開源軟件產業發展面臨的風險與問題

黃王金，王 景，2

（1.昆明理工大學 法學院，昆明 650500；2.云南省知識產權發展研究院，昆明 650500）

開源創新被列入我國“十四五”規劃和2035遠景目標。《規劃》提出：“支持數字技術開源社區等創新聯合體發展，完善開源知識產權和法律體系，鼓勵企業開放軟件源代碼、硬件設計和應用服務。”現階段，開源軟件已經進入到多元化的發展階段，技術更新迭代速度加快，商業模式和生態日趨多元化，我國的開源軟件面臨著巨大的發展機遇，同時機遇的背后也蘊藏著風險。在此種背景下，深入剖析我國開源軟件產業面臨的風險十分必要。

一、開源軟件概述

開源軟件是一種源代碼可以自由獲取的計算機軟件，即軟件自由。但所述的“自由”并不是簡單地將開源軟件在互聯網上開放出來，用戶自由地訪問和獲取。事實上，真正的開源軟件在發布的時候是需要附帶一個開源許可證的。這個開源許可證從一定方面來說就是一個協議，開源許可證定義了用戶可以使用、修改以及分發開源軟件的源代碼。

在開源軟件建立伊始，開源軟件促進協會定義，開源不僅意味著可以訪問源代碼，它的分發條款還必須滿足，即自由再發行，程序必須包含和方便獲得源代碼，許可證必須允許更改和派生程序，保護作者源代碼的完整性，無個人或團體的歧視，無領域歧視等內容。開源社區存在大量不同類型的許可證。截至2021年3月7日，OSI（開源促進會）認證的開源許可證已經有126個。同時，OSI認證的開源協議在開源項目的使用率占到了80%以上。開源許可協議包括寬松型協議和傳染型協議，寬松型協議主要有Apache、MulanPSL，它的特點是分發可以閉源，用戶可以隨意地使用、復制、修改和分發。對于開源的用戶而言，基本不必承擔任何的義務。傳染型協議主要有GPL、MulanPubL，它的分發必須閉源，關鍵特點是開源代碼的用戶必須承擔開源的義務，簡單而言就是用戶使用了包含傳染型協議的開源代碼，那么后續使用了這部分代碼的軟件就必須公開源代碼，供其他人使用、修改和分發。

二、我國開源軟件產業的發展現狀

從1980年萌芽到2005年開源社區和開源實踐蓬勃興起，再到如今的開源軟件商業模式多元化和生態多元化，回顧開源軟件發展的整個歷史，我們可以看到開源是理想主義與商業化之間相互競爭和融合的產物。

近幾年來，我國的開源基礎設施正在逐步地發展和完善，目前我國已經建立起了Gitee、code.china、Trustie等開源代碼的托管平臺。2020年6月，我國的第一個開源基金會——開放原子開源基金會登記成立，為我國的開源軟件、硬件以及其他開源內容提供了平臺。

此外，在我國中文開源社區的發展和成長的需求下，我國的第一個開源許可證MulanPSL在2019年8月發布；MulanPSL2.0在2020年2月24日得到OSI的批準認證，成為中國第一個具有國際通用性的中英文開源許可證，目前已經有40 000多個開源代碼倉目前在使用2.0版本的開源協議。截至目前，我國已經逐步發布了MulanPSL、MulanPSL2.0、MulanPubL-1.0、MulanPubL-2.0等開源軟件許可證。開源軟件許可證的發布意味著我國開源體系的逐步完善。

值得一提的是，我國的開源商業化也是在蓬勃發展的，在我國本土一批開源軟件獨角獸或者準獨角獸創業企業目前正在涌現，比如PingCAP等已經獲得了風險投資。

三、開源軟件的商業模式

開源誕生的初衷是自由、開放源碼，允許他人在源碼基礎上二次開發創作。不過，開源并不意味著免費，其開放性依舊可以擁有商業盈利模式。

（一）支持模式

用戶可以免費地獲得、使用、修改并且分發源代碼，但如果使用軟件出現了問題，可以通過付費獲得相關的技術支持和咨詢，包括的技術支持和咨詢主要有代碼和錯誤的修復、添加新的或者是額外的功能以及提供書面的教程、文件等。在此種模式之下，用戶對于源代碼的處理是比較自由的，用戶只需為技術支持及咨詢服務買單。采用此種開源軟件商業模式的公司主要有Hortonworks、Redhat等。

