文/陳健 陳志(中國(guó)科學(xué)技術(shù)發(fā)展戰(zhàn)略研究院)

　　當(dāng)前，開源軟件在軟件供應(yīng)鏈體系滲透率不斷提高，已經(jīng)成為軟件生態(tài)中必不可少的要素。在云計(jì)算、大數(shù)據(jù)、人工智能、工業(yè)互聯(lián)網(wǎng)等新興領(lǐng)域，開源已成為主要開發(fā)模式。操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件軟件、應(yīng)用軟件、設(shè)備固件等的開發(fā)、編譯、測(cè)試都越來(lái)越多的采用開源代碼，軟件供應(yīng)鏈的開源化趨勢(shì)越來(lái)越明顯。在政府管理、軍工、能源、金融等關(guān)鍵行業(yè)，也從以前的“談開源色變”，到現(xiàn)在已經(jīng)廣泛接受和應(yīng)用開源軟件。但不可忽視的是，當(dāng)前的開源世界仍由美國(guó)稱霸，不光絕大多數(shù)開源基金會(huì)和開源項(xiàng)目都位于美國(guó)，幾乎所有開源許可證和代碼托管平臺(tái)也都由美國(guó)的學(xué)術(shù)界和工業(yè)界主導(dǎo)(數(shù)據(jù)來(lái)源：中國(guó)開放指令生態(tài)聯(lián)盟《開源項(xiàng)目風(fēng)險(xiǎn)分析與對(duì)策建議》)。不管是PC互聯(lián)網(wǎng)領(lǐng)域的Wintel聯(lián)盟，移動(dòng)互聯(lián)網(wǎng)領(lǐng)域的ARM+Android，還是大數(shù)據(jù)領(lǐng)域的Hadoop、Spark，AI領(lǐng)域的GPU、TensorFlow，這些支撐行業(yè)應(yīng)用、產(chǎn)品和生態(tài)的底層基礎(chǔ)，國(guó)內(nèi)公司幾乎都還是“拿來(lái)主義”。但“華為事件”警示我們，“免費(fèi)午餐”的背后往往要付出昂貴的代價(jià)。在國(guó)際形勢(shì)撲朔迷離和傳統(tǒng)安全與非傳統(tǒng)安全風(fēng)險(xiǎn)交織的大背景下，眾多中國(guó)科技企業(yè)和用戶將同樣可能面臨“華為之劫”。因此，重新審視開源軟件的風(fēng)險(xiǎn)問(wèn)題將成為提升我國(guó)軟件供應(yīng)鏈科技安全的重中之重。

　　一、三大風(fēng)險(xiǎn)敲響開源警鐘

　　(一)數(shù)量激增的開源軟件安全漏洞帶來(lái)巨大信息安全隱患

　　隨著開源組件和容器的廣泛采用，開源軟件中安全漏洞、惡意軟件包、后門等問(wèn)題數(shù)量激增，系統(tǒng)信息泄露、密碼管理、資源注入、跨站請(qǐng)求偽造、跨站腳本、HTTP消息頭注入、SQL注入、越界訪問(wèn)、命令注入、內(nèi)存泄漏等數(shù)據(jù)安全和隱私風(fēng)險(xiǎn)日益嚴(yán)峻(數(shù)據(jù)來(lái)源：SNYK《2019年開源安全現(xiàn)狀調(diào)查報(bào)告》)。統(tǒng)計(jì)顯示，2019年公開的開源軟件漏洞數(shù)量已增至6000多個(gè)，增幅近50%(數(shù)據(jù)來(lái)源：WhiteSource《2019年開源組件安全漏洞現(xiàn)狀報(bào)告》);NVD、CNVD等漏洞庫(kù)中的開源軟件漏洞數(shù)量不斷增加，還有大量開源軟件漏洞未被收錄到這些漏洞庫(kù)中(數(shù)據(jù)來(lái)源：《2019年開源軟件風(fēng)險(xiǎn)研究報(bào)告》，

