主持人:尊敬的各位领导、各位来宾,大家下午好!欢迎大家参加由中国信息通信研究院和中国通信标准化协会联合主办的2023 OSCAR开源合规沙龙,我是中国信通院云计算与大数据研究所开源和软件安全部的郭雪。
开源作为技术发展的核心环节,已经成为云计算、大数据、人工智能等新技术的关键底座,并已经逐渐成为推动传统产业数字化转型,支撑数字经济发展的重要力量;随着开源技术的发展与应用,合规问题逐渐地愈发突出;我院在开源合规领域也进行了诸多探索与实践,今天也就相关话题与社会各界进行共同探讨。
首先有请中国信息通信研究院云计算与大数据研究所副所长栗所发表致辞!
栗蔚:尊敬的各位来宾、女士们、先生们,大家下午好!欢迎各位参加由中国信息通信研究院主办的OSCAR开源合规沙龙,在此我谨代表主办方中国信息通信研究院对大家的到来表示热烈的欢迎!也对关心和支持开源发展的各位同仁表示衷心的感谢!数字时代凭借开放、高效的特性,开源已经成为全球软件构建的主要模式,在加速软件迭代的时候,促进产业协同创新、推动产业生态完善,也是我们义不容辞需要去做的事情。
继开源的写入“十四五”规划之后,国家层面对开源重视程度不断加深,国务院发布“十四五”数字经济发展规划,突出强调支持开源社区、开源平台、开源项目发展,推动创新资源共建共享、促进创新模式开放化,培育中小企业和社会开发者开放协作的数字产业新业态,在此政策的支持和引导下,我们开源的建设也取得了一系列突出的成就。
第一,我国积极融入全球开源产业新技术领域,话语权增加,传统技术成追赶趋势,2022年我国Gitee平台开源项目已达2500万个,新增1500万个,增长率66.7%,在云计算、大数据等新兴技术领域,由于我国数字经济场景丰富,促生大量开源技术和开源项目,相继在云原生、大数据等领域呈现引领态势。2021年进入Apache基金会进行孵化的所有大数据项目均来自中国,2022年我国向CNCF、云原生基金会捐赠的开源项目占比超过了20%。
第二,我国开源成为了行业联盟、开源社区的中坚力量,满足日益增长的行业开源的需求,我国行业开源联盟发展较为成熟,各行业、各领域逐渐形成了中国特色的行业开源社区,我国相继成立了云计算开源产业联盟、金融开源技术应用社区、可信开源合规计划等组织,来引导行业机构和开源的相关工作。
第三,开源合规工作重视程度不断加深,随着国内开源法律相关的案例不断出现,国家知识产权局在2022年发布《知识产权强国建设纲要和“十四五”规划实施年度推进计划》中,要求研究制定、信息技术开源知识产权合规标准,开源社区代码贡献规则标准等等,开展行业开源知识产权风险合规问题的研究,加强行业开源知识产权合规的评估和培训工作。
中国信息通信研究院自2012年以来一直致力于开源相关的研究工作,在开源治理合规等领域取得了一定的研究进展。
一是建立了可信开源治理和合规的标准体系,围绕开源使用的治理,对外开源、内源、合规治理等各个方面,建立了可信开源治理的标准体系,其中工行、农行、中国移动、平安壹账通等二十余家企业、机构相继完成了开源治理和合规的相关评估工作。
二是构建专业性的开源社区,除了金融、通信、汽车等行业内的开源社区外,中国信息通信研究院也联合产业各方组织成立了“可信开源合规计划”TWOS-C,通过持续完善开源的合规标准,输出合规的开源建设经验,不断提升我国的开源治理水平。
三是提供开源治理和合规的赋能工作,搭建了企业开源赋能计划,通过培训、诊断、咨询、订阅等方式,帮助我国企业构建开源治理与合规管理体系,引导企业从开源使用者发展成为开源引领者,目前企业开源赋能计划已在相关的中国联通、平安等等十余家企业落地。
未来中国信息通信研究院一直致力于开源的治理还有相关合规标准化的工作,在国家战略与政策的指导下,继续和各位企业同仁在开源的治理、合规方面开展紧密的合作,助力产业数字化转型,聚焦产业开源痛点,打造赋能平台,共同推动我国开源生态的健康发展,最后预祝本次会议圆满成功,谢谢大家!
主持人:感谢栗所带来的精彩致辞!近年来开源生态发展势头迅猛,在推动技术创新、促进产业协作、加快各行业数字化进程方面发挥的作用日益凸显,但也面临合规风险等诸多挑战;为了加强开源合规治理,提高开源技术应用能力并降低应用法律风险,中国信通院围绕着《可信开源合规能力要求 第一部分:面向软件产品》标准推出了对应评估服务,对软件产品的开源合规风险情况进行评估。
可信开源·软件产品开源合规能力的评估对象为使用开源组件、软件的软件产品,适用于考察企业软件产品的合规管理情况,该评估基于企业对开源软件的合规管理需求,从许可证合规角度出发,重点考察软件产品的SBOM清单、持续感知、精准定位、引入审批、发布验证、问题反馈、许可证授予权利行使、许可证规定义务履行等八大方面能力。首次试评估共有1家企业通过评估,结果请看大屏幕。
接下来公布的是可信开源合规计划新成员名单,2022年5月25日中国信通院联合企业用户、科研机构、法律专家正式成立可信开源合规计划,旨在凝聚各方力量,聚集一大批国内开源合规人才,整合优质资源,完善开源合规标准体系,输出开源合规建设经验,全面提升我国开源合规水平,为行业的发展提供强劲合力;目前社区共有六十八家成员单位,2023年上半年可信开源合规计划共有十一家新增成员,请看大屏幕。
接下来公布的是【开源合规领航者】企业案例评选结果;目前国内开源技术正逐渐在各领域落地,越来越多的企业已经或准备使用开源技术,优秀的开源合规案例可以起到领航和参考作用;为了更好地推动开源技术在中国市场的落地,鼓励企业和厂商规范地使用开源技术,鼓励企业或个人进一步探索我国开源健康发展模式,中国信通院特别设立了开源合规领航者案例评选,旨在鼓励各行各业积极探索开源合规建设优秀方案,树立开源典范。
本次共有十家企业通过【开源合规领航者】企业案例评选,结果请看大屏幕。
恭喜上述企业!下面有请中国信息通信研究院云计算与大数据研究所副所长栗蔚为以上企业颁奖。
首先有请通过首批可信开源·软件产品开源合规能力试评估的企业代表上台领奖,有请栗所上台颁发证书,请各位合影留念。
(屏幕显示 可信开源-软件产品开源合规能力试评估结果)
再次掌声祝贺获奖企业,请获奖企业回座休息,请栗所留步!接下来有请可信开源合规计划新成员代表上台领奖,有请栗所颁发证书,请各位合影留念。
(屏幕展示可信开源合规计划成员名称)
再次掌声祝贺上述企业,请获奖企业回座休息,请栗所留步!接下来有请通过【开源合规领航者】案例评选的企业代表上台领奖,我们首先有请第一批企业代表上台领奖,有请栗所颁发证书,请各位合影留念。
(屏幕展示【开源合规领航者】案例企业名称)
再次掌声祝贺获奖企业,请获奖企业回座休息,请栗所留步。
接下来有请第二批通过【开源合规领航者】案例评选的企业代表上台领奖。有请栗所颁发证书,请各位合影留念。
(屏幕展示【开源合规领航者】案例企业名称)
主持人:再次掌声祝贺获奖企业,请获奖企业回座休息,请栗所回座休息!