（二）托管

供應商將開源軟件作為服務托管在云上，通過收取每月或者每年的托管和服務費獲利。此種模式是部分云廠商打包開源項目賺取利潤的途徑。此種模式代表的公司主要有Databricks、ACQUIA等。

（三）限制性許可

通過提供一個稍帶限制的開源許可證來激勵使用者進行付費。但此種模式許可證定義模糊，一般情況下國際認證通行的開源許可協議并不允許使用的個人或者組織在對相關的開源項目進行貢獻后對開源代碼添加個人的限制條款，參與者所貢獻的部分應該遵循發生糾紛爭議的時候需要法院來進行判決，因此部分公司禁止使用該商業模式下的開源軟件。采用此種商業模式的公司主要有redis及neo4j等。

（四）開放核心

此種模式下的大部分代碼都是開源的。而少數代碼（主要針對的是企業用戶）是專有的，專有部分可以打包成為與開源基礎部分連接的單獨模塊或服務，或者是在分發版本中進行分發。此種模式的特點是可以避免云廠商打包開源項目賺取利潤，但是開源范圍的尺度很難進行把控，彈性空間比較大。另外，在此模式下很難將軟件代碼中的開源與專有特性完全進行分離。

（五）開放核心+混合許可

這種模式是開源軟件商業化最新的一種模式，它在開放核心的基礎上進行了改進。混合許可在同一個代碼庫中混合了開源代碼和專有代碼，用戶可以選擇只使用開源代碼，或者同時使用開源代碼和專有軟件代碼。它的特點在于代碼位于同一個代碼庫中，使管理和開發變得更容易，而且方便用戶升級到付費的模式，另外它還允許外部社區成員對專有軟件功能模塊進行改進，促進了軟件的完善，降低了開發成本。

四、開源軟件產業商業化的風險分析

（一）開源代碼的信息安全

開源代碼的信息安全，主要指的是開源代碼存在的一些漏洞或代碼后門等。因為開源代碼是開放出來供其他一些成員來共同使用的，在使用的過程中社區的其他一些成員也可以對開源軟件來進行完善。在這樣的情形下，開源代碼本身可能會存在漏洞或是被一些“另有企圖”的人留下“后門”，一些沒有經過甄別或安全測試就使用其代碼就容易遭到攻擊，這在開源軟件商業化后更加明顯。BD《2020年開源安全與分析報告》顯示，75%的代碼庫至少含有一個漏洞，49%的已審核代碼庫包含高風險漏洞。

（二）知識產權的風險

知識產權的風險是比較隱蔽的，主要包括的是對專利權、商標權、著作權等知識產權的侵犯和開源許可證之間兼容的風險。在專利方面，開源軟件中包含諸多軟件專利，使用開源軟件未得到軟件專利權人的專利許可，從而導致專利侵權。2019年11月18日，美國專利組織Unified Patents公布，自2012年以來約有260個開源項目涉及美國法院專利訴訟案件。在開源許可證兼容方面，在一個軟件開發項目中可能包含采用不同開源許可協議的開源代碼，用戶不知道應該遵守哪一個開源許可協議，由此導致軟件許可協議發生沖突。根據BD《2020年開源安全與分析報告》統計，67%的開源組件存在許可證沖突的情況，最常見的情況是與GPL許可證存在兼容性的問題。

（三）供應鏈的風險

供應鏈的風險包含了開源軟件出口限制、開源技術壟斷和開源軟件停止維護等，在世界如此緊密聯系的情況下，不論是技術還是經濟都已經高度地融合在了一起，但是高度的融合也帶來巨大的風險。在2019年，美國針對華為的“封殺”，谷歌不再向華為提供GMS（谷歌移動服務）。2020年12月，CentOS開發團隊宣布CentOS 8將在2021年底結束支持，CentOS 7維護至生命周期結束，即2024年6月30日。為了掌握使用開放源代碼的潛在風險，公司需要清楚地了解其環境中使用了哪些開放源代碼，保持最新的補丁，甚至在必要時進行漏洞掃描和評估，以此來保證軟件的安全。

