从“俄乌冲突”看我国开源产业的风险与挑战

编者按：最近一段时间，“俄乌冲突”引发了重大的全球局势变化。在真实硝烟背后，一场没有硝烟的科技战已激烈打响，众多美欧科技巨头先后宣布对俄“断供”。全球最大独立开源软件公司SUSE、美国开源软件巨头红帽、主流开源容器引擎Docker，纷纷宣布停止与俄罗斯业务的消息震动开源界。“科技无国界”的口号可以随时被国家利益所影响，契约可以毁坏，规则可以打破，开源的大门可以突然紧闭。我们该以怎样的视角看待这次科技战？破除“卡脖子”的出路是什么？正如路透社援引匿名分析师的话所表述：相信中国正在从中思考。

01 开源安全问题再次敲响警钟

开源社区一向推崇“自由、平等、相互尊重”的原则，开源精神被无数开发者奉为圭臬，然而“覆巢之下复有完卵乎”，“封锁”事件的上演，令国内众多开发者开始担心。尽管GitHub平台已就此事发表公开声明，表示并未阻断相关权限，但开源技术断供断链风险被再次推到了国内产业各界高度关注的风口浪尖。中美贸易战以来，开源是否禁用一直被广泛讨论。国内有专家认为，长期以来，我国开源技术开发者“在别人田地里种庄稼”，虽然目前尚未受到美国等西方国家的出口管制，但未来是否会被管制仍属未知。

此次“俄乌冲突”事件带来的一系列开源安全问题给我们再次敲响警钟：无论是契约还是开源，关键技术掌握在谁的手里都不如掌握在自己手中来得可靠。我们应当以开放心态拥抱开源、推动开源，但绝不能完美化开源，因为开源绝不等于自主。研发出中国自己的核心技术，掌握核心代码，才是破除“卡脖子”的重要出路。

02 我国开源产业的发展现状

从过程维度看，开源是一种分布式协作模式，从结果维度看，开源是一种特定形态的产品，具有公开、可使用、可修改、可分发的特点。据Gitee2020年度报告数据指出，2020年Gitee平台上开源项目增长率达192%，是2013年至2018年Gitee平台开源项目的总和。中国在GitHub的贡献者数量已占据GitHub活跃贡献者14%，仅次居于美国。据GitHub预测，到2030年中国开发者将成为全球最大的开源群体之一。

近年来，中国开源力量得到长足进步，国际影响力也不断提升，但与国外先进水平相比，依然有很长的路要走：我国开源社区发展还需进一步从无序繁荣向有序繁荣演进；开源社区商业模式还需更加清晰；本土开源项目托管平台、开源社区孵化平台、开源风险综合防控平台等还非常薄弱，很多重点领域开源技术与项目发展还处于追赶阶段。

另外，我国开源相关的法律法规及开源文化的普及还处于初级阶段；许多开源软件开发者普遍较为年轻，项目前瞻性和方向性不足；缺少理念驱动的商业化产品，开源项目缺乏长期规划，往往以功能和特性为主导，缺乏生态视角来考虑项目发展等……

03 我国开源产业面临的风险与挑战

1.开源挑战之供应链风险

随着开源逐渐成为大国博弈的新战场、产业竞争的新赛道，全球开源技术供应链安全风险不断增加。开源技术供应链风险包括开源技术在分发、使用和再开发过程中各个环节中存在的“卡脖子”风险，包括重依赖、低维护和出口管制等。开源技术供应链风险大致可分为两类：

其一，由政治博弈驱动的开源技术供应链风险。开源代码托管平台虽以服务全球开发者为宗旨，但均需遵守所在国家的相关贸易规制。例如，国际知名代码托管平台GitHub、SourceForge、GoogleCode均明确表明遵守美国《出口管理条例》（EAR）等贸易法规。同样，目前全球三大顶级开源基金会（Linux、Apache、OpenInfrastructure）均由美国主导，受美国法律法规管辖，由美国掌握最终“解释权”。以Apache基金会为例，其管理办法中明确表明遵循美国《出口管理条例》管理；Linux基金会虽在其管理办法中声明不受EAR管制约束，但旗下开源项目可自行选择不同的管理办法，因此断供风险仍然不可忽视。

2019年7月，全球最大代码托管平台GitHub曾以“违反美国贸易法律”为由，对俄罗斯、伊朗、叙利亚、古巴等国家的平台账号进行封锁限制；同年，GitLab平台宣布启用“职位国家封锁”，停止招聘中国、俄罗斯的开发者担任网络可靠性工程师及相关职位；2021年2月，美国政府签署总统令，在开源软件领域对我国全面收紧限制措施。由政治博弈驱动的开源软件断供事件与国际关系动向紧密相关，一般在断供事件发生前已有系列制裁措施铺垫。

