红帽、Docker、SUSE在俄罗斯停服,开源软件还安全吗?

科技云报道原创。

国际局势给技术圈带来的影响依然在蔓延。

随着俄乌战事推进,美国科技巨头相继宣布制裁俄罗斯。硬件方面,英特尔、AMD、联想、戴尔、苹果等科技企业宣布停止对俄罗斯供货;软件方面,SAP、Oracle等软件巨头宣布停止在俄罗斯的产品销售和服务。这意味使用这些巨头产品的企业、机构业务将面临瘫痪。

与此同时,开源界也牵扯进俄乌之间冲突的漩涡中。

3月2日,全球最大的开源及私有软件项目托管平台Github官方发文称,会遵守美国政府的相关规定,限制俄罗斯通过Github获得军事技术能力。除了GitHub,更多的开源社区也加入了这场运动,Node.js、知名前端框架React都在其官网上加入了声援乌克兰的标语。

随后,全球最大的独立开源软件公司SUSE、美国开源软件巨头红帽、主流开源容器引擎Docker,纷纷宣布停止与俄罗斯的业务。作为开源领域的中流砥柱,这三家加入封禁阵营的消息,再次震动了开源界。

覆巢之下复有完卵乎,一时间人人感到自危。开源社区一向推崇“自由、平等、相互尊重”的原则,开源精神被无数开发者奉为圭臬,然而“封锁”事件的上演,令国内开发者们开始担心,“开源无国界”是不是伪命题?“禁封”之后,开源软件还能用吗?更进一步,使用了开源代码,是不是就代表技术无法自主可控?

本次,【科技云报道】与业内多位高管和专家进行了沟通,试图从开源和IT自主可控的角度出发,拨开迷雾重重的开源领域的一角。

开源的界限

1998年2月,开源软件运动悄然兴起。二十多年后的今天,开源已成功走向全球,无处不在的开源软件,构建了整个互联网的基础。

在这一过程中,中国开发者的角色逐渐由单一的利用开源,变成了参与甚至是引领开源,开源在中国呈现爆发式增长态势。

据Gitee 2020年度报告数据指出,2020年Gitee平台上开源项目增长率达192%,达到了1500万,是2013年至2018年Gitee平台开源项目的总和。

同时,中国开源贡献者数量快速增长,在全球贡献者占比不断攀升。据Gitee 2020年度报告数据指出,中国在GitHub的贡献者数量增长迅速,目前仅次于美国,数量位居第二,并占据GitHub活跃贡献者中的14%。据GitHub预测,到2030年中国开发者将成为全球最大的开源群体之一。

由于开源项目允许任何人引入代码、修改代码、造产品以及分享修订版本,并带来良性的创新周期,中国科技界和产业界从开源软件中受益极大。这也使很多人深信“开源无国界”,没有一个国家能禁止开源代码的自由分享。

事实真的如此吗?

2017年1月份,Pastebin网站上出现了这样一则帖子:Docker在部分国家无法使用,Docker作为一家美国公司,只能遵守美国在出口管制方面的法规。为了努力遵守这些法规,现在阻止位于古巴、伊朗、朝鲜、克里米亚共和国、苏丹和叙利亚这6个国家的所有IP地址。

2019年,GitHub出于美国贸易管制法律要求,对伊朗、克里米亚的开发者用户进行了限制,甚至是封禁账号。

可以看到,除了开源作者拥有限制他人使用开源代码的权利,开源托管平台和开源商业公司也不得不以实体的方式,遵守所在地的法律法规。即便国家政策不以黑纸白字的方式严格约束,在政治正确、舆论环境等多方因素影响下,开源平台和开源企业同样难以保持中立。

那么,有“国界”的开源,是否违背了自由平等的开源精神?开源代码到底能不能被“禁封”?

