红帽、Docker、SUSE在俄罗斯停服，开源软件还安全吗？

国际局势给技术圈带来的影响依然在蔓延。

随着俄乌战事推进，美国科技巨头相继宣布制裁俄罗斯。

硬件方面，英特尔、AMD、联想、戴尔、苹果等科技企业宣布停止对俄罗斯供货；软件方面，SAP、Oracle等软件巨头宣布停止在俄罗斯的产品销售和服务。

这意味使用这些巨头产品的企业、机构业务将面临瘫痪。

 

与此同时，开源界也牵扯进俄乌之间冲突的漩涡中。

 

3月2日，全球最大的开源及私有软件项目托管平台Github官方发文称，会遵守美国政府的相关规定，限制俄罗斯通过Github获得军事技术能力。

除了GitHub，更多的开源社区也加入了这场运动，Node.js、知名前端框架React都在其官网上加入了声援乌克兰的标语。

 

随后，全球最大的独立开源软件公司SUSE、美国开源软件巨头红帽、主流开源容器引擎Docker，纷纷宣布停止与俄罗斯的业务。

作为开源领域的中流砥柱，这三家加入封禁阵营的消息，再次震动了开源界。

 

覆巢之下复有完卵乎，一时间人人感到自危。

开源社区一向推崇“自由、平等、相互尊重”的原则，开源精神被无数开发者奉为圭臬，然而“封锁”事件的上演，令国内开发者们开始担心，“开源无国界”是不是伪命题？

“禁封”之后，开源软件还能用吗？更进一步，使用了开源代码，是不是就代表技术无法自主可控？

 

本次，【科技云报道】与业内多位高管和专家进行了沟通，试图从开源和IT自主可控的角度出发，拨开迷雾重重的开源领域的一角。

 

1998年2月，开源软件运动悄然兴起。二十多年后的今天，开源已成功走向全球，无处不在的开源软件，构建了整个互联网的基础。

 

在这一过程中，中国开发者的角色逐渐由单一的利用开源，变成了参与甚至是引领开源，开源在中国呈现爆发式增长态势。

 

据Gitee 2020年度报告数据指出，2020年Gitee平台上开源项目增长率达192%，达到了1500万，是2013年至2018年Gitee平台开源项目的总和。

 

同时，中国开源贡献者数量快速增长，在全球贡献者占比不断攀升。

据Gitee 2020年度报告数据指出，中国在GitHub的贡献者数量增长迅速，目前仅次于美国，数量位居第二，并占据GitHub活跃贡献者中的14%。

据GitHub预测，到2030年中国开发者将成为全球最大的开源群体之一。

 

由于开源项目允许任何人引入代码、修改代码、造产品以及分享修订版本，并带来良性的创新周期，中国科技界和产业界从开源软件中受益极大。这也使很多人深信“开源无国界”，没有一个国家能禁止开源代码的自由分享。

 

事实真的如此吗？

 

2017年1月份，Pastebin网站上出现了这样一则帖子：Docker在部分国家无法使用，Docker作为一家美国公司，只能遵守美国在出口管制方面的法规。

为了努力遵守这些法规，现在阻止位于古巴、伊朗、朝鲜、克里米亚共和国、苏丹和叙利亚这6个国家的所有IP地址。

 

2019年，GitHub出于美国贸易管制法律要求，对伊朗、克里米亚的开发者用户进行了限制，甚至是封禁账号。

 

可以看到，除了开源作者拥有限制他人使用开源代码的权利，开源托管平台和开源商业公司也不得不以实体的方式，遵守所在地的法律法规。

即便国家政策不以黑纸白字的方式严格约束，在政治正确、舆论环境等多方因素影响下，开源平台和开源企业同样难以保持中立。

 

那么，有“国界”的开源，是否违背了自由平等的开源精神？开源代码到底能不能被“禁封”？

 

开源中国社区负责人、开源中国合伙人李晨认为，有两个概念容易被大家混淆：一是项目开源本身，二是公司的开源行为。

 

首先，开源在定义里规定“不得歧视任何个人或团体”；作为目前主流的一种软件分发模式，任何人都可以参与开源。

“做个不太严谨但合理的比喻，姑且把开源叫做‘放水’，水只要放出来，别人就可以来取用，任何人都可以完成这个操作。当然，（开源代码的作者）也决定是否可以让他人取水、取多少水，因此开源的界限其实是人为划分的。”