首先进行中国信息通信研究院许可证发布的环节,近年来尤其是OpenAI发布GPT-4,庞大的参数规模和惊人的语言处理能力给AI界带来了极大震撼,而AI大模型的本质决定了开源是其必经之路;开源许可证可谓开源发展的法律基石,为充分发挥大型模型的通用性优势,促进大模型技术在产业中真正落地,中国信息通信研究院联合产业各方共同编制“纸鸢”开放人工智能模型许可证,为共同打造具有变革意义的大模型开源项目奠定坚实基础。
首先由我为大家发布《纸鸢开放人工智能模型许可证》。
郭雪:为什么取“纸鸢”这个名字?有两点考虑,第一,纸鸢的谐音也是资源,就是知道源,就是开源的,同时纸鸢也是中国传统文化的体现,所以我们以纸鸢命名了许可证的名字。
接下来说一说许可证大概的内容,刚才背景跟大家说过了,当前人工智能快速发展,各国、像中国、美国、日本都有相应的人工智能政策,在今年上半年我们看到人工智能发展进入了ChatGPT的发布对产业的发展,ChatGPT进行开源和闭源的发展之后,反倒是涌现出了一批开源的,开放的人工智能模型,我们举了几个例子,包括像今年2月份META,也在开源它的模型,参数没有那么大,更轻量、平民化,效果也是直追ChatGPT3.5的效果。
当时这一点很启发我们这个思考,我们想是不是整个技术的引进路径还是遵循技术一贯的发展特点,开源、闭源,经过闭源之后,再去繁荣地开源,逐渐形成多态、多样的产业发展趋势,按照一贯的开源、闭源的发展态势,可能涌现一大批的开放人工智能的模型,我们想用什么许可证呢?当前的许可证是不是满足现在的要求?我们做了一个小小的调研,当前开放的模型,可能以阿帕奇2.0的较多,主要针对源代码和低代码等等。
“纸鸢”开放人工智能模型的场景下法律关系更复杂,大模型生成物的使用我们怎么样做明确和规定?大模型存在伦理的规则,需要我们去遵守,我们怎么样制定一个适合人工智能模型开源的许可证?我们列出了开源许可证的通用框架,包括术语定义、版权许可、专利规定、商标规定、使用分发、条款接受、免责条款和语言八方面的要求。
在这一次设计的过程中,我们重点针对专利的规定,使用化分发,免责条款的内容进行了个性化的设置,二维码可以看到目前许可证的内容,许可证兼容性的指南,许可证是归合规性的指南,包括我们收集的案例集都在这个账号下面,大家可以扫描进行一个下载。
许可证中文文本及解读,第一,定义,因为针对的开放的人工智能模型,模型的衍生品、相关资料的定义和说明,参考相关的模型参数,模型的衍生品包括原模型部分的全部或者是部分,或者是部分的新的模型,这个过程中训练的数据不适合本模型的,训练数据不在这个范畴里。
接下来这一部分就是针对版权许可、专利许可、商标许可的一些内容,这个相比其他的许可希望没有特殊的区别,版权许可没有特别的要求,把相关的永久、,专利许可就是专利授权,第二是,处理专利做了一些扩充,其他没有太大的特殊点。
接下来是使用和分发,这一点是相比于其它的许可证很大的一个不同,我们特别写了一个使用限制,这是我们调研过程中多数许可不涉及的点,你如果在使用相关过程中,涉及到下面五方面的行为,会自动终止你的权力,第一违反本许可证条款,二是侵犯商业秘密、个人银丝到他人合法权益,三是直接提供司法决策、医疗决策或行政决,四是实施种族、民族、信仰、国别、低于、性别、年龄、职业等歧视,五是违反本许可证使用的国家、地区或国际法律或法规。所以我们我在这里面做了使用的限制,这是条款里面特别写的一条,另外我们还特别要求,使用的限制是强制生效,我理解为透传生效,我们要求分发的过程中依旧要符合我们使用限制的条款,它是牵制生效的,我们层层透选的过程中依旧要遵守。
分发的限制里面没有特别的要求,可以做商用、要保留我的版权、手表还有使用限制及免责声明条款,这是分发限制里面的不同。接下来是输出,针对我们使用人工智能模型所得到的生成物,它所得的结果是不主张任何权利。
远程交互GPL对服务场景做了一些尝试,依旧要遵守本许可证相关权利的要求,特别是要遵守使用限制和分布限制,我使用人工智能开放的模型,可能以API或者是其它的方式向外提供,我依旧要遵守使用限制和分发限制。
我使用相关的这里面,出现的责任承担的问题,包括条款接受方面,你在复制、修改分发的过程中,就认可了许本许可证的条款,这个协议里面中英双版都支撑,表示以中文协议为准,这个协议相较于其它的人工智能模型,五点很大的不同,一是本身协议设计的过程中,针对的客体做了相应的明确,我们针对模型的衍生品,还有配套的一些资料,二是特别增加了伦理的规则和使用限制,刚才念过五条的使用限制的要求。
二是在专利我们做了给细分的要求,如果发起了通过间接的方式实施,专利许可也要终止,这个许可证协议允许更换许可证协议的,Apache License2.0,它对其中的输出物做落要求,针对相关输出的数据、结果等等不主张相关的权利,这是跟Apache License2.0的不同。
最后说“纸鸢”开放人工智能模型许可证的情况,我们跟开放人工智能模型开展合作,我们希望帮助大家梳理法律的合规风险,与产业的用户进行联动,希望更多开发人工智能的项目跟“纸鸢”开放人工智能模型建立以上的合作关系,以上就是我介绍的信息,俊哲会做详细的介绍,以上是我分的环节。
主持人:当前开源软件合规问题逐渐显现,并对全球软件供应链健康、有序发展造成重要不利影响,为增强软件供应链开源合规管理的可预测性、可理解性和高效性,由Linux基金会托管的OpenChain项目于2016年10月正式启动,并对外输出了系列国际标准、OpenChain合规培训课程以及强大的社区支持服务,接下来有请Openchain项目负责人Shane Coughlan为大家带来演讲《Open Source Process Management - The International Standards》。
Shane Coughlan:大家好!
主持人(俊哲):谢谢Shane Coughlan的精彩演讲。自2010年以来,腾讯就开始试水开源,并进行了精细化的开源软件合规治理。如今腾讯活跃在国内外多个开源社区,并不断发挥着中国企业的科技影响力;接下来有请腾讯开源与综合业务法务组专家高大鹏为大家带来演讲《探索开源软件的合规风险及商业实践》。
高大鹏:各位领导、同行大家下午好!很高兴有这个机会和大家分享,我先简单做一个自我介绍,我叫Terry Gao,中文名是高大鹏,我来自腾讯国际业务法律中心,也是美国加州的执牌律师,腾讯的工作方位在开源方面包括开源产品合规、开源政策以及内部培训和海外的软件,以及知识产权的授权交易等,本科我在加拿大的维多利亚大学计算机系毕业,毕业之后在布莱克尔公司做软件开发,后来就读于布林内格林比亚大学(音)获得了学位之后,在加拿大以及美国硅谷的(英文)从业了多年的高科技法律业务。
今天的议程有三个话题,首先是不合规使用开源软件的法律和业务风险,如何制定有效的企业开源合规政策,规避风险,从国际的视角AI领域开源软件的最新进展。