开源中国社区负责人、开源中国合伙人李晨认为,有两个概念容易被大家混淆:一是项目开源本身,二是公司的开源行为。

首先,开源在定义里规定“不得歧视任何个人或团体”;作为目前主流的一种软件分发模式,任何人都可以参与开源。“做个不太严谨但合理的比喻,姑且把开源叫做‘放水’,水只要放出来,别人就可以来取用,任何人都可以完成这个操作。当然,(开源代码的作者)也决定是否可以让他人取水、取多少水,因此开源的界限其实是人为划分的。”

其次,开源商业公司或第三方平台的行为,与开源“本身”是无关的。例如:GitHub是基于开源的Git项目去做商业化产品的公司,而Git并不属于GitHub,因此GitHub有可能因为法律要求不提供某些地区的服务,或禁封自己平台上的用户,但切不断开发者使用开源的Git。不过李晨也表示,GitHub的一举一动影响开源生态是必然的,毕竟它是全球最大的开源托管平台。

开源不止于技术

如今,开源软件的代码量和复杂度上已远超当年,一个开源项目可能会使用或集成多种开源组件,同一个开源项目可能也会有成千上万的开发者参与进来。

正是由于开源的高度开放性,允许全球无数开发者可以不断复制、修改、再开源社区的源代码,这使得本来只是一项技术运动的开放源代码运动,与知识产权法发生了密切关系。

开源软件的开发与维护,往往涉及到众多不同的主体,这就涉及到知识产权的归属、许可、授权等法律问题。而按照国际通行做法,产品知识产权是受各国出口管制条例管制的。

那么,什么样的开源项目涉及出口管制,可能会遭遇“断供”的后果?

2019年,中科院计算所的包云岗研究员对12个知名开源基金会、6个常用的开源协议、3个代码托管平台进行了调研与分析,得出了以下结论:

第一,不同开源基金会管理对开源项目的管理办法差异较大。

例如:Linux基金会自身的管理办法不受美国出口管制,所以旗下的项目包括Linux Kernel等默认遵循该管理办法,但虚拟化项目Xen明确说明遵循美国出口管制,就属于Linux基金会中的特例。

Apache基金会的管理办法明确说明遵循美国出口管制,所以它旗下所有项目如Hadoop、Spark都将受到出口管制。

Mozilla基金会明确声明遵守加州法律,出现各类纠纷将必须到Santa Clara的法庭裁决。

第二,调研的开源许可协议族(GPL、LGPL、BSD、MIT、Mozilla、Apache-2.0)均未涉及与政府出口管制无关的声明。

第三,调研的3个代码托管平台(GitHub、SourceForge、Google Code)均明确声明遵守美国出口管制条例,并按加州法律解决纠纷。

总的来说,部分开源基金会管理办法可以规避美国出口管制,但如果单就开源平台、开源许可证或协议声明进行解读的话,一切依然存在模糊性。

中国信通院《开源软件知识产权风险防控研究报告(2019)》指出,开源许可协议是理解开源软件知识产权问题的关键所在。开源许可协议将特定的权利赋予用户,同时也会规定用户使用开源软件时必须遵守的约束。

不同的开源许可协议在著作权、专利、商标等方面的规定不同,因此带来的风险也就不同。据中国信通院2021年《开源生态白皮书》显示,开源知识产权风险主要集中在四个方面:

一是版权侵权,不遵守开源许可协议,导致版权侵权;二是专利侵权风险,开源软件中包含诸多软件专利,使用开源软件未得到软件专利权人的专利许可,从而导致专利侵权;三是商标侵权风险,未经许可使用开源软件的商标;四是许可证冲突。

例如:在版权方面,GPL许可协议要求演绎作品整体发布时必须在GPL许可下进行发布,因此使用GPL许可协议下的源代码在软件再发布时风险较大。但Apache、MIT、BSD等许可协议则对演绎作品的发布方式没有要求。

在专利方面, GPL-3.0、Apache-2.0明示了专利授权并有专利报复条款,MIT、BSD则无规定。

在商标方面,Apache-2.0对商标使用做出限制,规定用户必须使用许可证颁发者的商号、商标、服务标记或产品名称。

因此,在使用开源软件时,需要首先找出开源软件使用的哪个许可协议以及许可协议的版本,不同版本的许可协议可能存在较大差异,仔细阅读该版本的开源许可协议的条款,严格按照条款规定使用开源软件。

但事实上,由于开源许可证类型多样,复杂度较高,企业在使用开源软件时会面临多种挑战:

一是引入开源软件的数量难以准确统计,二是开源软件存在潜在的安全漏洞风险,三是开源协议许可证缺失或违规使用,因此建议国内企业加强开源风险治理能力,安全合规地使用开源软件。目前,中国信通院已逐步构建了开源治理标准体系,帮助国内企业提升开源风险治理能力。

开源与技术自主可控

乌俄冲突下的科技制裁,让国内开源界再次敲响了警钟:中国应加快自主创新,确保IT设施的国产化,自己掌握主动权。

目前,包括开源在内的很多技术领域,中国还是在向国外学习,国内开发者使用的大部分开源代码、参与贡献的开源项目都是国外发起的。想要减少对他国的依赖,实现技术自主可控,中国是应该降低开源的参与度,还是应该像现在一样积极拥抱开源?