五、加強我國開源軟件產業發展的對策建議

（一）加強開源自主，把握開源創新的主動權

由此可以看到，開源軟件以及開源社區的發展對于我國軟件的發展和科技創新發揮著舉足輕重的作用。目前我國已經擁有了自己的開源社區。

1.加強政策引導。開源軟件創新已經被納入“十四五”規劃，這是開源首次以國家戰略身份擺上臺面。國家和地方應該從產業、科技創新、人才教育、知識產權保護等方面制定政策，形成政策合力，促進開源軟件的發展。

2.堅持開源創新。目前我國的開源軟件基礎設施正在不斷完善，在此背景之下，要堅定不移地堅持自主創新，加快開源社區和產業聯盟的建設，支持開源代碼托管平臺和開源企業以及個人的發展。

3.加大對重點領域的支持力度。針對大數據、云計算、人工智能、AR產業等領域的軟件代碼，應鼓勵、支持和引導相關的企業和個人構建起開源的體系，促進技術的更新迭代，把握開源創新的主動權以及未來發展的主導權。

（二）加強知識產權保護，筑牢開源發展基礎

1.進一步引導企業和個人，特別是軟件開發技術人員對開源基本規則的認識。了解和學習開源軟件發展的現狀和發展趨勢，加強對開源軟件產業發展模式的認知，鼓勵探索新路徑、新方向，正確認識開源軟件開發及發展和自主知識產權之間的關系，研究開源代碼信息安全的保障方式和途徑。

2.健全開源產業知識產權保護的法律法規，對外來開源軟件許可證協議相關條款進行法律界定，針對違反許可協議的具體行為進行解釋說明。完善我國的開源許可協議，鼓勵我國的企業和個人積極使用我國發布和主導的開源許可協議，防止開源斷供風險，保障我國開源產業的蓬勃發展。

3.加強開源領域知識產權人才培養。高校是我國開源產業創新發展的源動力，針對相關的專業，應組織和安排開源產業發展的相關課程，逐步培育開源知識產權保護的意識，加快開源領域知識產權人才的培育，為我國開源軟件產業的發展注入新鮮血液。

4.加大對軟件產業知識產權的保護力度。對于開發破解各種盜版軟件的行為進行嚴厲打擊，推進軟件正版化進程。嚴肅處理軟件領域的各類侵權案件，為開源軟件產業的發展營造良好環境。

（三）培養開源精神，提升開源產業競爭力

1.大力培育開源精神。開源產業的發展僅僅依靠個人或是個別企業是不夠的，它依靠的是千千萬萬組織或個人的奉獻。引導科研機構、企業制定開源軟件發展規劃，激發其提供自主開發源代碼以及開源基礎項目，針對開源貢獻率較高的機構和企業在政策支持、產業幫扶上重點傾斜。

2.加快我國開源社區的建設。2021年11月，工業和信息化部印發《“十四五”軟件和信息技術服務業發展規劃》，提出到2025年建設2—3個具有國際影響力的開源社區。加強我國開源社區基礎設施、開源文化、品牌、治理等方面的建設，提升社區開源代碼的管理能力，提升開源產業的競爭力。

3.建立產業聯盟，打造自己的開源生態。開源的價值不僅僅是源代碼，代碼僅僅占其中的20%～30%，對于開源軟件來說，更重要的是生態。要依托自己的開源社區，將“引進來”和“走出去”相結合起來，吸引國際化人才，面向全球提供服務。

總之，開源軟件已成為推動我國軟件行業創新發展的主要動力，現階段開源社區和開源生態的不斷涌現，表明我國開源軟件產業有著巨大的發展潛力。我國應該把握住技術開源的大趨勢，制定相應的政策和措施以規避發展過程中遇到或可能遇到的各種風險，促進技術的更新迭代，提升我國開源產業的核心競爭力。