刘雪宁：企业如何进行开源合规体系建设

2022中国国际软件发展大会暨第五届中国软件产业年会已于5月10日正式落下帷幕。本次大会由中国软件行业协会主办，当日下午的开源雨林分论坛以“企业开源合规与实践”为主题，帮助企业理解开源合规，推动国内开源生态的体系建设与数字科技创新。

01  开源软件的价值和风险

最早一批互联网创建者们追求的开源是自由与开放。现在，开源被定义为一种商业行为。开源可以代替自研，从而简化或省略代码编写、测试、版本迭代等消耗大量人力、物力和财力的工作，大幅度降低研发的投入及成本，获得更早的产品上市时间，更早地抢占市场份额。同时，开源可以促进技术创新，与客户和合作伙伴共同构筑生态链，进而刺激更多的技术创新，形成正向循环。

在企业使用开源软件的时候，需要注意履行开源义务。常见的开源义务包括放置版权说明，如有修改提供说明、修改后开源、修改后采用原许可证分发等。除版权外，代码还涉及专利权的问题。

开源许可证版权规定（开源义务）

以 GPL 为代表的一类许可证，是主流许可证中非常严格的一类。GPL 的出发点是力图保障用户分享和修改自由软件的权利，为了确保自由软件对其用户来说是自由的，GPL 不允许修改后的衍生代码作为闭源的商业软件发布和销售。因此，只要在一个软件中使用 GPL 协议的产品，则该软件产品必须也是开源和免费的，这就是所谓的“传染性”。

对于绝大多数的企业来说，如何尽可能避免传染？GPL 协议规定，对于非衍生自 GPL 程序，且自身可以被合理地视为与 GPL 程序分离的独立程序，在作为独立作品分发时可以不受 GPL 协议约束。究竟怎么区分是两个独立的程序，还是一个程序的两个部分呢？GNU 官方 FAQ 认为这是一个法律命题，最终会由法官来决定。FAQ 进一步指出，如果两个程序使用 pipes、sockets 和命令行参数等进程间通信机制来通信，那么通常认为这是两个独立程序。

从代码贡献者角度看，当他们拥有针对开源软件的专利权，需要注意对外许可条款及不诉限制。而对于用户而言，需要注意对第三方专利权人的侵权风险。因没有履行或不当履行开源义务，可能会引发开源软件的遵从纠纷。

02  企业在不同阶段的风险及合规建设思路

企业在开源领域可划分为四个阶段。目前，国内大多数企业处于阶段二和阶段三，朝向阶段四进行发展。

跟随者阶段（阶段二和阶段三）以使用他人开发的开源软件为主，极少将代码贡献给开源社区，即使贡献也是小量碎片化的贡献，非核心很难进入社区的基线代码，因此法律风险主要体现为开源软件的使用风险。具体包括：

• 不遵守开源软件许可证义务导致的版权侵权风险；

• 开源软件侵犯第三方专利导致的专利侵权风险；
• 产品因不当使用开源软件而导致专利免费许可/核心软件代码开源风险；
• 使用开源软件的产品商标侵权。

Elastic 是一家搜索引擎公司，AWS 基于其开源搜索引擎 Elasticsearch 推出了自己的云服务 - Amzon Elasticsearch Service。Elastic 就 AWS 产品中“Elasticsearch”的字眼与其旗下开源搜索引擎重名造成客户混淆，以商标侵权的罪名将 AWS 告上法庭，

本案于今年二月双方和解，亚马逊开始从网站的各个页面及其服务和相关项目名称中删除“Elasticsearch”一词。

作为领导者的企业（阶段四），最大的特点是其社区代码贡献量非常大，且贡献的代码成为基线代码，拥有庞大的用户群，并主导建立社区规则。其面临的主要风险来源主要有：

• 贡献代码侵犯他人专利引发的专利诉讼问题

• 社区制度设计可能引发的反垄断问题及其他法律责任

  TruePosition VS. 3gpp, 高通，爱立信，阿朗

• 跟随者阶段开源软件的使用风险也会继续面临

借助专业的平台和工具的支持，专业人员团队的参与和建设，实现合规体系建设，为企业开源的法律合规保驾护航。

开源雨林由华为联合开放原子开源基金会、中国信息通信研究院、中国软件行业协会、中国科学院软件研究所共同合作。面对企业在开源领域的各种问题，各共建方愿把长期积累的经验系统化分享给企业，围绕开源通识、开源使用、开源贡献三大方面构建知识体系，在团队、机制、项目三方面提供合作，推动各企业更高效地使用开源、贡献开源，提升全行业开源技术与应用水平。 

开源雨林的内容已开源，并托管在 https://github.com/opensource-rainforest ，欢迎通过 Pull Request 的形式贡献内容，通过 Issue 的形式展开讨论，共同维护开源雨林的内容。