其二，由商业利益驱动的开源技术供应链风险。开源许可协议是全球开源知识产权规则体系话语权的重要衡量标准，全球主流开源协议（Apache、BSD、GPL、LGPL、MIT等）均由美国主导制定，开源开发者经常会受到商业利益驱动而随时改写或切换开源许可协议。

2018年10月，MongoDB为反对部分云计算公司违背许可证协议的商业行为，将其开源项目许可证从GNUAGPLv3切换为SSPL，对部分云上用户正常使用造成一定影响；2020年12月，美国红帽公司（RedHat）宣布于2021年底对旗下开源操作系统CentOS8停止更新服务，CentOS曾以“免费RHEL版本”而被全球开发者广泛推崇，此举遭到全球开发者的口诛笔伐。2021年1月，美国数据搜索软件公司Elastic公司对其主导的开源项目Elasticsearch和Kibana的开源许可协议进行修改，致使部分公有云用户的使用受限。

2.开源挑战之技术风险

开源软件涉及源代码共享，很多配置信息中会涉及账号密码等敏感信息，如果不对代码进行审核检查，若开源软件存有恶意代码、病毒，极有可能会造成大量敏感信息与数据随着代码的共享而泄露，将给使用者带来较为严重的危害。同时开源软件公开的源代码，如果包含对企业数据库的访问代码，则可能导致整个数据库面临数据泄露的危险，同时也可能导致企业内部文件与用户信息的泄露。因此，开源带来的数据安全及隐私风险问题不可小觑。

新思科技《2021 开源安全与风险分析报告》显示，84%的代码库至少含有一个漏洞，近三年漏洞比例逐年增高，60%的已审核代码库包含高风险漏洞。根据开源网安Source Check工具对热门开源项目的扫描结果看，53.8%的项目存在超危风险。

运维成本高、统筹管理困难是我国用户企业关注的另外两项重要开源技术风险。根据中国信通院调研数据显示，2020年我国企业用户认为技术更新迭代快、运维成本高占开源使用风险的比例最高，约为 60.8%；开源软件数目庞大、统筹管理困难风险占比排名第二，达到 56.7%；安全漏洞威胁严重风险占比排名第三，达到43.7%。

3.开源挑战之法律风险

开源知识产权风险问题相对隐蔽，其主要集中在四个方面，一是版权侵权风险，不遵守开源许可协议，导致版权侵权；二是专利侵权风险，开源软件中包含诸多软件专利，使用开源软件未得到软件专利权人的专利许可，从而导致专利侵权；三是商标侵权风险，未经许可使用开源软件的商标；四是许可证冲突。开源许可证治理复杂度较高。目前国际上开源许可协议有80多种，总体可分为宽松型许可证（Permissive License）和著佐权许可证（Copyleft License）两种。这些开源许可协议在具体开源条款上存在较大差异甚至冲突，如果不认真分析和甄别，很容易陷入许可协议条款冲突引发的知识产权风险。

根据新思科技《2021开源安全与风险分析报告》统计，2020年审计的代码库中，65%的代码库包含存在许可证冲突的开源组件，通常涉及“GNU通用公共许可证”。版权侵犯风险与商标侵权风险较易规避，而专利侵权风险与许可证冲突则较难规避。

目前，开源知识产权相关法律判例逐渐增多。美国Jacobsen诉Katzer案件可作为涉及开源许可证维权成功的典范。“不乱买”案件则确认了开源许可证在我国具备的法律效力。

4.开源挑战之自主创新风险

当前我国主流开源社区仍不成熟，自主创新能力仍然不高。开源软件大多仍由西方国家主导，依赖度高，一定程度上面临“受制于人”的困境。国内主流开源社区存在的具体问题：

目前国内大多数厂商缺乏自主创新精神，主要基于OpenStack等开源技术体系进行二次开发，尚未完全实现核心代码的自主化，便将开源社区代码直接拿来做商业化的产品包装，导致产品同质化严重；有些开源商业化的产品明显缺乏核心竞争力，但却包装成信息技术应用创新产品，继而在国产化替代市场大行其道，往往导致行业自主创新程度不高，无法进行彻底的国产化替代。

另外，我国开源项目目前主要集中在操作系统、数据库、存储等传统基础软件领域，在“云大物智链”等“新赛道”，许多企业仍奉行“拿来主义”。多数企业重上层应用场景，轻底层基础创新，对相关新技术领域基础软件的核心技术研发重视不足，只会采用国外开源软件构建新的“应用大厦”，并不掌握其核心代码，往往会面临“旧领域追上来，新领域又落后”的发展风险。

04 信创之下，我国开源产业发展建议

大多数组织机构并没有明确掌握他们所使用的软件面临的风险，尤其是在引入开源软件的时候。

Forrester研究机构副总裁、研究总监劳拉·科茨勒（Laura Koetzle）认为

随着开源软件不断爆出的安全漏洞与恶意软件包植入，开源法律风险、开源许可证冲突以及开源关键组件的瓶颈风险等，已成为全球范围内亟待解决的共性问题。对于中国而言，我们还要面临来自美国的开源技术供应商和服务商潜在的技术出口限制风险，以及借助开源披着“信创”马甲实则并未掌握核心关键技术的自主创新风险。

