红帽、Docker、SUSE在俄罗斯停服,开源软件还安全吗?
2022-03-14
来源:科技云报道
国际局势给技术圈带来的影响依然在蔓延。
随着俄乌战事推进,美国科技巨头相继宣布制裁俄罗斯。
硬件方面,英特尔、AMD、联想、戴尔、苹果等科技企业宣布停止对俄罗斯供货;软件方面,SAP、Oracle等软件巨头宣布停止在俄罗斯的产品销售和服务。
这意味使用这些巨头产品的企业、机构业务将面临瘫痪。 与此同时,开源界也牵扯进俄乌之间冲突的漩涡中。 3月2日,全球最大的开源及私有软件项目托管平台Github官方发文称,会遵守美国政府的相关规定,限制俄罗斯通过Github获得军事技术能力。
除了GitHub,更多的开源社区也加入了这场运动,Node.js、知名前端框架React都在其官网上加入了声援乌克兰的标语。 随后,全球最大的独立开源软件公司SUSE、美国开源软件巨头红帽、主流开源容器引擎Docker,纷纷宣布停止与俄罗斯的业务。
作为开源领域的中流砥柱,这三家加入封禁阵营的消息,再次震动了开源界。 覆巢之下复有完卵乎,一时间人人感到自危。
开源社区一向推崇“自由、平等、相互尊重”的原则,开源精神被无数开发者奉为圭臬,然而“封锁”事件的上演,令国内开发者们开始担心,“开源无国界”是不是伪命题?
“禁封”之后,开源软件还能用吗?更进一步,使用了开源代码,是不是就代表技术无法自主可控? 本次,【科技云报道】与业内多位高管和专家进行了沟通,试图从开源和IT自主可控的角度出发,拨开迷雾重重的开源领域的一角。
开源的界限
1998年2月,开源软件运动悄然兴起。二十多年后的今天,开源已成功走向全球,无处不在的开源软件,构建了整个互联网的基础。
在这一过程中,中国开发者的角色逐渐由单一的利用开源,变成了参与甚至是引领开源,开源在中国呈现爆发式增长态势。
据Gitee 2020年度报告数据指出,2020年Gitee平台上开源项目增长率达192%,达到了1500万,是2013年至2018年Gitee平台开源项目的总和。 同时,中国开源贡献者数量快速增长,在全球贡献者占比不断攀升。
据Gitee 2020年度报告数据指出,中国在GitHub的贡献者数量增长迅速,目前仅次于美国,数量位居第二,并占据GitHub活跃贡献者中的14%。
据GitHub预测,到2030年中国开发者将成为全球最大的开源群体之一。
由于开源项目允许任何人引入代码、修改代码、造产品以及分享修订版本,并带来良性的创新周期,中国科技界和产业界从开源软件中受益极大。这也使很多人深信“开源无国界”,没有一个国家能禁止开源代码的自由分享。
事实真的如此吗?
2017年1月份,Pastebin网站上出现了这样一则帖子:Docker在部分国家无法使用,Docker作为一家美国公司,只能遵守美国在出口管制方面的法规。
为了努力遵守这些法规,现在阻止位于古巴、伊朗、朝鲜、克里米亚共和国、苏丹和叙利亚这6个国家的所有IP地址。 2019年,GitHub出于美国贸易管制法律要求,对伊朗、克里米亚的开发者用户进行了限制,甚至是封禁账号。 可以看到,除了开源作者拥有限制他人使用开源代码的权利,开源托管平台和开源商业公司也不得不以实体的方式,遵守所在地的法律法规。
即便国家政策不以黑纸白字的方式严格约束,在政治正确、舆论环境等多方因素影响下,开源平台和开源企业同样难以保持中立。
那么,有“国界”的开源,是否违背了自由平等的开源精神?开源代码到底能不能被“禁封”?