不合规使用开源软件的法律会导致很多法律和业务风险,首先根据美国的著作权法任何超出授权范围或者不遵守授权许可有可能造成著作权侵权,需要赔偿,如果是故意侵权赔偿金额会成倍增长,所以明知开源许可证的要求,而不履行义务,有可能会被认为故意侵权,传统意义上著作权侵权,是由版权的所有者提起,所以是开源软件代码的作者,我们看到了软件自由协会等一些第三方的开源集团,以第三方授权的身份参与了诉讼,使用开源软件会设置到商标以及专利方面的风险,时间原因我就不展开讲了。
用户可以在享受许可证下来的权利,开源违规行为,例如像GPL许可证的情况下,会强制企业披露自研代码,企业是不愿意的,另外造成业务敏感的代码以及商业秘密的泄漏,开源违规协议可能导致被媒体曝光等等,为企业造成很多负面的影响,如果应用是在应用商场分发,开源的作者可以对谷歌等等进行起诉,包括版权方的和解的费用,如果双方不能达成和解,相关的诉讼费用,最后人力部分,企业也许花费人力和物力等等,也无法补救之前的设施,经济问题还是存在的。
如何来规避风险?合理使用开源软件呢?制定有效的合规策略,就是企业开源合规政策,其它也包括实施流程,有好用的一个工具,和有效的合规团队,整体作为一个体系,帮助企业实现最佳的开源治理实践,规避开源风险。
企业需要从高层开始重视,为开发人员,开源使用、自动开源提供指导性原则,例如很多企业成立了开源治理办公室,合规团队由法务和技术、产品和其它人员的组成,技术部门解答这个许可证、提供培训等。
有效的企业开源合规政策,首先针对不同风险等级的许可证,要遵守相应的合规要求,其次在产品对外公布以前,或者已经发布的产生有重大的迭代,需要对外公布,应当在发布前通过审核,合规政策里面要考虑到分发的种类和实际情况,例如是一个单独二进制分发的时候,这种方式对copyleftd开源软要注意使用风险,来规避所谓的传染的风险,像SaaS大部分的许可证是可以的,另外特殊的许可证对代码的使用有特殊的要求,例如一些许可证不允许目标代码来做SaaS服务的。
在过往的经验里面总经的最佳实践,首先把复杂的许可证要求简单化,这里面首先要避免用到很复杂的法律用语,更要避免把许可证里面的要求直接复制到企业里面来,给开发团队一个明确的指引,代码要满足什么样的质量,才可以对外开源,这个代码是不是业务敏感?在政策里面放入具体的例子,给团队明确的指引,如果企业不能够形成很完善的对外开源政策,避免把商业机密等等的东西放进来。
使用软件工具来帮助扫描产品,排查风险、许可证兼容性问题,最后鼓励多种方式提供指引和培训,这里面法务,许可证的培训是法务部门来提供,不同的业务线的定制化培训达到不同的目的,如果一个团队使用很多不同开源许可证,我们考虑提供很广的培训,覆盖了很多不同的开源许可协议,如果一个团队只需要用几个许可证,我们会做聚焦的培训,这样更有效。
AI趋势,闭源还是开源?大家预测一个问题,人工智能未来的发展趋势?是开源的方向还是闭源的方向?我们想考虑一下,现在最火的应用ChatGPT,它是基于OpenAI 3.5和4.0的大模型,我们不能访问他们的代码,不能理解这个模型,不能复制它们的结果,当大语言模型最初出来的时候,因为它们的训练、部署都是极为昂贵的,都需要在GPU、云的环境下完成的,参与的都是大企业,随着技术的发展,我也看到涌现出来很多开源的大语言模型,看到开源的这样一个趋势。
简单看一下比较流行的大语言模型,时间关系我们选择性讨论几个,不知道大家有没有看到左下角这个,BLOOM是由微软等等团队共同开发的大语言模型,Huggingface是人工智能平台和开源社区,第三个是MPT-7B,这个月刚刚发布的一个产品,是大约67亿个参数,这个模型在零人工干预的情况下,在MosaicML的平台上,花费不到二十亿个美元,对它的表现是很满意的;说最后一个,Meta是Facebook公司发布的Llama是开源的一个模型,是获批的开源人员来使用,它的数据被泄漏发到网上,它的泄漏对开源社区、人工智能发展是极大的一个意义,当时泄漏的时候社区里面的看法不一致,这么强大的工具,担心落在一些不好的人手里面,可以拿这么强大的工具做一些不好的事情,也有人说,为了AI系统,这种开放的访问是必要的。
刚才说模型很多都是大公司、大社区开发的,这个截图上显示的是计算机在本地微调的大语言模型,微调就是在某一个事情上,某一个领域可以训练的很好,从这个图片上类似的模型在3月份只有两个,4月份、5月份是有爆炸性的增长,每个月有三十个模型,是LLAMA开发出来的。
这是大语言模型的功能排行榜,我个人以为是非常有意思的事情,我在Open LLM Leaderboard上面看到的,法律的问题等一系列的问题,第二个、第七个可以看到LLAMA,它们的表现非常好,第一位是开源别的大语言模型,这些模型有一些可以在计算机本地运行。谢谢!所有的模型都需要数据来支持、训练,现在有很多开源训练数据,我们看几个例子:
第一,就是Common Crawl,背后是一个非营利组织,五百亿的网页上抓取的数据,我们看到OpenAI ChatGPT3是基于这样的数据,符合基本的要求是满足其线上的条款,通过公开网页抓取数据来使用,是否牵扯到著作权的问题等等,都是在这一次讨论之外。
第二个Kaggle平台,用户可以找到数据集,也可以发布它的代码,我举了两个开源数据集的例子,我举了两个熟悉的,最后一个OpenAI Summarization,摘要数据集包含了十万个示例,对人工智能模型做的摘要的反馈,人类会评估,从这个选项里找出更好的摘要。
刚才我们讨论开源数据、开源模型,它们固然很重要,但是很多有价值的模型需要付费,从非开源数据的角度,我们知道Twitter、Reddit发布要付费,才能使用它们的人工智能数据库,非开源的模型以及工具,最有利的例子是OpenAI ChatGPT的模型,Midjourney,使用提款表明只有付费用户对图片拥有权利,而且用户的收入是超过一百万美元,用户使用工具超过一百万美元,就要生成用户图片,生成的图片在国家的知识产权是否得到保护呢?这里就不展开说了。
接下来是开源数据的许可证,有很多种,我列举了几个常见的,总结下来,它们的特性和种类有这些,第一公共领域,这是很好理解的,就是在法律已经允许的范围内,版权者放弃了在全球任何的权利,使用起来是很少限制的,第三个相同方式共享,基于这个数据做了衍生品等等,这个衍生品已经以原数据分发的方式来使用,如果开发团队用到了类似这些许可证在产品里面,我们就要帮助他们理解这个许可证里面的限制,以及如何合规使用这方面开源的数据。
开源模型的合规评估,我感觉暂时按照评估传统开源软件的方式进行,如果商业一个产品,用到了GPL3,产品里面要分发Copyleft,很多AI项目采用公开负责任的AI许可证,可以使用它的,但是它里面必须要遵守很多限制才可以,我在PPT里面列举了它的几个限制还有其它的。
所以回到刚才问的问题,未来AI的发展趋势,是闭源还是开源?我也没有一个答案,根据过往这段时间的观察,我相信开源社区会继续吸引开源人员,研究新的开源的人工智能产品,解决人工智能领域很多没有解决的问题,随着这种发展,其中的挑战就是如何做好合规?避免各类的风险,包括开源的风险,才能帮助企业在人工智能领域里做更好的发展,我就分享到这,希望接下来五和大家继续交流,谢谢!