　　已知的開源漏洞只有84%提交到NVD美國(guó)國(guó)家漏洞數(shù)據(jù)庫(kù));易受攻擊的開源組件代碼庫(kù)比例從2018年的60%增至75%，包含高風(fēng)險(xiǎn)漏洞的代碼庫(kù)的比例由2018年的40%增至49%(數(shù)據(jù)來(lái)源：美國(guó)新思科技公司《2020年開源安全和風(fēng)險(xiǎn)分析報(bào)告》)。開源軟件的安全漏洞對(duì)個(gè)人的隱私保護(hù)及企業(yè)和國(guó)家的信息安全問(wèn)題提出了重大挑戰(zhàn)，例如，2014年臭名昭著的Heartbleed 漏洞就曾導(dǎo)致全球超過(guò)三分之二的網(wǎng)站“心臟出血”，大量私鑰和其他加密信息處于暴露危險(xiǎn)之下。不同于傳統(tǒng)閉源軟件，開源軟件由多人協(xié)作完成，其依賴和引用關(guān)系較為復(fù)雜，安全漏洞的放大作用非常顯著，加劇了開源軟件的漏洞管理難度。尤其在中美貿(mào)易摩擦日益復(fù)雜的局勢(shì)下，一旦美國(guó)利用開源軟件中的惡意代碼、病毒、后門等對(duì)我國(guó)進(jìn)行監(jiān)視或攻擊，將使我國(guó)信息安全遭受致命打擊。

　　(二)開源許可協(xié)議的多樣性和脆弱性引發(fā)知識(shí)產(chǎn)權(quán)及合規(guī)風(fēng)險(xiǎn)

　　開源許可協(xié)議是涉及版權(quán)、專利、商標(biāo)等一系列權(quán)利義務(wù)的格式合同，開源軟件的作者或權(quán)利人主要通過(guò)開源許可協(xié)議對(duì)其知識(shí)產(chǎn)權(quán)進(jìn)行許可與約束。若開源軟件使用者未依照相應(yīng)的開源許可協(xié)議使用開源軟件，將可能面臨知識(shí)產(chǎn)權(quán)及合規(guī)風(fēng)險(xiǎn)。全球范圍內(nèi)的開源許可協(xié)議已達(dá)上百種，目前最常用的六大開源許可協(xié)議(GPL、LGPL、BSD、MIT、Mozilla、Apache)核心出發(fā)點(diǎn)是一致的，即允許用戶免費(fèi)使用、修改軟件，但在具體許可細(xì)節(jié)上差別很大。例如，使用GPL許可協(xié)議的代碼再發(fā)布軟件時(shí)沒有提供源代碼，就屬于違約行為，那么該使用者對(duì)開源軟件的復(fù)制、修改、再發(fā)布就會(huì)造成版權(quán)侵權(quán);BSD和MIT等部分開源許可協(xié)議并未包含明確的專利許可條款用以許可用戶使用軟件所包含的相關(guān)專利，開源使用者很可能被開源貢獻(xiàn)者提起專利訴訟并收取專利許可費(fèi);多種開源許可協(xié)議之間還可能存在不兼容性，據(jù)統(tǒng)計(jì)，67%的代碼庫(kù)包含某種形式的開源代碼許可證沖突，33%的代碼庫(kù)包含沒有可識(shí)別許可證的開源組件(數(shù)據(jù)來(lái)源：《開源產(chǎn)業(yè)白皮書2019》)。

　　另外，開源協(xié)議所體現(xiàn)的是民事主體的意思自治和相對(duì)性等法律特性，導(dǎo)致開源協(xié)議具有某種“脆弱性”的限制，從而使開源軟件的使用規(guī)則存在不確定性，體現(xiàn)在：協(xié)議本身可以通過(guò)協(xié)商、修訂、補(bǔ)充等方式進(jìn)行修改;違約責(zé)任的設(shè)置可能導(dǎo)致當(dāng)事人在權(quán)衡各種可能責(zé)任之后做出主動(dòng)或者“惡意”的違約，特別是可以終止許可，禁止開源分支等。例如，2018年以來(lái)多個(gè)開源軟件開發(fā)商(Redis、MongoDB、Kafka等)已經(jīng)對(duì)其過(guò)去使用的開源許可證進(jìn)行了修改。最重要的是，意思自治和相對(duì)性約束了開源協(xié)議僅對(duì)協(xié)議各方發(fā)生效力，其作用為保護(hù)知識(shí)產(chǎn)權(quán)，不涉及其他的國(guó)家法律層面的條款(如出口管制、司法管轄權(quán)等)。從現(xiàn)有情況來(lái)看，當(dāng)前最常用的6個(gè)開源許可協(xié)議，沒有在知識(shí)產(chǎn)權(quán)層面上對(duì)中國(guó)進(jìn)行管制，也均未涉及與政府出口管制相關(guān)的聲明。但當(dāng)發(fā)生國(guó)家安全、社會(huì)公眾利益和個(gè)人(合同方)利益競(jìng)合時(shí)，就會(huì)產(chǎn)生事實(shí)上的法益沖突和優(yōu)先劣后等問(wèn)題。極端情況下，如果美國(guó)NSF、NASA以國(guó)防安全為由，制定一個(gè)新的開源許可證，限制其資助的所有開源項(xiàng)目只能在美國(guó)使用和發(fā)布，則美國(guó)以外的其他國(guó)家將失去這部分開源項(xiàng)目的使用權(quán)。我國(guó)公司一旦使用，就會(huì)侵犯知識(shí)產(chǎn)權(quán)，這一潛在風(fēng)險(xiǎn)不容忽視。

