創(chuàng)新,,確保IT設(shè)施的國產(chǎn)化,自己掌握主動權(quán),。
目前,,包括開源在內(nèi)的很多技術(shù)領(lǐng)域,中國還是在向國外學習,,國內(nèi)開發(fā)者使用的大部分開源代碼,、參與貢獻的開源項目都是國外發(fā)起的。
想要減少對他國的依賴,,實現(xiàn)技術(shù)自主可控,,中國是應(yīng)該降低開源的參與度,還是應(yīng)該像現(xiàn)在一樣積極擁抱開源,?
事實上,,開源已成為全球數(shù)字科技創(chuàng)新的動力,成長為一種強大的技術(shù)創(chuàng)新模式,,如今新產(chǎn)品,、新架構(gòu)、新平臺在開源,連頂尖的研究成果都以開源形式發(fā)布,。
開源從最初的軟件行業(yè)走向了硬件,、芯片、視頻,、IoT,、AI等多個領(lǐng)域,開源的商業(yè)模式也在逐漸成熟,。
可以看到,,開源作為全球科技進步至關(guān)重要的創(chuàng)新模式,其影響力不可低估,。不僅富有遠見的企業(yè)將“擁抱開源”作為提升競爭力的戰(zhàn)略途徑,,許多國家也開始有意識地推動開源運動發(fā)展。
我國“十四五”規(guī)劃和2035年遠景目標綱要提出,,要“支持數(shù)字技術(shù)開源社區(qū)等創(chuàng)新聯(lián)合體發(fā)展,,完善開源知識產(chǎn)權(quán)和法律體系,鼓勵企業(yè)開放軟件源代碼,、硬件設(shè)計和應(yīng)用服務(wù)”,,可見國家層面已高度重視開源的進步推動作用。
同時,,國家也已開始研究開源所面臨的安全和可控問題,,例如:2018年科技部國家重點研發(fā)項目《云計算與大數(shù)據(jù)開源社區(qū)生態(tài)系統(tǒng)》下設(shè)子課題——《安全可控開源社區(qū)支撐平臺研發(fā)》,以安全可控開源社區(qū)支撐平臺的研發(fā)為目標,,建立安全可控的開源社區(qū)支撐平臺,以支持云計算和大數(shù)據(jù)開源生態(tài)系統(tǒng)的建設(shè)和運營,。
在開源中國社區(qū)負責人,、開源中國合伙人李晨看來,開源與自主可控本身并不沖突,。
一方面,,開源帶來的協(xié)作、創(chuàng)新與人才培養(yǎng)等方面的增益,,加速了是自主可控的進程,。另一方面,開源并不代表不安全,,做好版本管理,、權(quán)限分配、信息防護,、安全策略等方面的細致工作,,開源一樣是安全的。 同時,,李晨表示,,2020-2022年是國家安全可控體系推廣最重要的三年,,中國IT產(chǎn)業(yè)從“基礎(chǔ)硬件—基礎(chǔ)軟件—行業(yè)應(yīng)用軟件”有望迎來國產(chǎn)替代潮。
Gitee作為國家開源代碼托管平臺項目牽頭方也在這股浪潮之中活躍,,通過本土開源力量讓IT自主可控未雨綢繆,。 從長期來看,國內(nèi)構(gòu)建自己的開源生態(tài)勢在必行,。 一方面,,國內(nèi)已開始成立自己的開源基金會,例如:開放原子開源基金會是我國首家開源基金會,,發(fā)起人包括阿里,、百度、華為,、浪潮,、騰訊、360,、招行銀行等多家龍頭科技企業(yè),,其業(yè)務(wù)涵蓋開源軟件、開源硬件,、開源芯片及開源內(nèi)容等領(lǐng)域,。截至2021年6月,該基金會共有10個開源項目,。
除了開源基金會外,,各類開源組織也在協(xié)同發(fā)展,例如:中國信通院重點依托云計算開源產(chǎn)業(yè)聯(lián)盟,、金融行業(yè)開源技術(shù)應(yīng)用社區(qū),、人工智能產(chǎn)業(yè)發(fā)展聯(lián)盟等,幫助企業(yè)運營開源項目,。
此外,,由中國計算機學會(CCF)成立的開源發(fā)展委員會,由中國電子技術(shù)標準化研究院牽頭的木蘭開源社區(qū)等,,都是推動國內(nèi)開源生態(tài)建設(shè)的重要力量,。
另一方面,提高中國企業(yè)在全球開源項目的參與度,,在開源生態(tài)方面取得更多技術(shù)話語權(quán),。
近幾年中國公司進入國際化視野,由中國企業(yè)領(lǐng)導的開源項目越來越多,,相關(guān)的根技術(shù)開源社區(qū)也出現(xiàn)了,。
據(jù)公開數(shù)據(jù)統(tǒng)計,我國活躍度較高的開源項目超過半數(shù)來自阿里、華為,、騰訊,、百度等國內(nèi)互聯(lián)網(wǎng)科技企業(yè),其中有20個項目捐贈給阿帕奇基金會,,有21個項目捐贈給Linux基金會,,這意味著中國開源項目的質(zhì)量受到了國際上的認可。
在全球開源生態(tài)中取得話語權(quán),,將使得企業(yè)最終實現(xiàn)立足中國,,引領(lǐng)全球的基礎(chǔ)軟件技術(shù)領(lǐng)導力。
結(jié)語
開源的初衷很簡單,,大家通過自由地使用,、分享、回饋,,為世界創(chuàng)造價值,。.
帶著這個美好的初衷,開源走過了幾十年歲月,,發(fā)展成為數(shù)字世界的基石,。
但自由絕非無代價,無論是來自國界,、技術(shù)還是法律的界限,,開源都有其潛在的治理風險,這將是國內(nèi)開源參與者必須面對的重要課題,。
【科技云報道原創(chuàng)】