开源中国社区负责人、开源中国合伙人李晨认为,有两个概念容易被大家混淆:一是项目开源本身,二是公司的开源行为。
首先,开源在定义里规定“不得歧视任何个人或团体”;作为目前主流的一种软件分发模式,任何人都可以参与开源。
“做个不太严谨但合理的比喻,姑且把开源叫做‘放水’,水只要放出来,别人就可以来取用,任何人都可以完成这个操作。当然,(开源代码的作者)也决定是否可以让他人取水、取多少水,因此开源的界限其实是人为划分的。”
其次,开源商业公司或第三方平台的行为,与开源“本身”是无关的。
例如:GitHub是基于开源的Git项目去做商业化产品的公司,而Git并不属于GitHub,因此GitHub有可能因为法律要求不提供某些地区的服务,或禁封自己平台上的用户,但切不断开发者使用开源的Git。
不过李晨也表示,GitHub的一举一动影响开源生态是必然的,毕竟它是全球最大的开源托管平台。
开源不止于技术
如今,开源软件的代码量和复杂度上已远超当年,一个开源项目可能会使用或集成多种开源组件,同一个开源项目可能也会有成千上万的开发者参与进来。
正是由于开源的高度开放性,允许全球无数开发者可以不断复制、修改、再开源社区的源代码,这使得本来只是一项技术运动的开放源代码运动,与知识产权法发生了密切关系。
开源软件的开发与维护,往往涉及到众多不同的主体,这就涉及到知识产权的归属、许可、授权等法律问题。
而按照国际通行做法,产品知识产权是受各国出口管制条例管制的。
那么,什么样的开源项目涉及出口管制,可能会遭遇“断供”的后果?
2019年,中科院计算所的包云岗研究员对12个知名开源基金会、6个常用的开源协议、3个代码托管平台进行了调研与分析,得出了以下结论: 第一,不同开源基金会管理对开源项目的管理办法差异较大。
例如:Linux基金会自身的管理办法不受美国出口管制,所以旗下的项目包括Linux Kernel等默认遵循该管理办法,但虚拟化项目Xen明确说明遵循美国出口管制,就属于Linux基金会中的特例。
Apache基金会的管理办法明确说明遵循美国出口管制,所以它旗下所有项目如Hadoop、Spark都将受到出口管制。
Mozilla基金会明确声明遵守加州法律,出现各类纠纷将必须到Santa Clara的法庭裁决。
第二,调研的开源许可协议族(GPL、LGPL、BSD、MIT、Mozilla、Apache-2.0)均未涉及与政府出口管制无关的声明。
第三,调研的3个代码托管平台(GitHub、SourceForge、Google Code)均明确声明遵守美国出口管制条例,并按加州法律解决纠纷。
总的来说,部分开源基金会管理办法可以规避美国出口管制,但如果单就开源平台、开源许可证或协议声明进行解读的话,一切依然存在模糊性。
中国信通院《开源软件知识产权风险防控研究报告(2019)》指出,开源许可协议是理解开源软件知识产权问题的关键所在。
开源许可协议将特定的权利赋予用户,同时也会规定用户使用开源软件时必须遵守的约束。
不同的开源许可协议在著作权、专利、商标等方面的规定不同,因此带来的风险也就不同。据中国信通院2021年《开源生态白皮书》显示,开源知识产权风险主要集中在四个方面: 一是版权侵权,不遵守开源许可协议,导致版权侵权;二是专利侵权风险,开源软件中包含诸多软件专利,使用开源软件未得到软件专利权人的专利许可,从而导致专利侵权;三是商标侵权风险,未经许可使用开源软件的商标;四是许可证冲突。 例如:在版权方面,GPL许可协议要求演绎作品整体发布时必须在GPL许可下进行发布,因此使用GPL许可协议下的源代码在软件再发布时风险较大。
但Apache、MIT、BSD等许可协议则对演绎作品的发布方式没有要求。
在专利方面, GPL-3.0、Apache-2.0明示了专利授权并有专利报复条款,MIT、BSD则无规定。 在商标方面,Apache-2.0对商标使用做出限制,规定用户必须使用许可证颁发者的商号、商标、服务标记或产品名称。
因此,在使用开源软件时,需要首先找出开源软件使用的哪个许可协议以及许可协议的版本,不同版本的许可协议可能存在较大差异,仔细阅读该版本的开源许可协议的条款,严格按照条款规定使用开源软件。
但事实上,由于开源许可证类型多样,复杂度较高,企业在使用开源软件时会面临多种挑战: 一是引入开源软件的数量难以准确统计,二是开源软件存在潜在的安全漏洞风险,三是开源协议许可证缺失或违规使用,因此建议国内企业加强开源风险治理能力,安全合规地使用开源软件。
目前,中国信通院已逐步构建了开源治理标准体系,帮助国内企业提升开源风险治理能力。
开源与技术自主可控
乌俄冲突下的科技制裁,让国内开源界再次敲响了警钟:中国应加快自主创新,确保IT设施的国产化,自己掌握主动权。
目前,包括开源在内的很多技术领域,中国还是在向国外学习,国内开发者使用的大部分开源代码、参与贡献的开源项目都是国外发起的。
想要减少对他国的依赖,实现技术自主可控,中国是应该降低开源的参与度,还是应该像现在一样积极拥抱开源?