主持人:感谢高总的精彩分享!同时阿里巴巴是国内较早关注开源代码合规的公司之一,目前阿里在开源合规研究和实践上已深入多年,并形成了完善的合规管理体系和成熟的开源治理思路;接下来有请阿里巴巴开源法务付钦伟带来演讲《知识产权与开源的关系、意义及开源治理思路》。
付钦伟:大家好,我阿里巴巴的开源法务也是阿里巴巴云的开源法务,我分享一下开源与知识产权的关系,以及我们治理的一些经验,之前有同学听到我的分享,今天我可能分享的轻松一点,我今天分享三个部分,首先是开源与知识产权的关系,第二是为什么要关注开源合规?第三是合规治理的一些经验和开发。
开源和知识产权这个问题是不是从一开始就存在,我们从软件的源头,历史地去分析,软件整个历史不长,大概六、七十年,现在说的软件和硬件是一体的,商业公司卖硬件的时候里面就集成了软件,软件还不完善,大家需要基于一个硬件,一块来探讨怎么更好地使用这个硬件产品?也就是说怎么优化软件?理解为基于某一款软件产品,软件优化、代码的修改是透明的,随着软件的发展越来越发展,开发人力投入越来越高,高级别的语言出现使软件和硬件的分离变得可能,软件可分离状态使大的商业公司,可以或者说愿意花费更多的资源,请更多的人,开发更好的软件,软件的潜在的商业化利益,特别是欧美的厂商推进软件著作权的保护,推进软件代码的保护,把整个软件纳入到知识产权的保护之内,成为整个世界通用的制度。
软件之所以私有化销售,是著作权本身授予了著作者垄断的权利,垄断与自由存在天然的冲突,原先代码共享的社会基础就瓦解了,那些崇尚软件共享和自由的黑客,是接受不了的,1983年理查德·斯托曼启动“GNU”计划,提出自由软件的概念,打开了自由、开源运动的畜牧,他反对软件私有化,倡导用户可以自由地运行、拷贝、分发、学习、修改并改进该软件,定义了“自由软件”的四项基本自由:
自由度0,自由运行软件;
自由度1,自由修改源码;
自由度2,自由分发软件;
自由度3,自由分发修改后的源码。
这四个自由度和著作权是完全冲突的,所谓自由、共享的代码该如何运行?我们回顾一下软件著作权的核心是什么?禁止围未经授权的,软件著作权在明确许可的时候,垄断这种权利,我把这种许可、许可出来,我许可给所有的社会大众,这就实现了软件的自由,许可证出现之前还有一种思路,针对于四项自由度,我是不是放弃著作权?比如说我有一个软件,我放弃之后,这个软件对大家来说就是一个自由软件,我把这个软件放弃著作权,有人把我的代码优化之后,我的著作权被别人改完之后我是没有办法自由度延续的。
解决代码开源的问题,还是从法律的手段解决,我们现在看到Copgwyleft、Creative ,里面典型的就是GPL,GPL是传染性,大家对传染病有一个辨析,GPL在刚开始的时候讲求软件的自由,基于现有制度的规则,保障它自由的理念,用许可证推广自己的理念,这是很巧妙地利用或者使用著作权的制度来推广自己的理念,我们所谓的Copylef许可证本身不反著作权,实现Copyleft的性质,也是著作权人对著作权处分的行为,Copyleft是捍卫、维持和推广软件自由思想的一个机制。
另外我们看软件代码本身,我写出来就是有著作权的,受著作权保护,专利不一样,我写的代码,专利保护的是基础Idea,开源出去我们不知道会侵犯到谁的著作权,目前开源的许可证,包括专利的条款,实现了下面三种目的,第一保护权利人,权利人的专利有限授权,企业做研发的时候需要投入大量的人力和资源,特别是资源,申请专利和维持专利,每年的花费非常高,一旦企业把专利开源出去。
第二,保护用户,不能通过著作权手卷,然后用专利钓鱼,用开源协议开放代码的时候,会把开源授权给你,企业实际开源的时候,因为里面没有专利条款,我会以专利去起诉你,也不会,我许可给你就是把著作权和专利授权给你。
第三,对抗内部“背叛者”,威慑外部“第三人”,针对外部第三人仅仅是威慑的作用,惩罚条款还是针对内部的人,社区里面有一个共识,就是大家来抱团,基于OA,我以第三方来起诉你或者是反诉怎么着。
商标开源共享的例外,商标是区别商品,我们之所以申请商标,就在于我的商品和你的商品是不一样的,一旦做产品代表着这个企业的荣誉,对用户来说是混淆的,一旦产品出问题对社区是一个打击,在实际操作里面,这里面有很微妙的地方,有些人比较有疑问,别人的著作权、声明、名称,代码的Logo我们要保留的,我们同时保留的时候不能滥用别人的商标、姓名,比如说我们都用安卓的开源项目,你又不能过渡地渲染谷歌在里面的作用,这就是很微妙的平衡,“既要又要”。
下面开源许可证的意义,刚才讲到著作权、专利、商标,总结一下开源的著作权和意义,开源许可证就是一张写满用户权利的声明书,解决用户在使用开源的时候能不能用、如何用以及使用的条件和限制,使用开源软件很多的不确定性,因为不确定性所以这个就有风险,我们使用开源有风险,风险在哪?随着这几年法院对许可证做一些解读,消除了软件开源使用者和开源的专利应用,有了法律上的一个原由。
自由软件与开源软件,为什么有FOSS?自由软件是通过可信计划提出的概念,现在我们不管是软件还是开源软件,基本上是总成的概念,自由软件的四个自由度和开源软件,目前自由开源软件不管我们讲的自由软件的四个自由度,以及许可证对用户的授权,自由软件都是有限制和约束的。
为什么要关注开源合规?来自于新思审查的来自十七个行业1703个代码库中,87%包含安全和运营风险,96%包含开源代码库的百分比等等。
开源合规治理的内容,需要治理的内容是什么?基于许可证两个方面,一个是IP无管理,一个是行为管理,我们在企业管理的两个方面,包括专利、商标、著作权和商业秘密,它实际是企业管理的问题,我们不恰当地使用开源软件,谷歌对安卓的商标专门使用的问题,侵犯著作权因为没有开源,我没有存储GPU的许可证导致侵权,之前一个王莹(音)的同学使用之后,是一家商业公司开发的软件,它对于开源软件的理解还是有一些问题的,比如说不恰当的管理导致商业秘密泄露,一方面我使用许可证,另外给许可证加了一些修订。
目标可以理解为一是尊重著作权人,开源许可证义务都得到遵守,符合开源社区惯例;
二是开源代码的使用是适当且允许的;
三是第三方的非开源代码都是符合约定义务,且不会给第三方代码造成开源外溢风险;
四是自研非开源代码得到很好的保护。
企业如何进行开源合规治理做一些分享,首先看企业的代码是如何研发的?企业代码无非就是第三方,自研、甚至在网上找到的开源软件,是三部分软件的任意组合,所以软件开源治理的复杂性,实际代码治理过程,首先第三方、自因,首先做一个识别分析,涵盖了商业的代码,代码的成分分析,分析完要对应场景,有一些自用,许可证本身就不做约束,下面是进行许可证的分析,主要是看成分里面是不是有Copyleft的组建?需要Copyleft的级别具体分析,比如说技术使用的方式,是不是能够做到合规?根据一系列的合规给一些建议,我们能不能做?是不是可以替换?等等的建议,这是总的概括性的介绍,在实际的代码研发过程中,是反复、迭代的过程。
这是来自于开源合规的黄金法则是代码控制,即代码的院士来源、许可信息等,首先是开始,里面有一个你需要不断地回复,比如我们治理一次就结束了,软件持续开发,我们就是要持续地回复和迭代,很重要的活就是文档化,治理的过程才是可透明的,治理本身的可查、可溯,保证开发过程中合规是可查的,因为时间过长,导致团队对这个合规不清楚,以前做的什么也不清楚,也没有人跟踪,可能埋了潜在的一些雷,规范地把产品交付出去。
我刚才讲的企业这一套,我在阿里巴巴做一些合规,没有通用的方案适用于所有的企业,我分三个层次,中小企业不需要非常重的合规流程,它是不是可以不做?也不是,比如说产品比较新,有可能团队对这个产品的成熟度很清楚,之前采用的什么开源软件,他很清楚,团队都不知道自己用的什么开源软件,企业的体量在增加,可能是几十个产品,慢慢地人工的方式行不通,我们借用扫描工具等等自动化的手段,记录代码的情况,一旦做到集团企业,用人来替,用表格来替,已经完全搞不通了,一方面企业历史比较长,我们需要把合规纳入日常,通过管理的能力做治理规范化、制度化,就是把合规做到研发的日常,把产品成本审查、记录追踪系统化,不需要花大力的人力去做。