　　(三)出口管制蔓延使開源基礎(chǔ)架構(gòu)面臨“斷供”風(fēng)險(xiǎn)

　　開源相關(guān)的法律約束除開源許可證外，還包括出口管制和司法管轄權(quán)。按照美國(guó)出口管制條例的規(guī)定(734.7b和742.15b)，所有“公開可獲得”的源代碼(不含加密軟件以及帶加密功能的其他開源軟件)，都是不被出口管制的，而“公開可獲得”的帶加密功能的源代碼，雖不會(huì)被限制出口，但需登記備案(5D002)。司法管轄權(quán)是指法院或司法機(jī)構(gòu)對(duì)訴訟進(jìn)行裁決和判決的權(quán)力。使用網(wǎng)站或注冊(cè)會(huì)員時(shí)，如果其使用條款或會(huì)員條款中指定了司法管轄權(quán)的歸屬，則代表合同雙方同意只承認(rèn)指定的司法機(jī)關(guān)做出的判決為賠償?shù)囊罁?jù)。從現(xiàn)有開源基金會(huì)和托管平臺(tái)的情況來(lái)看，開源基金會(huì)的管理辦法差異較大，例如，Linux基金會(huì)自身的管理辦法不受美國(guó)出口管制，但其旗下的虛擬化項(xiàng)目Xen明確要求其使用并出口者遵循美國(guó)出口管制;Apache基金會(huì)的管理辦法明確說(shuō)明遵循美國(guó)出口管制，旗下絕大多數(shù)項(xiàng)目如Hadoop、Spark等，在備案(5D002)后即不受出口管制。而GitHub、SourceForge和Google Code 3個(gè)代碼托管平臺(tái)均明確聲明遵守美國(guó)出口管制條例，并且司法管轄權(quán)均在加州。這就意味著，如果一個(gè)開源項(xiàng)目或開源組織聲明遵從美國(guó)的出口管制條例，此時(shí)一旦美國(guó)修改條例，將一些核心基礎(chǔ)軟件加入到管制中，那么大量核心開源項(xiàng)目將受到出口管制。2019年7月，GitHub托管平臺(tái)就曾因美國(guó)貿(mào)易管制政策，限制了克里米亞開發(fā)者的賬戶，導(dǎo)致其托管的開源代碼無(wú)法訪問(wèn)。因此，一旦美國(guó)針對(duì)中國(guó)公司的貿(mào)易管制政策蔓延到開源項(xiàng)目，中國(guó)公司托管在海外的開源代碼資產(chǎn)將面臨凍結(jié)風(fēng)險(xiǎn)。尤其是當(dāng)一個(gè)開源項(xiàng)目或開源組織指定了司法管轄權(quán)歸屬于美國(guó)某法院，則所有圍繞使用條款展開的糾紛，都將以該美國(guó)法院的判決為準(zhǔn)，我國(guó)企業(yè)勝訴的幾率將十分渺茫。

