開源軟件典型知識產權風險及應對建議

【摘 要】 本文介紹了開源軟件在我國發展應用的現狀，分析了開源軟件知識產權風險領域現有檢測技術的不足，提出開源軟件多層級知識產權風險溯源檢測技術。通過對3類典型的基礎軟件開展檢測分析，總結常見的開源軟件不規范使用行為和知識產權風險類型，并從國家層面、行業層面、企業層面出發，提出風險應對建議。

【關鍵詞】 開源軟件    知識產權    風險

1 引言

近年來，隨著網絡強國、數字中國戰略部署深入推進，國家層面持續加強開源領域頂層設計，高度重視開源軟件發展。《中華人民共和國國民經濟和社會發展第十四個五年規劃和2035年遠景目標綱要》明確提出，“支持數字技術開源社區等創新聯合體發展，完善開源知識產權和法律體系，鼓勵企業開放軟件源代碼、硬件設計和應用服務”。在國家政策的大力支持下，行業層面和企業層面也積極擁抱開源、使用開源。近年來，筆者參與了多款國內軟件的檢測分析，范圍覆蓋操作系統、數據庫、瀏覽器、基本輸入輸出系統（BIOS）等產品類型。通過數據分析發現，開源軟件已成為國內軟件開發的重要技術路線。在操作系統、數據庫、瀏覽器3類基礎軟件產品中，采用開源技術路線的產品數量占被測產品總量的89%。

國內軟件企業廣泛使用開源，也同步回饋開源，并致力于共建國內外開源軟件生態，已取得顯著成效。根據《2021 Github年度報告》顯示，Github平臺上我國開源開發者人數已達755萬人，成為僅次于美國的第二大開發者群體。國內首個開源基金會開放原子基金會、最大的開源代碼托管平臺Gitee、首個獲得國際開放源代碼促進會（Open Source Initiative，OSI）認可的本土開源許可證木蘭許可證等應運而生，并已得到廣泛應用。目前，Gitee上的注冊用戶數已超過800萬人，代碼倉庫數量已超過2000萬個。OpenEuler、OpenHarmony、OpenGauss、OceanBase等國內軟件開源項目及開放社區也呈現蓬勃發展態勢。

開源軟件的開放共享，促進了我國軟件產業的快速發展。但是，相較于國外成熟的開源軟件生態，我國開源軟件生態建設起步相對較晚，生態規模、技術能力水平、國際化水平、關注度、成熟度等方面尚且存在一定的差距。特別是，部分軟件企業、開發人員欠缺開源合規及風險防范意識，在對開源衍生產品進行商業化、代碼分發等的過程中，時常發生不規范使用開源代碼的行為，由此可能帶來知識產權中斷、糾紛、侵權等風險和諸多挑戰，影響產品演進和企業發展。

2 開源軟件典型知識產權權利要求形式

一般來說，開源軟件的生產模式是，開源貢獻者發起并完成初始開發，將其貢獻至開源社區、捐贈至開源基金會或托管至開源平臺后，由多個開發者采用開放式、分布式的開發模式，參與實現軟件版本迭代演進。開源使用者可通過互聯網下載開源項目，在此基礎上研發軟件產品，如圖1所示。開源使用者開發某軟件版本V1.0中，使用了眾多開源貢獻者資源，包括原始開源貢獻者貢獻的初始版本V1.0，以及開源貢獻者A、B、C、D、E等貢獻的代碼。

圖1 開源軟件常見開發模式

從知識產權角度，開源代碼不等于免費代碼，它們與計算機軟件一樣，受版權、專利、商標等知識產權法律保護。因此，開源使用者在應用過程中，需要掌握開源軟件的使用權利和義務，并嚴格遵守，否則，容易引發知識產權中斷、糾紛、訴訟等風險。

一般來說，開源軟件從開源許可證要求、開源社區/開源基金會/代碼托管平臺管理及政策、法律法規規定等多個方面出發，對其自身的使用、發布、復制和演繹等過程的知識產權使用權利要求進行規定。以開源Linux操作系統為例，該軟件典型的知識產權使用權利規定如下。

2.1 開源許可證要求

開源許可證是涉及版權、專利、商標等一系列權利義務的格式合同，且自動生效。開源許可證將開源軟件的權利賦予開源使用者，同時也規定開源使用者使用開源軟件時必須遵守的約束，一般以文件形式存放在開源代碼中。筆者對基于Linux操作系統研發的某桌面操作系統代碼進行分析，其代碼中主要使用的開源許可證示例如圖2（縱坐標代表文件個數）所示。

圖2 某桌面操作系統代碼中開源許可證使用情況

通過研究分析許可證條款發現，圖2中列舉的7種開源許可證賦予開源使用者不同的權利和義務，如表1所示。

表1 開源許可證典型知識產權權利規定

按照知識產權權利規定要求，使用表1中開源許可證關聯的代碼文件時，需嚴格遵守相關要求。對于未明示知識產權許可的開源許可證，其賦予的知識產權權利和義務的解釋權、決定權在開源貢獻者一方。