最后有一些建议给到大家,也算是做合规的一些经验,无论是使用开源软件还是主动开源项目,必须严格遵守知识产权的规定、遵守社区行为规范,尽最大可能避免法律、舆论风险;无论是走纯粹的社区开源,还是探索商业化模式,必须尊重开源精神,在开源和商业化之间做好平衡,也要考虑社区情感,积极回馈社区、参与社区共建,只有积极践行开源理念才能更容易获得认可;一旦出现合规问题,尽可能正面汇映,积极整改,尤其是Copyleft许可证违规,必须立即整改,不要有侥幸心理,开源合规的整改大部分都是低成本的;使用GPL等Copyleft软件时,若存在无法规避、难以合规的情况,商业合作应该作为一种考量的,很多开源软件本身也做商业运营,我们没有办法从技术方面做到合规,从策略方面做到合规也是一种策略,今天我就分享这么多,超时了。
主持人:感谢付老师的精彩分享!总体来说开源许可证对不同场景的开源使用设定了相应义务,违反开源许可证会导致使用者对于开源作品的使用失去权利来源因而构成侵权;近年来由于开源违规使用造成的侵权案件频发,给企业及产业发展带来了严重威胁,在此背景下,中国信息通信研究院整理、编撰了《开源知识产权案例集》,为产业合规发展提供参考和指引。
除案例集外,针对水平不一以及形态多元的市场参与者,中国信通院建立可信开源合规治理标准、落地对应测试评估,并开展企业赋能计划,搭建公共知识库,以帮助企业提高开源合规认识水平、降低开源软件使用的合规风险,为开源市场的良性发展提供指引;接下来由俊哲为大家带来《<开源知识产权案例集>和中国信通院可信开源合规工作分享》。
俊哲:大家好,我是中国信息通信研究院的俊哲,我今天分享的议题是《<开源知识产权案例集>和中国信通院可信开源合规工作分享》,从这个题目大家应该也能知道,我这边分享的内容包括两个部分:
第一,开源知识产权案例集解读;
第二,可信开源合规工作介绍。
首先进入到第一个部分,首先在介绍知识产权案例集,要了解一些开源软件有哪些合规风险?我可以告诉大家,它是具有合规风险:
第一,是开源软件的知识产权风险;
第二,数据安全和隐私风险;
第三,出口管制风险。
使用开源软件的著作权风险,具有一定的著作权风险,开源软件和闭源是相似的,需要提前注册做一些手续,我列了闭源软件和开源的区别,把相应的软件许可证给用户,是否可复制、可演绎?著作权风险主要有违反开源许可证,如果我是开源软件的使用者,违规使用开源软件,从而导致我的失权行为。二是开源软件存在著作权瑕疵。
下面说开源软件专利权风险,分了外部风险和内部风险,外部风险是指不受开源软许可证约束的一方针对开源软件的使用者发起的专利请求,内部风险是开源软件的贡献着针对开源软件使用者发起的专利请求。
开源软件的商标风险,大部分开源许可证不包括商标授权,《商标法》的目的是通过保护产品或服务的来源从而保护生产经营者,一般的开源项目的衍生产品是无权适用于原来的项目同样的商标,就会有授权的风险。
《开源知识产权案例集》涉及案件,罗盒公司、不乱买公司等等的案例。
下面我通过一个典型的案例,我们在《开源知识产权案例集》中,原告、被告,使用的许可证,案件的背景,罗盒申请著作权,在Github网站上公开了VirtualAPPD源代码,并先后更改VirtualAPP许可协议,2017年10月29日罗迪删除VirtualAPP的GPLv3许可协议,并与2017年12月31日停止更新该开源版本并转为不开源的商业版本等等,认为涉案的开源许可证,项目管理人是罗盒的管理层,争议焦点,罗盒公司是否有权提起苯胺诉讼,被诉侵权行为是否侵害罗盒公司的复制权、发行权和信息网络传播权;罗盒公司是否为涉案开源软著作权人,罗盒公司提起诉讼是否需要其他贡献者授权?法院的观点是这样的。
玩友公司行为是否侵犯罗盒公司著作权?GPLv3法律性质和效力,罗盒公司是否有权加入商业使用限制条款?玩友公司收取会员非费、未提供被诉软件源代码是否违反GPLv3协议规定,法院是这样认为的。法院认定GPLv3许可协议属于附解除条件的合同,玩友公司未提供源代码行为违反GPLv3许可协议,故其对涉案开源软件代码的复制发布行为失去权利。
(详见PPT)
根据几十个案例的分析,我们总结出案例的共性问题,我今天会解答部分的共性问题,大家要参考完整的共性问题也可以看到我们后续的结果发布,中国及大陆法系国家开源许可证是许可人与被许可人之间的合同,被许可人在违反许可证设定的条件时构成合同违约,同时根据具体情况还可能构成著作权侵害,根据我国《民法典》第186条规定,在违约与侵权构成责任竞合时,当事人可以择一主张权利。
美国的规定,开源许可证的法律性质仍存在争议,有观点认为开源许可证是可以寻求版权法救济的单方许可,有的则认为许可证是可以寻求合同法救济的双方合同,美国法律规定合同需要当事人达成何以才具有可知性性等等。
诉讼授权,上面那个案例说过,是否需要贡献者提交的代码,即使涉及软件属合作作品,根据《中华人民共和国著作权法实施条例》、《计算机软件保护条例》的相关规定,合作开发的软件不能分割使用的,其著作权由各合作开发者共同享有,通过协商一致行使,不能协商一致,又无正当理由的,任何一方不得阻止他方行使除转让权以外的其他权利,但是所得收益应当合理分配给所有合作开发者,因此开源项目的发起人有权行使除转让权以外的权利。
许可证使用范围。
(详见PPT)
许可证的互惠性(传染性)问题是GPL许可证的传染性范围如何界定?GPL许可证属于强互惠性(传染性)许可协议,任何基于GPL许可证下开源软所得衍生作品或修订作品,需根据该许可证要求再行开源,而对于是否构成开源软件的衍生作品或修订作品抑或是否构成独立软件的判定在实践中常望望难以一概而论。
(详见《开源知识产权案例集》)
中国信息通信研究院自2015年筹备国内首个开源联盟,提出可信开源理念,推动安全、合规、可持续、可新来的开源生态发展,通过产业研究、标准评估、企业、项目级开源赋能服务、社会公共服务推动开源生态,我们会做一是生态联盟,二是产业研究,三是标准体系,最后是公共服务。
这是中国信息通信研究院可信开源合规研究工作里程碑,发布《开源许可证使用指南》,发布标准《可信开源合规能力要求 第1部分:面向软件产品》,2022年成立“可信开源合规计划”等等,2023年发布《开源知识产权案例集》。
中国信息通信研究院可信开源合规“三位一体度的工作介绍,是企业级、产品级开源标准,提供基础和参考,确保咨询服务的有效性和可行性,企业级开源赋能服务,收集总结企业通用的实践经验,为知识库提供最佳方法论,开源公共知识库。
企业级标准,《可信开源·企业开源软件治理能力成熟度模型》(OSGMM),这是我们一个核心的标准,我们给企业提供成熟度水平的水位线图通过设定基线,帮助企业比较其在各项治理目标上的表并确定相对成熟度水平,另一个是象线图。
如果要具备这些能力就是要做到感知能力、预防能力、响应能力。
赋能服务总体来说,起源于真实用户的需求,整个赋能服务包括五个部分,分别是培训、诊断、咨询、订阅和评估。
(详见PPT)
这是某个企业的案例,在赋能前,这个企业在组织层面没有开源治理团队,处于权责不清的状态,同的赋能服务,通过我们的调研,给他定制化的思路,先梳理再治理,第一制定了相应的组织职责的分工与流程制定,二是开源软件扫描工具建立开源体系建设,三是梳理重点系统开源软件使用情况,完善开源组建资产氢弹,四是将自动化检测融入研发和交付环节,最后是全量系统开源软件的梳理。
我们“纸鸢”开源公共知识库,为帮助业界获取更加丰富、精准、实用的开源知识资源,促进开源产业的进步和发展,中国信息通信研究院于2023年4月3日在Gitee平台上正式上线启动了“纸鸢”开源公共知识库。
2023年9月OSCAR开源产业大会,我们会做很多的评估,评估结果的展示,开源治理、企业内源等等,大家感兴趣可以联系我,做一些案例的遴选,大家有什么问题也欢迎联系我,除了对应的服务,大家对开源合规或者治理方面有哪些问题或者需求,也欢迎大家联系我,尽我们的可能为大家进行一个解答,以上就是我的总体分享,谢谢大家!