事实上,开源已成为全球数字科技创新的动力,成长为一种强大的技术创新模式,如今新产品、新架构、新平台在开源,连顶尖的研究成果都以开源形式发布。
开源从最初的软件行业走向了硬件、芯片、视频、IoT、AI等多个领域,开源的商业模式也在逐渐成熟。
可以看到,开源作为全球科技进步至关重要的创新模式,其影响力不可低估。不仅富有远见的企业将“拥抱开源”作为提升竞争力的战略途径,许多国家也开始有意识地推动开源运动发展。
我国“十四五”规划和2035年远景目标纲要提出,要“支持数字技术开源社区等创新联合体发展,完善开源知识产权和法律体系,鼓励企业开放软件源代码、硬件设计和应用服务”,可见国家层面已高度重视开源的进步推动作用。
同时,国家也已开始研究开源所面临的安全和可控问题,例如:2018年科技部国家重点研发项目《云计算与大数据开源社区生态系统》下设子课题——《安全可控开源社区支撑平台研发》,以安全可控开源社区支撑平台的研发为目标,建立安全可控的开源社区支撑平台,以支持云计算和大数据开源生态系统的建设和运营。
在开源中国社区负责人、开源中国合伙人李晨看来,开源与自主可控本身并不冲突。
一方面,开源带来的协作、创新与人才培养等方面的增益,加速了是自主可控的进程。另一方面,开源并不代表不安全,做好版本管理、权限分配、信息防护、安全策略等方面的细致工作,开源一样是安全的。 同时,李晨表示,2020-2022年是国家安全可控体系推广最重要的三年,中国IT产业从“基础硬件—基础软件—行业应用软件”有望迎来国产替代潮。
Gitee作为国家开源代码托管平台项目牵头方也在这股浪潮之中活跃,通过本土开源力量让IT自主可控未雨绸缪。 从长期来看,国内构建自己的开源生态势在必行。 一方面,国内已开始成立自己的开源基金会,例如:开放原子开源基金会是我国首家开源基金会,发起人包括阿里、百度、华为、浪潮、腾讯、360、招行银行等多家龙头科技企业,其业务涵盖开源软件、开源硬件、开源芯片及开源内容等领域。截至2021年6月,该基金会共有10个开源项目。
除了开源基金会外,各类开源组织也在协同发展,例如:中国信通院重点依托云计算开源产业联盟、金融行业开源技术应用社区、人工智能产业发展联盟等,帮助企业运营开源项目。
此外,由中国计算机学会(CCF)成立的开源发展委员会,由中国电子技术标准化研究院牵头的木兰开源社区等,都是推动国内开源生态建设的重要力量。
另一方面,提高中国企业在全球开源项目的参与度,在开源生态方面取得更多技术话语权。
近几年中国公司进入国际化视野,由中国企业领导的开源项目越来越多,相关的根技术开源社区也出现了。
据公开数据统计,我国活跃度较高的开源项目超过半数来自阿里、华为、腾讯、百度等国内互联网科技企业,其中有20个项目捐赠给阿帕奇基金会,有21个项目捐赠给Linux基金会,这意味着中国开源项目的质量受到了国际上的认可。
在全球开源生态中取得话语权,将使得企业最终实现立足中国,引领全球的基础软件技术领导力。
结语
开源的初衷很简单,大家通过自由地使用、分享、回馈,为世界创造价值。.
带着这个美好的初衷,开源走过了几十年岁月,发展成为数字世界的基石。
但自由绝非无代价,无论是来自国界、技术还是法律的界限,开源都有其潜在的治理风险,这将是国内开源参与者必须面对的重要课题。
【科技云报道原创】