2.2 社區及平臺級管理及政策要求

開源Linux操作系統目前主要由Linux基金會維護管理，Linux有上百種不同的發行版本，其中最具代表性的有Debian、RedHat、CentOS、Ubuntu、SUSE等，分別由各自的開源社區維護管理。同時，開源貢獻者也將相關代碼打包分發至其他開源社區或開源平臺，如Git、Github等。

一方面，開源軟件使用權利受開源平臺或社區注冊運維所在國政策要求影響。例如，Linux基金會及Github平臺注冊運維所在國為美國，Linux基金會聲明，涉及加密技術的開源模塊受美國出口管制限制，使用前需向美國工業與安全局（Bureau of Industry and Security，BIS）或國家安全局（National Security Agency，NSA）發送郵件，以示報備。《Github和貿易管制》聲明，Github.com、Github Enterprise Server以及上傳到其平臺的任一產品的信息都需遵守貿易管制法規，包括美國出口管制條例。其中，GitHub.com要求用戶必須按照相關法律對其訪問和使用，包括美國出口管制和制裁法律；GitHub Enterprise Server不得出售給、出口到或再出口到管制國家/地區。

另一方面，開源平臺或社區對開源項目知識產權權利也作出相關要求。例如，Linux基金會官網商標使用指南顯示，Linux商標權利人為Linux操作系統創始人林納斯托瓦茲（Linus Torvalds），在未獲得權利人授權的情況下，禁止使用Linux商標。

2.3 知識產權類法律法規規定

近年來，國內外開源法律訴訟案件顯示，開源軟件明確受知識產權法律法規保護，主要包括以下方面。

（1）認可開源許可證的法律效力，開源許可證作為國際主流開源行業內共同認可和遵守的契約文本，具備合同特征，當開源使用者對開源軟件進行使用、復制、修改或發布等時，默認合同生效，開源使用者違反開源許可證要求，將導致知識產權問題，如版權侵權等。

（2）計算機軟件屬于著作權法保護的對象，開源軟件作為一種發布在網絡平臺上、可供開源使用者訪問的軟件，開源貢獻者享受包括公開、署名、修改、復制、分發傳播等著作權。開源貢獻者作為開源軟件的作者，也是開源軟件的著作權人，可以依據著作權法保護自身合法權益，在權利受到侵犯時，要求侵權人承擔相關責任。

（3）開源軟件所涉的技術構思、操作方法等屬于專利法保護的對象，開源軟件所涉及的專利權一般屬于開源貢獻者或第三方。

（4）按照商標分類方法，開源軟件名稱可申請第9類計算機程序或第42類計算機程序開發服務等注冊商標，享有商標專用權。在沒有特別聲明的情況下，開源使用者不得直接使用開源貢獻者的商標、商號、服務標記等進行產品宣傳。

3 開源軟件多層級知識產權風險溯源檢測技術

為了避免因使用開源軟件產生知識產權中斷、訴訟、侵權等風險，業界研發推出多款檢測工具，如BlackDuck、FOSSID、FOSSA、FOSSology、LincenseFinder、WhiteSource等，此類工具能夠支持對常見編程語言軟件代碼開展如代碼同源性掃描、許可證探測、代碼質量審核等工作，幫助開發者準確且高效實現代碼開源成分分析、許可證識別、代碼質量控制。但是，此類工具主要針對被測軟件代碼本身開展代碼掃描、開源許可證的識別及合規檢查，較少考慮開源軟件知識產權權利要素，對于多種開源許可證知識產權權利要求沖突等問題尚未開展有效檢測，缺少更細粒度的開源軟件知識產權檢測及風險識別手段。

如圖3所示，依賴開源項目開展研發的項目C為被測對象，其由C1及C2共同組成，C1與C2之間存在調用關系，項目C源代碼為閉源狀態。

圖3 開源軟件許可證使用情況

利用現有工具對項目C開展檢測，大多數工具輸出的檢測結果包括以下幾個方面：C1與開源項目A中的A1具有同源關系；C2與開源項目B中的B1具有同源關系；C1無開源許可證；C2無開源許可證；A1采用GPL2.0開源許可證；B1采用AGPL3.0開源許可證。

但是下列3類問題，大部分現有工具無法做到有效識別。

問題1：C1與A1具有同源關系，按照A1中GPL2.0許可證要求，C1應與A1許可證一致，但C1顯示無開源許可證，存在刪除GPL2.0許可證的情況。同理，C2與B1具有同源關系，C2顯示無開源許可證，存在刪除AGPL3.0許可證的情況。大部分現有工具能識別C1與A1、C2與B1的同源關系，但不對C1、C2刪除許可證問題進行提示。

問題2：如果C1和C2嚴格按照文件A1和B1中的許可證要求，則由于GPL2.0許可證要求與AGPL3.0許可證要求存在不兼容問題，C1和C2共同組成C時，將產生許可證沖突問題。大部分現有工具未將許可證沖突納入檢測范圍，不對其進行提示。