事实上,开源已成为全球数字科技创新的动力,成长为一种强大的技术创新模式,如今新产品、新架构、新平台在开源,连顶尖的研究成果都以开源形式发布。开源从最初的软件行业走向了硬件、芯片、视频、IoT、AI等多个领域,开源的商业模式也在逐渐成熟。

可以看到,开源作为全球科技进步至关重要的创新模式,其影响力不可低估。不仅富有远见的企业将“拥抱开源”作为提升竞争力的战略途径,许多国家也开始有意识地推动开源运动发展。

我国“十四五”规划和2035年远景目标纲要提出,要“支持数字技术开源社区等创新联合体发展,完善开源知识产权和法律体系,鼓励企业开放软件源代码、硬件设计和应用服务”,可见国家层面已高度重视开源的进步推动作用。

同时,国家也已开始研究开源所面临的安全和可控问题,例如:2018年科技部国家重点研发项目《云计算与大数据开源社区生态系统》下设子课题——《安全可控开源社区支撑平台研发》,以安全可控开源社区支撑平台的研发为目标,建立安全可控的开源社区支撑平台,以支持云计算和大数据开源生态系统的建设和运营。

在开源中国社区负责人、开源中国合伙人李晨看来,开源与自主可控本身并不冲突。一方面,开源带来的协作、创新与人才培养等方面的增益,加速了是自主可控的进程。另一方面,开源并不代表不安全,做好版本管理、权限分配、信息防护、安全策略等方面的细致工作,开源一样是安全的。

同时,李晨表示,2020-2022年是国家安全可控体系推广最重要的三年,中国IT产业从“基础硬件—基础软件—行业应用软件”有望迎来国产替代潮。Gitee作为国家开源代码托管平台项目牵头方也在这股浪潮之中活跃,通过本土开源力量让IT自主可控未雨绸缪。

从长期来看,国内构建自己的开源生态势在必行。

一方面,国内已开始成立自己的开源基金会,例如:开放原子开源基金会是我国首家开源基金会,发起人包括阿里、百度、华为、浪潮、腾讯、360、招行银行等多家龙头科技企业,其业务涵盖开源软件、开源硬件、开源芯片及开源内容等领域。截至2021年6月,该基金会共有10个开源项目。

除了开源基金会外,各类开源组织也在协同发展,例如:中国信通院重点依托云计算开源产业联盟、金融行业开源技术应用社区、人工智能产业发展联盟等,帮助企业运营开源项目。此外,由中国计算机学会(CCF)成立的开源发展委员会,由中国电子技术标准化研究院牵头的木兰开源社区等,都是推动国内开源生态建设的重要力量。

另一方面,提高中国企业在全球开源项目的参与度,在开源生态方面取得更多技术话语权。

近几年中国公司进入国际化视野,由中国企业领导的开源项目越来越多,相关的根技术开源社区也出现了。据公开数据统计,我国活跃度较高的开源项目超过半数来自阿里、华为、腾讯、百度等国内互联网科技企业,其中有20个项目捐赠给阿帕奇基金会,有21个项目捐赠给Linux基金会,这意味着中国开源项目的质量受到了国际上的认可。在全球开源生态中取得话语权,将使得企业最终实现立足中国,引领全球的基础软件技术领导力。

结语

开源的初衷很简单,大家通过自由地使用、分享、回馈,为世界创造价值。带着这个美好的初衷,开源走过了几十年岁月,发展成为数字世界的基石。但自由绝非无代价,无论是来自国界、技术还是法律的界限,开源都有其潜在的治理风险,这将是国内开源参与者必须面对的重要课题。

极客网企业会员

免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。

2022-03-14
红帽、Docker、SUSE在俄罗斯停服,开源软件还安全吗?
红帽、Docker、SUSE在俄罗斯停服,开源软件还安全吗?

长按扫码 阅读全文