查看原文
其他

刘雪宁:企业如何进行开源合规体系建设

刘雪宁 开源雨林 2022-07-19


文字 | 王瑶

校对 | 刘雪宁

出品 | 开源雨林


2022中国国际软件发展大会暨第五届中国软件产业年会已于5月10日正式落下帷幕。本次大会由中国软件行业协会主办,当日下午的开源雨林分论坛以“企业开源合规与实践”为主题,帮助企业理解开源合规,推动国内开源生态的体系建设与数字科技创新。


华为开源律师刘雪宁出席本次论坛并作“企业开源合规体系建设”的主题演讲。她表示,天下没有免费的午餐。企业在采用一款开源软件时,首先需要关注的就是开源许可证的相关版权条款。在了解了开源软件的价值和风险之后,根据企业在开源领域的阶段,明确其存在的风险,并进行合规建设。


华为开源律师刘雪宁



01  开源软件的价值和风险


最早一批互联网创建者们追求的开源是自由与开放。现在,开源被定义为一种商业行为。开源可以代替自研,从而简化或省略代码编写、测试、版本迭代等消耗大量人力、物力和财力的工作,大幅度降低研发的投入及成本,获得更早的产品上市时间,更早地抢占市场份额。同时,开源可以促进技术创新,与客户和合作伙伴共同构筑生态链,进而刺激更多的技术创新,形成正向循环。


在企业使用开源软件的时候,需要注意履行开源义务。常见的开源义务包括放置版权说明,如有修改提供说明、修改后开源、修改后采用原许可证分发等。除版权外,代码还涉及专利权的问题。


开源许可证版权规定(开源义务)



以 GPL 为代表的一类许可证,是主流许可证中非常严格的一类。GPL 的出发点是力图保障用户分享和修改自由软件的权利,为了确保自由软件对其用户来说是自由的,GPL 不允许修改后的衍生代码作为闭源的商业软件发布和销售。因此,只要在一个软件中使用 GPL 协议的产品,则该软件产品必须也是开源和免费的,这就是所谓的“传染性”。


对于绝大多数的企业来说,如何尽可能避免传染?GPL 协议规定,对于非衍生自 GPL 程序,且自身可以被合理地视为与 GPL 程序分离的独立程序,在作为独立作品分发时可以不受 GPL 协议约束。究竟怎么区分是两个独立的程序,还是一个程序的两个部分呢?GNU 官方 FAQ 认为这是一个法律命题,最终会由法官来决定。FAQ 进一步指出,如果两个程序使用 pipes、sockets 和命令行参数等进程间通信机制来通信,那么通常认为这是两个独立程序。


开源许可证专利规定


从代码贡献者角度看,当他们拥有针对开源软件的专利权,需要注意对外许可条款及不诉限制。而对于用户而言,需要注意对第三方专利权人的侵权风险。因没有履行或不当履行开源义务,可能会引发开源软件的遵从纠纷。


近几年,国内开源诉讼呈现增多的趋势。数字天堂因认为柚子公司发布的 APICloud 软件抄袭了其 HBuilder 软件中的三个插件,对柚子公司发起了诉讼。柚子公司辩称 HBuilder 软件属于应遵循 GPL 协议开放源代码的软件。对于 GPL 协议的开源软件,任何第三方有权不经另行取得著作权人的许可,直接遵循 GPL 协议使用源代码,构建衍生软件作品,而不构成对著作权的侵犯。本案经过两审判决,没有支持被诉方的抗辩理由。


数字天堂诉柚子科技一案,是被告方利用 GPL 协议来做不侵权抗辩,而罗盒诉风灵,是真正意义上的因违反 GPL 协议而产生的诉讼,是国内首例因违反 GPL 协议而被判罚的案例。被告风灵被判向原告支付经济损失 50 万元。



02  企业在不同阶段的风险及合规建设思路


企业在开源领域可划分为四个阶段。目前,国内大多数企业处于阶段二和阶段三,朝向阶段四进行发展。



跟随者阶段(阶段二和阶段三)以使用他人开发的开源软件为主,极少将代码贡献给开源社区,即使贡献也是小量碎片化的贡献,非核心很难进入社区的基线代码,因此法律风险主要体现为开源软件的使用风险。具体包括:

  • 不遵守开源软件许可证义务导致的版权侵权风险

  • 开源软件侵犯第三方专利导致的专利侵权风险
  • 产品因不当使用开源软件而导致专利免费许可/核心软件代码开源风险
  • 使用开源软件的产品商标侵权


Elastic 是一家搜索引擎公司,AWS 基于其开源搜索引擎 Elasticsearch 推出了自己的云服务 - Amzon Elasticsearch Service。Elastic 就 AWS 产品中“Elasticsearch”的字眼与其旗下开源搜索引擎重名造成客户混淆,以商标侵权的罪名将 AWS 告上法庭


本案于今年二月双方和解,亚马逊开始从网站的各个页面及其服务和相关项目名称中删除“Elasticsearch”一词。


作为领导者的企业(阶段四),最大的特点是其社区代码贡献量非常大,且贡献的代码成为基线代码,拥有庞大的用户群,并主导建立社区规则。其面临的主要风险来源主要有:

  • 开源社区策略对既有版权、专利许可策略以及专利布局的影响

  • 贡献代码是否侵犯他人版权

    IBM 与 SCO 的版权诉讼长跑案例

    Oracle 与 Google 的版权大战


  • 贡献代码是否涉及公司的核心重要专利

    博通退出 OIC 事件

  • 贡献代码侵犯他人专利引发的专利诉讼问题

  • 社区制度设计可能引发的反垄断问题及其他法律责任

    TruePosition VS. 3gpp, 高通,爱立信,阿朗

  • 跟随者阶段开源软件的使用风险也会继续面临


合规体系建设



借助专业的平台和工具的支持,专业人员团队的参与和建设,实现合规体系建设,为企业开源的法律合规保驾护航。






 什么是开源雨林?

开源雨林由华为联合开放原子开源基金会、中国信息通信研究院、中国软件行业协会、中国科学院软件研究所共同合作。面对企业在开源领域的各种问题,各共建方愿把长期积累的经验系统化分享给企业,围绕开源通识、开源使用、开源贡献三大方面构建知识体系,在团队、机制、项目三方面提供合作,推动各企业更高效地使用开源、贡献开源升全行业开源技术与用水平。 


开源雨林的内容已开源,并托管在 https://github.com/opensource-rainforest 欢迎通过 Pull Request 的形式贡献内容,通过 Issue 的形式展开讨论,共同维护开源雨林的内容。


往期精彩回顾



王怀民院士:共建繁荣开源生态体系,为中国软件产业创造欣欣向荣的“开源雨林”!堵俊平:有效的模型不能一味追求“大”,效率和质量才是真正追求的方向
点这里 ↓↓↓ 记得 关注✔ 标星⭐ 哦~
点分享点收藏点点赞点在看

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存