 

其次，开源商业公司或第三方平台的行为，与开源“本身”是无关的。

例如：GitHub是基于开源的Git项目去做商业化产品的公司，而Git并不属于GitHub，因此GitHub有可能因为法律要求不提供某些地区的服务，或禁封自己平台上的用户，但切不断开发者使用开源的Git。

不过李晨也表示，GitHub的一举一动影响开源生态是必然的，毕竟它是全球最大的开源托管平台。

 

 

如今，开源软件的代码量和复杂度上已远超当年，一个开源项目可能会使用或集成多种开源组件，同一个开源项目可能也会有成千上万的开发者参与进来。

 

正是由于开源的高度开放性，允许全球无数开发者可以不断复制、修改、再开源社区的源代码，这使得本来只是一项技术运动的开放源代码运动，与知识产权法发生了密切关系。

 

开源软件的开发与维护，往往涉及到众多不同的主体，这就涉及到知识产权的归属、许可、授权等法律问题。

而按照国际通行做法，产品知识产权是受各国出口管制条例管制的。

 

那么，什么样的开源项目涉及出口管制，可能会遭遇“断供”的后果？

 

2019年，中科院计算所的包云岗研究员对12个知名开源基金会、6个常用的开源协议、3个代码托管平台进行了调研与分析，得出了以下结论：

 

第一，不同开源基金会管理对开源项目的管理办法差异较大。

 

例如：Linux基金会自身的管理办法不受美国出口管制，所以旗下的项目包括Linux Kernel等默认遵循该管理办法，但虚拟化项目Xen明确说明遵循美国出口管制，就属于Linux基金会中的特例。

 

Apache基金会的管理办法明确说明遵循美国出口管制，所以它旗下所有项目如Hadoop、Spark都将受到出口管制。

 

Mozilla基金会明确声明遵守加州法律，出现各类纠纷将必须到Santa Clara的法庭裁决。

 

第二，调研的开源许可协议族（GPL、LGPL、BSD、MIT、Mozilla、Apache-2.0）均未涉及与政府出口管制无关的声明。

 

第三，调研的3个代码托管平台（GitHub、SourceForge、Google Code）均明确声明遵守美国出口管制条例，并按加州法律解决纠纷。

 

总的来说，部分开源基金会管理办法可以规避美国出口管制，但如果单就开源平台、开源许可证或协议声明进行解读的话，一切依然存在模糊性。

 

中国信通院《开源软件知识产权风险防控研究报告（2019）》指出，开源许可协议是理解开源软件知识产权问题的关键所在。

开源许可协议将特定的权利赋予用户，同时也会规定用户使用开源软件时必须遵守的约束。

 

不同的开源许可协议在著作权、专利、商标等方面的规定不同，因此带来的风险也就不同。据中国信通院2021年《开源生态白皮书》显示，开源知识产权风险主要集中在四个方面：

 

一是版权侵权，不遵守开源许可协议，导致版权侵权；二是专利侵权风险，开源软件中包含诸多软件专利，使用开源软件未得到软件专利权人的专利许可，从而导致专利侵权；三是商标侵权风险，未经许可使用开源软件的商标；四是许可证冲突。

 

例如：在版权方面，GPL许可协议要求演绎作品整体发布时必须在GPL许可下进行发布，因此使用GPL许可协议下的源代码在软件再发布时风险较大。

但Apache、MIT、BSD等许可协议则对演绎作品的发布方式没有要求。

 

在专利方面， GPL-3.0、Apache-2.0明示了专利授权并有专利报复条款，MIT、BSD则无规定。

 

在商标方面，Apache-2.0对商标使用做出限制，规定用户必须使用许可证颁发者的商号、商标、服务标记或产品名称。

 

因此，在使用开源软件时，需要首先找出开源软件使用的哪个许可协议以及许可协议的版本，不同版本的许可协议可能存在较大差异，仔细阅读该版本的开源许可协议的条款，严格按照条款规定使用开源软件。

 

但事实上，由于开源许可证类型多样，复杂度较高，企业在使用开源软件时会面临多种挑战：

 

一是引入开源软件的数量难以准确统计，二是开源软件存在潜在的安全漏洞风险，三是开源协议许可证缺失或违规使用，因此建议国内企业加强开源风险治理能力，安全合规地使用开源软件。