　　二、三大策略提升我國(guó)開源軟件供應(yīng)鏈科技安全

　　(一)從技術(shù)突破、安全審查規(guī)范、平臺(tái)建設(shè)、公共服務(wù)等多角度構(gòu)建開源軟件供應(yīng)鏈安全防范體系

　　美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)早在2015年就發(fā)布了NIST-800-161標(biāo)準(zhǔn)，為信息與通信技術(shù)系統(tǒng)的風(fēng)險(xiǎn)管理提供了指南。美國(guó)國(guó)防部高級(jí)研究計(jì)劃局(DARPA)于2013年部署了專門以軟件供應(yīng)鏈安全檢測(cè)技術(shù)為目標(biāo)的商用信息技術(shù)軟件及固件審查項(xiàng)目(VET)。Google、IBM、Red Hat、JFrog等大型科技公司還聯(lián)合開發(fā)Grafeas開源項(xiàng)目，用于統(tǒng)一設(shè)計(jì)和管理軟件供應(yīng)鏈，從而提升其安全性。與之相比，我國(guó)尚未部署以開源軟件供應(yīng)鏈安全為主題的重點(diǎn)研發(fā)項(xiàng)目，在產(chǎn)品審查測(cè)評(píng)過(guò)程中，也鮮有開源軟件供應(yīng)鏈安全相關(guān)的流程要求及檢測(cè)手段。因此，我國(guó)應(yīng)加快與開源軟件供應(yīng)鏈安全相關(guān)的核心技術(shù)和關(guān)鍵設(shè)備的攻關(guān)，以及深度學(xué)習(xí)、區(qū)塊鏈等新型安全防護(hù)技術(shù)的應(yīng)用探索。從國(guó)家層面制定出臺(tái)關(guān)于開源軟件準(zhǔn)入、采購(gòu)規(guī)范、代碼安全檢測(cè)等安全審查機(jī)制的規(guī)范及標(biāo)準(zhǔn)。推動(dòng)國(guó)家主管部門、權(quán)威測(cè)評(píng)機(jī)構(gòu)、科研單位、大型互聯(lián)網(wǎng)企業(yè)等組織加強(qiáng)合作，共同推動(dòng)開源軟件供應(yīng)鏈可信組件資源平臺(tái)和可信軟件資源鏡像倉(cāng)庫(kù)的建設(shè)及應(yīng)用。另外，應(yīng)依托行業(yè)組織和中介機(jī)構(gòu)，開展與開源風(fēng)險(xiǎn)防范相關(guān)的公共服務(wù)，引導(dǎo)和規(guī)范企業(yè)對(duì)開源軟件的應(yīng)用，通過(guò)技術(shù)評(píng)測(cè)、案例講習(xí)、咨詢服務(wù)等途徑增強(qiáng)企業(yè)的開源風(fēng)險(xiǎn)防控意識(shí)和能力。

　　(二)以“開源軟件及其協(xié)議的司法界定”和“數(shù)字貿(mào)易規(guī)則的一致性”為著力點(diǎn)，完善開源軟件知識(shí)產(chǎn)權(quán)相關(guān)法律法規(guī)

　　目前我國(guó)與保護(hù)開源軟件知識(shí)產(chǎn)權(quán)相關(guān)的法律包括《著作權(quán)法》與《計(jì)算機(jī)軟件保護(hù)條例》，但在這兩部法律中，都沒有明確的開源軟件的定義以及對(duì)開源許可協(xié)議的司法界定。例如，在《計(jì)算機(jī)軟件保護(hù)條例》中，還認(rèn)為“同一計(jì)算機(jī)程序的源程序和目標(biāo)程序?yàn)橥蛔髌?。”但是，發(fā)布目標(biāo)程序與同時(shí)發(fā)布源程序，明顯是兩種差異巨大的行為。再者，《計(jì)算機(jī)軟件保護(hù)條例》中所說(shuō)的：“軟件著作權(quán)人可以全部或部分轉(zhuǎn)讓其軟件著作權(quán)，并有權(quán)獲得報(bào)酬”，其中的部分轉(zhuǎn)讓，是否包含“修改權(quán)的部分轉(zhuǎn)讓”?例如，雖然允許修改源代碼，但是代碼中關(guān)于許可證的注釋內(nèi)容，能不能被刪除或修改?另外，外國(guó)開源軟件，包括開源軟件的許可協(xié)議，是否受到中國(guó)法律保護(hù)?這些都是現(xiàn)有法律法規(guī)中缺失的內(nèi)容，需要從版權(quán)法下開源屬性權(quán)利的獨(dú)立性、合同法下開源軟件許可協(xié)議的規(guī)范等方面進(jìn)一步界定和完善。