主持人:进入下面一个环节,在“合规即企业经营基石”理念的倡导下,中兴通讯自2016年开始探索组织级的开源合规治理,并构建了包括EAR、开源许可证、开源安全、GDPR(个人信息保护)在内的大合规管理体系,助力中兴在全球市场的竞争实力稳步提升;接下来有请中兴通讯股份有限公司开源合规和安全治理总监项曙明带来演讲《构建组织级有效的许可证治理机制》,分享中兴在开源合规方面的实践成果和思考沉淀。
项曙明:各位朋友下午好!刚才很多律师都在讲许可证的风险,这些风险我就不说了,大家听的比较多也看的比较多,我本身做产品,还做产品经营,我考虑问题肯定是站在公司的角度,我并不在乎某一个许可证有什么风险?某一个案例出问题怎么办?无外乎就是快速响应,在我们公司律师更关注的是打官司,我更关注的是预防,企业怎么能把它预防掉,出了风险我怎么能够快速地应对?
我问几个问题,我们很多人代表企业,你知道公司使用了哪些许可证吗?每个人能不能说出来?我们公司用了多少许可证?这些许可证我们是怎么用的?每个项目是怎么用的?是不是各个项目有法务的专家知道你,今天指导你这么用,明天指导他这么用,或者是一套合规的方式?
三是企业里面许可证是怎么管理?我看到所谓做的比较好的企业,许可证管理就是用Excel管理,加了一些白名单、黑名单,这样能管理好吗?我们现在治理的时候,新增、不合规的许可证能不能再用?回到本质商来说,我们关心产品出去的时候合规问题要解决掉,要确保令行禁止,确保成果共享,用到这样的开源软件,不合规不能用,我们要高效能地管理,不希望项目组、各个产品独自治理,在我们企业曾经有项目想自己做,但是做着回过头,觉得没有办法做,甚至是小的研发中心,也觉得没法做,开源软件里面都是你中有我,我中有你。
我们从2016年开始做,我们在许可证方面做了一些实践,希望这些实践对大家会有所启发,我们这里分四个部分:开源软件的许可证风险,企业许可证治理如何有效开展?开源软件的许可证治理,项目版本的许可证治理。我们治理还是两个对象,一个是开源软件,引入的开源软件管好,发布的版本把它管好。
开源软件的风险,这里我不展开了,知识产权的风险,里面有侵权、失权、专利商标;还有供应链的风险,出口管制、技术垄断、停服、无人维护等等,安全风险,主动、被动引入的漏洞,漏洞导致遭受黑客攻击;还有技术演进,复杂性风险,软件成分、从闭源、混源到开源,开发过程从瀑布、敏捷到云原生和大数据引进来以后,一些模式就不一样,DevOps,研发和分布、运维要一体化,还有一些分发,从单体应用到微服务,比如说容器化的分发,有可能治理的范围扩大了,这些都是企业在经营的环境下面对的一些问题和痛点。
问题很多我们聚焦到许可证,开源软件的许可证风险分析,单许可证数量达到2800多个,考虑多许可证数量达到3500多个,它是一直在增长的,OSI认证的许可证只有不到一百个,这些软件我们都毫无选择地拿下来,各种不同场景的豁免;二是开源软件概念模糊,很多软件又是公开、又是商业,我们数据库是开源软件还是第三方的?你在开源社区肯定能找到开源路径,它是很模糊的,这些概念企业怎么管?
三是开源许可证载体多元性,什么遵循开源许可证?我们原来一般认为是某一个开源版本,开源软件的整体,我是遵循一个许可证,但是现在很多的分发,还会在版本里面有不同的模块进行分发,模块也遵循许可证,软件奋发有可能是一组,这些许可证的兼容性该怎么办?我们费了很大的劲,把开源软件治理完了,但是项目组因为分发的时候没有合规,导致把我们分发无许可证感染性,不同的场景可以遵循,按你的应用场景的时候,很多人挖掘的时候拿不到原生的完整性的许可证,这些对我们都是风险。
四是许可证使用陷阱众多,非开源软件的EAR属性如何管控?非开源引进来的时候,EAR该怎么做?多许可证、含商业许可证,很多开源的企业把开源当成一种商业的盈利模式,在分发的过程中有意做的开源项目,他有意模糊这个边界,你治理的时候觉得非常困难,你不是治理很难,你就花一点钱,这是一种商业模式,对企业来说就是潜在的风险,还有强许可证、代码的泄露,许可证条款的晦涩性,Oracle相关许可证。企业层面怎么把这个事情做好?这是提出来的一个挑战。
刚才说那么多风险,企业怎么有效地开展,很多的企业,很多治理的专业人员,说这个事情太难了,根本没法做,我们在企业里面能不能过来搞开源的合规?不敢,因为他觉得专业链涉及的非常广,你要同开发、法务、安全等等,支撑度他要补充的太多,企业也是一样,这个标准能做到什么程度?西方可能对知识产权方面看的比较重,你跟国内的细分市场做的不一样,根据企业的战略、细分市场、投入、机制建设上面的能力,找到一个契合点,找到这个契合点,从我们的角度来说,中兴通讯形成了一套理念,以开源软件的合规和安全是设计和通过过程控制出来的,合规性如果解决不掉,你根本做不了。我们知道风险在哪里?出了问题我们能快速响应。
我们找到平衡点以后,并没有所有的东西都要做,从这几个角度开展,一是构建企业级开源软件库,获取许可证信息,所有存量开源入库,寻找合适SCA、全面政府的识别开源及其许可证信息,建立有效的开源引入机制,构建适合企业、有效的守护机制和拉取方式;
二是存量许可证信息分析,明确许可证管控策略,我想如果开源软件用的比较多,一个企业里面至少有几百个许可证,这些许可证怎么办?在我们企业里,把存量的开源和许可证,用了多少许可证?我们进行了解读分析,组织层面,给它一个管理的许可证,进行黑名单、白名单、灰名单的分类,许可证明确讲不能进行商业分发,这些许可证对你企业的经验风险大的,就打入黑名单,白名单指的是所有的许可证,我们已经对外解读清楚,而且给项目组在什么场景下,该怎么使用的指引?灰名单许可证是中间带,灰名单的许可证不得引入,把这些许可证转化为白名单的许可证;
三是开源软件、项目版本的许可证治理;开源软件的治理,一个是版本的治理,企业里应该把所有的开源软件形成一个开源软件库,使用的所有开源软件都是库里的,存量开源软件许可证治理,增量开源软件许可证管控,老版本还在做研发,新功能加进去的版本,还有新开发的版本怎么治理?
