國際局勢給技術圈帶來的影響依然在蔓延。

隨著俄烏戰事推進，美國科技巨頭相繼宣布制裁俄羅斯。

硬件方面，英特爾、AMD、聯想、戴爾、蘋果等科技企業宣布停止對俄羅斯供貨；軟件方面，SAP、Oracle等軟件巨頭宣布停止在俄羅斯的產品銷售和服務。

這意味使用這些巨頭產品的企業、機構業務將面臨癱瘓。

 

與此同時，開源界也牽扯進俄烏之間沖突的漩渦中。

 

3月2日，全球最大的開源及私有軟件項目托管平臺Github官方發文稱，會遵守美國政府的相關規定，限制俄羅斯通過Github獲得軍事技術能力。

除了GitHub，更多的開源社區也加入了這場運動，Node.js、知名前端框架React都在其官網上加入了聲援烏克蘭的標語。

 

隨后，全球最大的獨立開源軟件公司SUSE、美國開源軟件巨頭紅帽、主流開源容器引擎Docker，紛紛宣布停止與俄羅斯的業務。

作為開源領域的中流砥柱，這三家加入封禁陣營的消息，再次震動了開源界。

 

覆巢之下復有完卵乎，一時間人人感到自危。

開源社區一向推崇“自由、平等、相互尊重”的原則，開源精神被無數開發者奉為圭臬，然而“封鎖”事件的上演，令國內開發者們開始擔心，“開源無國界”是不是偽命題？

“禁封”之后，開源軟件還能用嗎？更進一步，使用了開源代碼，是不是就代表技術無法自主可控？

 

本次，【科技云報道】與業內多位高管和專家進行了溝通，試圖從開源和IT自主可控的角度出發，撥開迷霧重重的開源領域的一角。

 

1998年2月，開源軟件運動悄然興起。二十多年后的今天，開源已成功走向全球，無處不在的開源軟件，構建了整個互聯網的基礎。

 

在這一過程中，中國開發者的角色逐漸由單一的利用開源，變成了參與甚至是引領開源，開源在中國呈現爆發式增長態勢。

 

據Gitee 2020年度報告數據指出，2020年Gitee平臺上開源項目增長率達192%，達到了1500萬，是2013年至2018年Gitee平臺開源項目的總和。

 

同時，中國開源貢獻者數量快速增長，在全球貢獻者占比不斷攀升。

據Gitee 2020年度報告數據指出，中國在GitHub的貢獻者數量增長迅速，目前僅次于美國，數量位居第二，并占據GitHub活躍貢獻者中的14%。

據GitHub預測，到2030年中國開發者將成為全球最大的開源群體之一。

 

由于開源項目允許任何人引入代碼、修改代碼、造產品以及分享修訂版本，并帶來良性的創新周期，中國科技界和產業界從開源軟件中受益極大。這也使很多人深信“開源無國界”，沒有一個國家能禁止開源代碼的自由分享。

 

事實真的如此嗎？

 

2017年1月份，Pastebin網站上出現了這樣一則帖子：Docker在部分國家無法使用，Docker作為一家美國公司，只能遵守美國在出口管制方面的法規。

為了努力遵守這些法規，現在阻止位于古巴、伊朗、朝鮮、克里米亞共和國、蘇丹和敘利亞這6個國家的所有IP地址。

 

2019年，GitHub出于美國貿易管制法律要求，對伊朗、克里米亞的開發者用戶進行了限制，甚至是封禁賬號。

 

可以看到，除了開源作者擁有限制他人使用開源代碼的權利，開源托管平臺和開源商業公司也不得不以實體的方式，遵守所在地的法律法規。

即便國家政策不以黑紙白字的方式嚴格約束，在政治正確、輿論環境等多方因素影響下，開源平臺和開源企業同樣難以保持中立。

 

那么，有“國界”的開源，是否違背了自由平等的開源精神？開源代碼到底能不能被“禁封”？

 

開源中國社區負責人、開源中國合伙人李晨認為，有兩個概念容易被大家混淆：一是項目開源本身，二是公司的開源行為。

 

首先，開源在定義里規定“不得歧視任何個人或團體”；作為目前主流的一種軟件分發模式，任何人都可以參與開源。

“做個不太嚴謹但合理的比喻，姑且把開源叫做‘放水’，水只要放出來，別人就可以來取用，任何人都可以完成這個操作。當然，（開源代碼的作者）也決定是否可以讓他人取水、取多少水，因此開源的界限其實是人為劃分的。”