因此中国开发者和用户急需聚焦我国开源生态建设的短板弱项，聚力提升开源软件供应链风险监测预警水平和风险管理能力，探索出一条符合我国国情的开源软件发展之路。

1. 核心技术自主创新，首先要确保IT基础设施的安全可靠

一直以来，我国IT产业相对落后，对非国产IT产品依赖程度较高。但随着国家信创产业相关政策的推动，以及国内众多厂商不断加大的研发投入，使得我国IT产业得到了迅猛发展，技术创新能力大幅提升，国产CPU、国产OS、国产存储系统等从无到有、从可用到好用，与国际水平差距逐渐缩小。尤其是近几年，经历党政信创、以及金融、电信等行业信创的洗礼，国产IT基础设施的性能大幅提升，已完全可以确保IT基础设施的安全可靠，承载我国核心技术的自主创新，从源头构建国家开源技术供应链的安全底座。

另外，我们还需对现有关键信息基础设施和重要信息系统开展普查，摸清开源技术使用情况“家底”，精确掌握其类型、协议、来源等基础信息，形成全量使用关系视图，并进行系统漏洞挖掘，将潜在的IT基础设施层面及重要信息系统安全风险及时予以替代升级。

2. 完善开源生态建设，更要掌握关键核心技术的主动权

关键核心技术上的短板，与之带来的随时可能面临被“卡脖子”的风险，困扰着我国经济社会发展。我国是全球最大的电子产品制造国，但“缺芯少魂”局面依旧。我国是医药大国，但仿制药占比仍然很高，多数高端医疗设备依赖进口，自身硬实力不强。即便应用走在前列的人工智能产业，在底层算法、开源框架上基础仍比较薄弱，“地基”仍然不牢。无数实践证明，真正的关键核心技术，化缘是化不来的，开源也是拿不到的，要靠我们自立自强。只有坚持自主创新掌握了关键核心技术，我们才能拥有自己的“大国重器”，才不会有被“卡脖子”的隐忧。

因此，我们在进一步完善开源生态建设，将开源模式作为实现我国基础软件自立自强路径之一的同时，必需统筹引导软件研发资源协同创新，在存储、数据库、软件架构等各方面掌握主动权，坚持核心代码自主研发，加强开源软件相关科技政策、产业政策、教育政策、知识产权政策及信创替代等工作的协同衔接，形成政策合力，才能在当前国产化替代大潮中发挥出应有的作用。

3. 加强开源风险管理，促进开源和闭源的融合发展

充分发挥我国新型举国体制的优势，不断加强我国自主开源生态建设。建立健全开源软件供应链风险监测预警机制和开源软件供应链风险管理体系，使用开源技术时必须重视数据安全及隐私风险。风险社会很有可能持续加剧，数据安全会成为国与国之间制衡的手段，应及时跟踪开源技术最新版本，及时修复高危漏洞。

同时，充分融合开源成本低、使用较为便捷的优势，以及闭源具有稳定的技术支持、商业级可靠性和性能的优势，实现开源与闭源、成本与性能上寻求平衡的最佳实践。尤其是在安全性、可靠性、可用性方面，充分发挥闭源软件聚焦关键核心技术能力实施的特点，实现关键核心代码的自主化，切实解决用户关心的安全性、可靠性、可用性问题。尤其是对于金融、能源、医疗等国家关键行业来说，还需要通过核心代码的自主创新，实现数据传输、保存途径和方式的安全保障，通过闭源方式实现风险可控，即便有漏洞被抓到，及时的修补就可以解决。

4.优化计算机教育环境，增强自主创新发展后劲

在开展开源教育的同时，更要聚焦信创教育的发展，推动整个产教融合生态的持续繁荣，针对信创产业人才培养的个性化特点，在原有的新兴信息技术领域人工智能、大数据、物联网等课程教育的基础上更迭国产操作系统、国产存储系统等课程和环境，同步融入与高校课程相匹配的专业技术课程体系、企业级项目案例等高质量教学资源，打造信创+新兴信息技术产业的多维度、复合型人才培养方案，以职业目标为导向，实现教学与实践的融通，为我国培养更多掌握自主创新核心技术的软件人才。

05 结束语

总体来看，在当前充满变数的风险社会，我们也要聚焦开源产业发展面临的突出短板，加强开源和闭源的融合发展，实现自主创新、协同创造、开放合作的有机衔接，探索一条符合我国发展实际的自立自强之路，夯实我国数字经济的发展基础。

星光不问赶路人，时光不负有心人。面向未来，行百里者半九十，自主之路依然任重道远。

信息来源：信创纵横