　　另一方面，開源軟件的全球參與必然產(chǎn)生數(shù)據(jù)出境的問(wèn)題。在數(shù)字貿(mào)易相關(guān)談判中，如何保護(hù)源代碼，一直是各方爭(zhēng)議的重點(diǎn)。中國(guó)一向主張強(qiáng)制性地要求企業(yè)開放源代碼，在具體行業(yè)市場(chǎng)準(zhǔn)入中也將開放源代碼作為前提條件。而美國(guó)在TPP14.17第1款明確要求實(shí)現(xiàn)“源代碼非強(qiáng)制本地化”，并將越來(lái)越多的軟件產(chǎn)品源代碼納入“非強(qiáng)制開放”的范疇。歐盟和日本的態(tài)度與美國(guó)類似，這勢(shì)必會(huì)與中國(guó)現(xiàn)行的源代碼規(guī)則產(chǎn)生尖銳沖突。基于此，可考慮將開源軟件作為特殊類型進(jìn)行制度和協(xié)議設(shè)計(jì)，逐漸放松國(guó)內(nèi)立法(《商業(yè)密碼管理?xiàng)l例》等)中有關(guān)源代碼開放和商業(yè)密碼使用限制的規(guī)定，進(jìn)一步協(xié)調(diào)進(jìn)出口監(jiān)管法與版權(quán)法，并從網(wǎng)絡(luò)安全法的基本法出發(fā)，對(duì)開源軟件進(jìn)行單獨(dú)的安全審查和出境評(píng)估。

　　(三)搭建自主可控的開源基礎(chǔ)設(shè)施，助力我國(guó)開源生態(tài)體系建設(shè)，積極探索與國(guó)際接軌的開源治理模式

　　近年來(lái)，以華為、阿里、百度、騰訊等為首的中國(guó)科技企業(yè)和個(gè)人在國(guó)際開源項(xiàng)目中的成績(jī)?nèi)遮叢毮?，成為GitHub上第二大貢獻(xiàn)者(數(shù)據(jù)來(lái)源：《GitHub2019年度報(bào)告》)。但從長(zhǎng)遠(yuǎn)來(lái)看，為擺脫對(duì)國(guó)外開源軟件的依賴，我國(guó)必須加強(qiáng)自身的開源力量，包括提倡和發(fā)展不受美國(guó)出口管制和司法管轄權(quán)限制的開源項(xiàng)目，完善中國(guó)自己的開源社區(qū)與托管平臺(tái)等開源基礎(chǔ)設(shè)施。當(dāng)前國(guó)內(nèi)開源基礎(chǔ)設(shè)施建設(shè)仍然滯后，例如，國(guó)內(nèi)首屈一指的代碼托管平臺(tái)碼云Gitee為超過(guò)500萬(wàn)名開發(fā)者和10萬(wàn)家企業(yè)托管開源項(xiàng)目超過(guò)1000萬(wàn)項(xiàng)，但與GitHub在全球擁有的1億個(gè)存儲(chǔ)庫(kù)和約3100萬(wàn)開發(fā)人員規(guī)模相比仍存在巨大差距。另外，國(guó)內(nèi)托管平臺(tái)上的開源項(xiàng)目全球影響力較小，生態(tài)鏈不完善。為此，我國(guó)應(yīng)聯(lián)合主管部門和大型企業(yè)建設(shè)國(guó)家主導(dǎo)的開源社區(qū)，搭建面向全球的開源共享和交流平臺(tái)，支持開放原子開源基金會(huì)、中國(guó)開源軟件推進(jìn)聯(lián)盟等國(guó)內(nèi)開源基金會(huì)和開源組織的發(fā)展;營(yíng)造更為開放和自由的開源文化，在全球更廣闊的范圍內(nèi)吸引開源愛好者;幫助國(guó)內(nèi)企業(yè)推廣原創(chuàng)開源項(xiàng)目，例如幫助“鴻蒙”系統(tǒng)與科技企業(yè)的對(duì)接;共同制定與國(guó)際接軌的開源軟件治理行業(yè)標(biāo)準(zhǔn)，推動(dòng)國(guó)內(nèi)開源生態(tài)健康、持續(xù)發(fā)展。

　　本研究受科技部戰(zhàn)略研究專項(xiàng)“戰(zhàn)略性新興產(chǎn)業(yè)創(chuàng)新政策研究”資助。