 

其次，開源商業公司或第三方平臺的行為，與開源“本身”是無關的。

例如：GitHub是基于開源的Git項目去做商業化產品的公司，而Git并不屬于GitHub，因此GitHub有可能因為法律要求不提供某些地區的服務，或禁封自己平臺上的用戶，但切不斷開發者使用開源的Git。

不過李晨也表示，GitHub的一舉一動影響開源生態是必然的，畢竟它是全球最大的開源托管平臺。

 

 

如今，開源軟件的代碼量和復雜度上已遠超當年，一個開源項目可能會使用或集成多種開源組件，同一個開源項目可能也會有成千上萬的開發者參與進來。

 

正是由于開源的高度開放性，允許全球無數開發者可以不斷復制、修改、再開源社區的源代碼，這使得本來只是一項技術運動的開放源代碼運動，與知識產權法發生了密切關系。

 

開源軟件的開發與維護，往往涉及到眾多不同的主體，這就涉及到知識產權的歸屬、許可、授權等法律問題。

而按照國際通行做法，產品知識產權是受各國出口管制條例管制的。

 

那么，什么樣的開源項目涉及出口管制，可能會遭遇“斷供”的后果？

 

2019年，中科院計算所的包云崗研究員對12個知名開源基金會、6個常用的開源協議、3個代碼托管平臺進行了調研與分析，得出了以下結論：

 

第一，不同開源基金會管理對開源項目的管理辦法差異較大。

 

例如：Linux基金會自身的管理辦法不受美國出口管制，所以旗下的項目包括Linux Kernel等默認遵循該管理辦法，但虛擬化項目Xen明確說明遵循美國出口管制，就屬于Linux基金會中的特例。

 

Apache基金會的管理辦法明確說明遵循美國出口管制，所以它旗下所有項目如Hadoop、Spark都將受到出口管制。

 

Mozilla基金會明確聲明遵守加州法律，出現各類糾紛將必須到Santa Clara的法庭裁決。

 

第二，調研的開源許可協議族（GPL、LGPL、BSD、MIT、Mozilla、Apache-2.0）均未涉及與政府出口管制無關的聲明。

 

第三，調研的3個代碼托管平臺（GitHub、SourceForge、Google Code）均明確聲明遵守美國出口管制條例，并按加州法律解決糾紛。

 

總的來說，部分開源基金會管理辦法可以規避美國出口管制，但如果單就開源平臺、開源許可證或協議聲明進行解讀的話，一切依然存在模糊性。

 

中國信通院《開源軟件知識產權風險防控研究報告（2019）》指出，開源許可協議是理解開源軟件知識產權問題的關鍵所在。

開源許可協議將特定的權利賦予用戶，同時也會規定用戶使用開源軟件時必須遵守的約束。

 

不同的開源許可協議在著作權、專利、商標等方面的規定不同，因此帶來的風險也就不同。據中國信通院2021年《開源生態白皮書》顯示，開源知識產權風險主要集中在四個方面：

 

一是版權侵權，不遵守開源許可協議，導致版權侵權；二是專利侵權風險，開源軟件中包含諸多軟件專利，使用開源軟件未得到軟件專利權人的專利許可，從而導致專利侵權；三是商標侵權風險，未經許可使用開源軟件的商標；四是許可證沖突。

 

例如：在版權方面，GPL許可協議要求演繹作品整體發布時必須在GPL許可下進行發布，因此使用GPL許可協議下的源代碼在軟件再發布時風險較大。

但Apache、MIT、BSD等許可協議則對演繹作品的發布方式沒有要求。

 

在專利方面， GPL-3.0、Apache-2.0明示了專利授權并有專利報復條款，MIT、BSD則無規定。

 

在商標方面，Apache-2.0對商標使用做出限制，規定用戶必須使用許可證頒發者的商號、商標、服務標記或產品名稱。

 

因此，在使用開源軟件時，需要首先找出開源軟件使用的哪個許可協議以及許可協議的版本，不同版本的許可協議可能存在較大差異，仔細閱讀該版本的開源許可協議的條款，嚴格按照條款規定使用開源軟件。

 

但事實上，由于開源許可證類型多樣，復雜度較高，企業在使用開源軟件時會面臨多種挑戰：

 

一是引入開源軟件的數量難以準確統計，二是開源軟件存在潛在的安全漏洞風險，三是開源協議許可證缺失或違規使用，因此建議國內企業加強開源風險治理能力，安全合規地使用開源軟件。