四是许可证的全生命周期管控机制,企业内部属性的管理。
开源软件许可证治理如何有效开展?要有基本的SBOM,企业需要具备基本的配置管理,输出有效的SBOM能力,有效的开源软件管理,能够做到一个追踪。
对开源软件进行治理,一是存量许可证分析分类;二是构建许可证分析解读能力;三是存量许可证治理;四是增量许可证管控。
第四,版本的许可证治理,我们要具备有效的配置管理,没有配置管理你根本没法做,具备可信的SBOM能力,具备有效的组建上下追踪能力;有效的生产管机制,在研发过程中,刚才说许可证的治理有黑名单、灰名单,把安全讲进去了,研发的过程中发现有这样的项目,我们会做分发的卡点,通过有些的管控机制,版本风险才能有效地降低。
这个里面的治理,项目组给了一是黑名单许可证治理,原则上必须全部替代,治理过程中要及时地提醒;二是灰名单许可证治理,原则上建议替代;三是白名单许可证治理,重点关注高危白名单许可证开源软件治理,法务基本上没有办法检测,代码是怎么调用?配置、管理是什么样的?企业要把这个能力做起来;四是其它属性的治理,我怎么确保分发的时候不归导致感染,而让我来公开?多许可证特别是含商业许可证的治理,豁免类许可证场景治理,本身就有很大的风险性,项目组如果没有按照它的条件使用,它有可能会出问题的,还会有很多文件性的兼容性的治理,还有开源商业模式的治理。
我有一些体现,第一,许可证的风险可能不是开源最大的风险,一般会给你留出整改的时间,就怕你前期没有关注和分析,不能在规定的时间完成整改,导致核心资产开源、增加商业license购买、某些开源软件使用失权,甚至丢失细分市场。
第二,在明确企业开源战略和治理目标的前提下,通过许可证治理可以减少企业开源许可证使用数量,了解如何合规使用,规避开源使用的许可证风险,提升组织开源治理效能、规避相关风险、减少商业采购和诉讼风险,提升企业开源治理形象,助力企业合规经营。我剔到最小级的时候再来谈怎么管理、治理?我今天的分享就这么多,因为时间原因,希望对你的企业和项目有所帮助。
主持人:感谢项总的精彩分享!近年来哔哩哔哩也积极投身开源合规治理,在开源合规管理体系、开源审批事项、发布开源许可证选择规则等方面积累了大量的研究探索和实践经验,以确保开源项目使用以及开源项目对外发布时的合规性;接下来有请上海哔哩哔哩科技有限公司法务高级经理易涛为大家带来演讲《哔哩哔哩软件开源合规的探索与实践》。
易涛:很感谢有这次机会参加开源合规的沙龙,我分享的主题是《哔哩哔哩软件开源合规的探索与实践》,我分享的内容围绕这五个方面:公司介绍,开源架构、对外开源、开源引入、案例分享。
公司介绍整个哔哩哔哩科技有限公司是中国年轻世代高级聚集的有用有趣的综合性视频社区,我简称为B站,涵盖生活、游戏、时尚、知识、音乐等数千个品类和圈层;二是在技术上不断地创新,我们重点做的技术创新涵盖人工智能、视频云、大数据等领域,有相关技术的研究;三是致力于技术开放共享,在技术和研发的过程中,在整个社区里面吸收开源的宝贵经验和资源提升项目开发的效率,把优秀的项目通过开源贡献给社区。整个B站的发起者、Kratos、Overlord、ijkplayer、4K超分等开源项目。
第二,开源整体架构,我们开源的工作启动的不是特别久,启动了两年的时间,从项目来看都是初级的摸索阶段,整个开源项目启动之初,确定了项目达成的目标,通过开源项目的提升管理提升资源管理的能力,搭建开源全生命周期的架构,重点关注开源引进来、开出去,还有开源的运营。每个板块开展的工作比较多,引进来阶段重点关注四个方面:一是开源引入,最开始想在过程中搭建开源软件引入的制度和流程,同时建立供应链的黑、白名单对开源软件引入的安全性、可靠性、合规性做一些审核;另外一块是搭建开源软件引入的审批流程,重点关注开源软件的审批流程,还有扫描的工具,通过系统化的工具保证制度落地,高效地开源软件的审批,开源软件的跟踪制度还有漏洞的管理,在开源软件的迭代、漏洞的分析,通过这个板块做开源软件的标准和标准化的工作。
开出去的模块,前两年我们重点做的事项,包括四个方面,一是对外开源的孵化,建立开源激励的制度和开源的孵化制度,通过这两个制度激励更多的同学进入到开源社区里来,我们搭建开源的小组,可能涵盖技术、法务甚至安全的同学,多方地做开源的管理。二是上线了开源上线流程,搭建开源的平台,整个团队、流程、平台对开源进来的开放化。
审批流程落地到系统里,搭建审批流程,期待在审批流程潜入开源扫描工具,开源选择原则还有一些指南,希望把这些东西都潜入到审批流程里去。
四是对外开源的发布,关注开源商业的指引,还有开源发布常见的问题,还有开源使用的指南,发布到清单里去,同学根据反馈了解开源基本的动作。
第三,开源运营宣传,感谢中国信息通信研究院的支持,开源社区里面的影响力,更重要的是跟同行交流,吸取更多宝贵的经验,分工更明确,哪些工作涉及到技术团队、法务团队,哪些需要双方共同去做?通过整体的架构,逐步使开源的工作更加完善。
这是对外开源的工作,我先介绍之前做的两个比较上层的制度和标准,这是我们公司内部使用的,一个是开源许可证的选择规则,主要目的是给研发部门提供开源许可证的指引,我们对开源许可证类型研究,看主流许可证的特点,二是根据各个部门开源的需求分析和风险评估,三是基于开源许可证的研究,还有业务部门的需求分析,制定内部开源许可证的选择规则。第二是开源激励制度,目的提供财务和技术支持,支持和鼓励员工开展优秀的开源项目,具体工作做了两块,开源激励资源的准备和激励方式的确定,激励方式最开始讨论了两种,一个是现金支持,还有荣誉的支持,通过两个方面激励,提升整个研发对开源的支持力度,后来我们跟研发、财务团队、能力团队确定了方式,做了制度细节的设计,开源激励的范围、标准、奖金、激励发放的流程和时间节点,我们都做了统一的规划。
接下来是考虑制度怎么比较好地在公司内部落地?应该在去年做了自动化开源审批流程,这个流程目的是提高审批效率,同时规范化对外开源内容,确保对外开源项目风险可控,实际过程中大概经历了好几个阶段,对历史开源项目做了一个梳理,当时梳理三、四十件的重要开源项目,对整体开源的需求、特点做了整体的梳理,了解重要开源项目的历史属性,基于这个历史的属性为后续开源流程做指导和基础。二是设置开源审批的字段和节点,包括技术、法务、安全团队,都会有相应的审批节点,满足相应的字段,使用的需求,开源的需求、对象、范围等等做了一个详细的梳理,最后设计好了这个系统,跟OA系统打通,研发同学想发起一个开源流程,在OA系统进行审批流程,审批效力得到了很好的提升,以前是线下的方式跟开源项目沟通,审批效率得到了提高,适配开源实际情况,确保开源项目的风险可控。
第四,开源引入。开源引入应该是最近半年才着手的工作,这个工作预期在未来一到两年长期去做的,去年启动开源引入的工作中,大概做了一些规划和设想,初步设想包含五个方面的工作,一是开源软件引入制度和流程,我觉得是最重要的,合规性、安全性都会做规范性地把控;二是开源代码扫描工具,期待扫描工具和开源软件打通,能够更高效;三是开源软件使用规范跟踪制度;四是软件分级管理制度;五是漏洞的监察。
第五,介绍两个典型的案例。一是哔哩哔哩科技有限公司主流3D格式的局限性,MMD和VRM,这两个比较典型,MMD文件存储的格式历史比较悠久了,比如动物、还有面部的数据兼容性不太好,VRM是日本一些公司做的3D的格式,有地域限制的,支持玩家在我们平台上高自由度地3D世界,可分享交易易于使用和创建修改,方便在运行时进行加载和导出,哔哩哔哩科技有限公司BVA的优势。
BVA我们做了合规性的动作,了解具体方案应用场景相关技术、技术创新;沟通开源目的,让更多的用户使用标准化的格式,同时借助社区的力量得到一些反馈,整个项目提升的空间,三是虚拟偶像的格式,知识产权也进行了梳理,发明的一些专利等等;最后形成Apache的协议,被其他开发者选择使用以及再开发,要求修改后必须附加修改说明,保护原生开发者的权利。
另外一个比较经典的盘古项目,是数据的加密,后续可能用在区块链的技术,研究开源许可证的选择,评估谷歌项目库的知识产权条款,有什么限制和影响,探索开源与商业化的关系。在这个项目里我们会制作自己的一些模板,整个项目有一些沉淀,开源许可证的模块,后面做项目可以复用;二是调研了一些平台,公司商业化的一些抉择,依托这个项目也做了一些探讨,开源也不是限制商业的使用。以上就是我的介绍,谢谢大家!