問題3：如果C1和C2嚴格按照文件A1和B1中的許可證要求，則按照GPL2.0開源許可證要求和“傳染性”特性，在某些特定情況下，待測項目C將被視為衍生代碼且需要開源。大部分現有工具對使用開源但衍生產品閉源的情況不作風險提示。

上述3類問題均由待測項目C的同源項目引入，實際工作中需要對項目C開展全面的溯源風險分析，最大程度上定位其面臨的知識產權風險。

基于此類情況，筆者研究提出開源軟件多層級知識產權風險溯源檢測技術，對開源許可證要求、開源社區/開源基金會/代碼托管平臺管理及政策要求、法律法規規定提取信息，并進行信息規范化及標準化，以此構建開源軟件知識產權權利要求知識庫，通過代碼同源性比對分析，建立開源軟件溯源關系，檢測待測項目自身知識產權風險，以及由同源項目傳遞至待測項目的知識產權風險，檢測技術框架如圖4所示。

圖4 開源軟件多層級知識產權風險溯源檢測技術框架

基于開源軟件多層級知識產權風險溯源檢測技術，對3類軟件（包括操作系統、數據庫、瀏覽器）開展了檢測，發現以下4類典型風險。

一是直接刪除、修改開源許可證或版權要求，違反開源許可證要求；

二是違反開源許可證要求，將開源軟件衍生代碼閉源分發、商業化；

三是多個開源項目不規范組合，產生開源許可證沖突，如表2所示；

四是特定情況下，使用開源軟件可能侵犯開源貢獻者或第三方專利權。

表2 數據庫產品使用的開源項目許可證沖突

4 開源軟件風險防范及應對建議

通過以上風險的發現，驗證了開源軟件多層級知識產權風險溯源檢測技術的可用性及有效性，該技術解決了傳統分析技術無法有效開展細粒度知識產權檢測及風險識別的問題。通過該技術，發現開源軟件使用常見知識產權風險以違規訴訟風險為主，同時還存在因違規訴訟，導致開源使用者無法再使用開源軟件，產生授權中斷等風險，對開源使用者更新迭代產品造成影響，嚴重情況下可能影響軟件企業發展。

建議從以下3個方面出發，全面深入防范開源軟件知識產權風險，引導我國軟件產業高質量發展。

4.1 國家層面，實施開源激勵政策，建設本土開源生態

從國家層面，建議實施開源激勵政策，提高產學研用各方對我國開源生態的關注度和投入程度，提升開源領域的發展活力和動力，推動龍頭企業積極向國內外開源平臺貢獻優秀開源項目，帶動中小企業研發能力快速發展并反哺國內開源社區，以此形成我國開源生態的良性循環，支撐我國軟件產業的技術發展統一和規模發展壯大，培養一批技術先進、具有國際競爭力的國產自主開源項目，在國際競爭中取得自主權、主動權，有效應對因使用國際開源項目可能帶來的知識產權風險問題。

4.2 行業層面，高效協同形成合力，推動開源良性發展

從行業層面，建立高效協同的開源產業聯盟，科學統籌、集中力量、形成合力，共同打造統一、具有一定規模的本土開源社區、開源代碼托管平臺等開源基礎設施，解決傳統開源領域組織分散、各為一方、社區散亂弱小等問題。進一步豐富建設我國開源行業標準和規范，繼續研究制定受國際認可、具有國際影響力的本土開源許可證，加強行業開源理念、法律法規、開源合規等的科普和培訓宣貫，為我國開源生態提供有力的知識產權、法律支撐，引導中國軟件開發者正確使用開源軟件，有效防范開源軟件知識產權風險，推動開源良性發展。

4.3 企業層面，加強自主研發能力，規范使用開源軟件

從企業層面，建議加強自主創新研發能力，積極開展關鍵核心技術攻關，提升自身知識產權布局，增強知識產權市場競爭力，有效制衡外部知識產權侵權訴訟風險。加快對開源技術的消化吸收，減少對外來技術的依賴，防范知識產權中斷風險。加強企業內部知識產權、法務、研發等各部門協同配合，提高開源軟件知識產權意識和風險防范能力，建立開源軟件合規使用管理機制以及軟件全生命周期知識產權風險排查機制，加強相關人員對開源政策、法律法規、開源許可證要求等的學習理解，嚴格按照相關要求規范使用開源軟件。

5 結語

本文通過筆者在實際業務工作中掌握的開源軟件應用現狀，分析開源軟件典型知識產權權利要求，通過提出一種新型的開源軟件多層級知識產權風險溯源檢測技術，對開源軟件使用常見的知識產權風險進行了分析總結，并給出風險防范和應對建議。政產學研用各方應該把握開源軟件發展趨勢，聚焦我國軟件產業在開源應用過程中面臨的突出問題，加強頂層設計和統籌規劃，推動國產自主軟件開源生態建設及良性發展。

 （原載于《保密科學技術》雜志2023年3月刊）