目前，中國信通院已逐步構建了開源治理標準體系，幫助國內企業提升開源風險治理能力。

 

 

烏俄沖突下的科技制裁，讓國內開源界再次敲響了警鐘：中國應加快自主創新，確保IT設施的國產化，自己掌握主動權。

 

目前，包括開源在內的很多技術領域，中國還是在向國外學習，國內開發者使用的大部分開源代碼、參與貢獻的開源項目都是國外發起的。

想要減少對他國的依賴，實現技術自主可控，中國是應該降低開源的參與度，還是應該像現在一樣積極擁抱開源？

 

事實上，開源已成為全球數字科技創新的動力，成長為一種強大的技術創新模式，如今新產品、新架構、新平臺在開源，連頂尖的研究成果都以開源形式發布。

開源從最初的軟件行業走向了硬件、芯片、視頻、IoT、AI等多個領域，開源的商業模式也在逐漸成熟。

 

可以看到，開源作為全球科技進步至關重要的創新模式，其影響力不可低估。不僅富有遠見的企業將“擁抱開源”作為提升競爭力的戰略途徑，許多國家也開始有意識地推動開源運動發展。

 

我國“十四五”規劃和2035年遠景目標綱要提出，要“支持數字技術開源社區等創新聯合體發展，完善開源知識產權和法律體系，鼓勵企業開放軟件源代碼、硬件設計和應用服務”，可見國家層面已高度重視開源的進步推動作用。

 

同時，國家也已開始研究開源所面臨的安全和可控問題，例如：2018年科技部國家重點研發項目《云計算與大數據開源社區生態系統》下設子課題——《安全可控開源社區支撐平臺研發》，以安全可控開源社區支撐平臺的研發為目標，建立安全可控的開源社區支撐平臺，以支持云計算和大數據開源生態系統的建設和運營。

 

在開源中國社區負責人、開源中國合伙人李晨看來，開源與自主可控本身并不沖突。

一方面，開源帶來的協作、創新與人才培養等方面的增益，加速了是自主可控的進程。另一方面，開源并不代表不安全，做好版本管理、權限分配、信息防護、安全策略等方面的細致工作，開源一樣是安全的。

 

同時，李晨表示，2020-2022年是國家安全可控體系推廣最重要的三年，中國IT產業從“基礎硬件—基礎軟件—行業應用軟件”有望迎來國產替代潮。

Gitee作為國家開源代碼托管平臺項目牽頭方也在這股浪潮之中活躍，通過本土開源力量讓IT自主可控未雨綢繆。

 

從長期來看，國內構建自己的開源生態勢在必行。

 

一方面，國內已開始成立自己的開源基金會，例如：開放原子開源基金會是我國首家開源基金會，發起人包括阿里、百度、華為、浪潮、騰訊、360、招行銀行等多家龍頭科技企業，其業務涵蓋開源軟件、開源硬件、開源芯片及開源內容等領域。截至2021年6月，該基金會共有10個開源項目。

 

除了開源基金會外，各類開源組織也在協同發展，例如：中國信通院重點依托云計算開源產業聯盟、金融行業開源技術應用社區、人工智能產業發展聯盟等，幫助企業運營開源項目。

此外，由中國計算機學會（CCF）成立的開源發展委員會，由中國電子技術標準化研究院牽頭的木蘭開源社區等，都是推動國內開源生態建設的重要力量。

 

另一方面，提高中國企業在全球開源項目的參與度，在開源生態方面取得更多技術話語權。

 

近幾年中國公司進入國際化視野，由中國企業領導的開源項目越來越多，相關的根技術開源社區也出現了。

據公開數據統計，我國活躍度較高的開源項目超過半數來自阿里、華為、騰訊、百度等國內互聯網科技企業，其中有20個項目捐贈給阿帕奇基金會，有21個項目捐贈給Linux基金會，這意味著中國開源項目的質量受到了國際上的認可。

在全球開源生態中取得話語權，將使得企業最終實現立足中國，引領全球的基礎軟件技術領導力。

 

 

開源的初衷很簡單，大家通過自由地使用、分享、回饋，為世界創造價值。

帶著這個美好的初衷，開源走過了幾十年歲月，發展成為數字世界的基石。

但自由絕非無代價，無論是來自國界、技術還是法律的界限，開源都有其潛在的治理風險，這將是國內開源參與者必須面對的重要課題。

本文來自微信公眾號“科技云報道”（ID：ITCloud-BD），36氪經授權發布。