目前，中国信通院已逐步构建了开源治理标准体系，帮助国内企业提升开源风险治理能力。

 

 

乌俄冲突下的科技制裁，让国内开源界再次敲响了警钟：中国应加快自主创新，确保IT设施的国产化，自己掌握主动权。

 

目前，包括开源在内的很多技术领域，中国还是在向国外学习，国内开发者使用的大部分开源代码、参与贡献的开源项目都是国外发起的。

想要减少对他国的依赖，实现技术自主可控，中国是应该降低开源的参与度，还是应该像现在一样积极拥抱开源？

 

事实上，开源已成为全球数字科技创新的动力，成长为一种强大的技术创新模式，如今新产品、新架构、新平台在开源，连顶尖的研究成果都以开源形式发布。

开源从最初的软件行业走向了硬件、芯片、视频、IoT、AI等多个领域，开源的商业模式也在逐渐成熟。

 

可以看到，开源作为全球科技进步至关重要的创新模式，其影响力不可低估。不仅富有远见的企业将“拥抱开源”作为提升竞争力的战略途径，许多国家也开始有意识地推动开源运动发展。

 

我国“十四五”规划和2035年远景目标纲要提出，要“支持数字技术开源社区等创新联合体发展，完善开源知识产权和法律体系，鼓励企业开放软件源代码、硬件设计和应用服务”，可见国家层面已高度重视开源的进步推动作用。

 

同时，国家也已开始研究开源所面临的安全和可控问题，例如：2018年科技部国家重点研发项目《云计算与大数据开源社区生态系统》下设子课题——《安全可控开源社区支撑平台研发》，以安全可控开源社区支撑平台的研发为目标，建立安全可控的开源社区支撑平台，以支持云计算和大数据开源生态系统的建设和运营。

 

在开源中国社区负责人、开源中国合伙人李晨看来，开源与自主可控本身并不冲突。

一方面，开源带来的协作、创新与人才培养等方面的增益，加速了是自主可控的进程。另一方面，开源并不代表不安全，做好版本管理、权限分配、信息防护、安全策略等方面的细致工作，开源一样是安全的。

 

同时，李晨表示，2020-2022年是国家安全可控体系推广最重要的三年，中国IT产业从“基础硬件—基础软件—行业应用软件”有望迎来国产替代潮。

Gitee作为国家开源代码托管平台项目牵头方也在这股浪潮之中活跃，通过本土开源力量让IT自主可控未雨绸缪。

 

从长期来看，国内构建自己的开源生态势在必行。

 

一方面，国内已开始成立自己的开源基金会，例如：开放原子开源基金会是我国首家开源基金会，发起人包括阿里、百度、华为、浪潮、腾讯、360、招行银行等多家龙头科技企业，其业务涵盖开源软件、开源硬件、开源芯片及开源内容等领域。截至2021年6月，该基金会共有10个开源项目。

 

除了开源基金会外，各类开源组织也在协同发展，例如：中国信通院重点依托云计算开源产业联盟、金融行业开源技术应用社区、人工智能产业发展联盟等，帮助企业运营开源项目。

此外，由中国计算机学会（CCF）成立的开源发展委员会，由中国电子技术标准化研究院牵头的木兰开源社区等，都是推动国内开源生态建设的重要力量。

 

另一方面，提高中国企业在全球开源项目的参与度，在开源生态方面取得更多技术话语权。

 

近几年中国公司进入国际化视野，由中国企业领导的开源项目越来越多，相关的根技术开源社区也出现了。

据公开数据统计，我国活跃度较高的开源项目超过半数来自阿里、华为、腾讯、百度等国内互联网科技企业，其中有20个项目捐赠给阿帕奇基金会，有21个项目捐赠给Linux基金会，这意味着中国开源项目的质量受到了国际上的认可。

在全球开源生态中取得话语权，将使得企业最终实现立足中国，引领全球的基础软件技术领导力。

 

 

开源的初衷很简单，大家通过自由地使用、分享、回馈，为世界创造价值。

带着这个美好的初衷，开源走过了几十年岁月，发展成为数字世界的基石。

但自由绝非无代价，无论是来自国界、技术还是法律的界限，开源都有其潜在的治理风险，这将是国内开源参与者必须面对的重要课题。

本文来自微信公众号“科技云报道”（ID：ITCloud-BD），36氪经授权发布。