主持人:感谢易老师的精彩演讲!2022年南京市中级人民法院在一起涉及开源代码的软件著作权侵权案中,首次支持了被告的“GPL抗辩”,根据南京中院在该案中确立的裁判规则,作为原告权利基础的计算机软件若使用了GPL开源代码而未履行开源义务,权利人就该部分应开源的计算机软件所享有的著作权将不再得到法律保护;该裁判观点为使用开源软件的企业提出了更高的合规要求;接下来有请国浩律师(南京)事务所律师陶冶结合该案为大家带来演讲《从国内GPL抗辩成功第一案看企业开源合规》。
陶冶:很感谢中国信息通信研究院的邀请,分享我们办理的这个案件,我今天分享主要是围绕前段时间我们团队办理的这一起案件,原告开发了一个工具软件,是一个投标工具,其中用了基于GPLv2.0许可的开源组件,他发布之后没有加密,被告也发布了类似的软件,被告发布软件也没有加密,经比对约有一万余行代码相似,认为对方抄袭了自己的代码。被告所有的销售数据去支撑的,定性赔偿是千万级以上的。
被告抗辩你用了GPL组件,整体被GPLv2.0协议约束,即便认定原被告软件构成实质性相似,被告也因和原告存在GPL许可关系而不构成侵权,原告未以GPL协议开源其代码,属于违反诚实信用原则,也是《民法》上讲的帝王条款,不应该支持其侵权诉讼请求。
法院判决:一是原告在主程序中使用了GPL组件,整个被传染,不符合Classpath Exception的要求;二是原告负有将其软件代码以GPL协议开源的业务但未履行,不支持就相关代码的侵权诉讼请求。三是原告开发软件的预览程序与主程序构成GPL中的独立模块,被告对该部分代码的使用侵犯了原告的著作权,最后判了三百万。
亮点是两点,承认了GPL许可证的传染性,这个案件开创了里程碑式的案件,我们团队受理这个案件之后,所有人都接这个事情,我们接触到这样的案子非常多;引入了“不洁之手”规则,确立了“不遵守,则不保护”的规则,对开源生态的发展有重要的意义。如果我们的开源合规做的不到位,阿帕奇没有相应的修改过程,比如没有点明原著作者是谁?导致核心知识产权没有得到保护,合规的完整性是更高的挑战。
第二个问题,我跟大家讨论一下,这个案件中反映非常多的问题,GPL是1989年诞生,包括所有的文章主要围绕GPL,GPL对我们来说是非常熟悉的东西,没有任何解释上的问题,到了法庭上并不是这个样子。我列了三个问题,开源许可证的法律定性问题,第一是合同成立;二是《民法典》第490条后段,“当事人一方已经履行主要义务,对方接受时,该合同成立。”;三是格式条款;四是《民法典》第496条第二款后段:“提供格式条款的一方未履行提示或者说明义务,致使对方没有注意或者理解预期有重大利害关系的条款,对方可以主张该条款不成为合同的内容。”
开源的两大基石,一是开源的源代码,二是开发者的免责说明。假设我们说一个情况,自动驾驶领域,软件产生了重大的事故,死了十几个人,开源在整个社会面上是比较小众的,这十几个人的家属怎么办?这也是我对这个东西的隐忧。这是使用涉外法第15条,还加了第17条。
这个案例中法院是比较简单、粗暴的,这个库有非常多的方法,他只用了一、两个,他打包了,加了几行代码,显示你改了,未来怎么研究?需要法律去完善的。
GPL非常重要的一个事情,它的传染只基于模块本身,这是基于GPL的原文,网上都有,独立模块怎么认定?你是两个模块,最后法官简单处理,这两个可以双方运行,功能点是不是能运行?只是能打开,我觉得有一种可能,法官觉得如果不判你的,你抄了别人一部分的代码。
如果你把它编辑在可执行文件中,它必然被传染,他认为管道、跳节字等等,后面有点了另外,软件发布的方式越来越多,不可能把这么模糊的东西交给企业去执行,他怎么理解这个东西?作为法务人员给工程师的指引,你照这个去做,他说管道、命令行参数,你就用这个,不要用别的。法官不会听你这么多,你还要解释管道和命令行什么意思?很可能解释不下来。
目前这个事情怎么解决?我们现在很多软件放在容器里发布,提供一个SaaS服务,这个问题是未来非常重要的问题,这是我提出来的问题,我也没有办法去解决,为什么抛出来这个问题,GPL没有我们想象中那么熟悉,我们以为GPL这么多年研究的很透彻,很多没有解决,这些压力在法律界的,我们跟技术人员沟通,共同去解决这个问题,我留几分钟希望大家一起来解决这个问题,关注开源,希望利用开源的法律工作者,是一个机会,我们共同塑造一个规则,法官像抓一个救命稻草一样的,通过开源软件共同的发声,事先搭建起一个最符合开源社区规则的架构,以塑造我们想要的开源社区的样子。
华为有一位老师说,我们有没有可能形成我们自由的规则,如果对案件的细节,想了解的同学可以加我的微信,接下来我们沟通。
主持人:感谢陶律师的精彩演讲!在软件定义未来的时代,汽车行业也开始拥抱开源,沃尔沃积极投身开源生态的建设,并组建了企业OSPO,接下来有请沃尔沃开源生态负责人Mary Wang为大家分享沃尔沃在OSPO组建、运行以及开源合规方面的进行的探索和实践。
Mary Wang:我叫Mary Wang,我现在瑞典沃尔沃上班、工作,我可能汉语有一点点卡,我简单介绍一下自己,十几年前我是(英文)写代码出身的,之后我会做一些关于CICD的脚本和流程的优化,这是为Open Source这一块提供了很好的基础,在做执行方面。
我在爱立信工作了十年,然后在沃尔沃工作了五年,这基本是我全部的职业生涯,职业大概有三类,就是做DevOps,里面有CICD,和产品经理,现在(英文)Open Source。
现在今天我主要跟大家分享一些沃尔沃历史和现在以及将来,以及Automotive和Open Source的关系,(英文),不仅在沃尔沃,在汽车行业或者是整个世界,可以这么说,这些东西都是共通的,大家都有相同的痛点,其实很多时候(英文)的主要目的就是分享一些痛点,然后大家怎么一起提高、解决它。
还有我自己的故事(英文),我怎么创建的OSPO?在沃尔沃汽车,怎么样说服?(英文)怎么部署、实施,这将是很有意思的事情。
沃尔沃是什么意思?有没有人知道,不许百度,如果你知道会免费得到沃尔沃EX(英文),模型,其实沃尔沃这个词,是SKF的子公司,是生产轴承的那个公司,所以它是滚动,“I ROLL”就是滚动,它的商标、品牌建立的时候,其实沃尔沃这个词,本身不是为车设计的,它建立这个商标的时候是SKF的子公司,所以它是滚动。
这是沃尔沃的历史,我是在沃尔沃博物馆里面找到的,还有一些网站上,接近百年的历史,我刚才提到它是SKF创立的一个公司,创建的一个商标,是1927年成立的,三点安全带是沃尔沃的软件员工发明的,并且沃尔沃不申请专利,这个可以保护人的生命,所以免费给人使用,这是一个很伟大的发明、决定。
这些年沃尔沃的命运上上下下,因为经历百年的沧桑,从1999年到2010年的时候被福特收购,没有太多盈利的,从2010年到现在为止被吉利收购,现在的业绩还不错,还可以。
这是沃尔沃汽车全世界的分布图,总部在瑞典哥德堡,也就是说我生活的城市,(英文)中心在丹麦、美国还有上海,这是我们出差的目的,就是在上海做一些(英文),这是我们的现在,沃尔沃的一些电车,如果你有需要的话,可以联系我,给你打折扣,我们公司也在做(英文),包括很多,从硬件到软件的转型,大家知道汽车变成通信行业+4个轮子,其实远比这个复杂,沃尔沃主要还是在核心技术等等。
这是我接下来分享的三大块挑战,包括Automotive、Scope,第一就是公司太大,范围太大,你制定的政策、流程怎么样让这个大公司去执行?我说一下中西方文化不一样,中国是非常快的,高层还有权力的,你这么做,西方上层的权力没有那么大,这个事在国内容易一些,我希望上海可以做的更好。
第二你的供应商成熟度不一样,比如说像沃尔沃的博士就很容易,有一些供应商不知道Automation,如果是全球,每个国家的文化不太一样,你翻译成各国的语言会好一些。
第二,Automation自动化,就是做(英文),如果你整个流程手动化、繁琐,执行起来也不容易,你让开发人员写文档,相当于我们小时候春游,你回来写一个春游报告,那很烦,你要尽可能做到多的自动化,就是端到端的自动化,第一你决定用这个开源软件,你去评估等等。
第三,Scope Challenges,第一步比如说你引用很多开源软件,你怎么样去缩小,比如说你车里用到的这些,二个挑战是针对车,很纯净的开发环境,车的开发环境是比较广的,它包括很多不同的车。
(详见录音)
主持人:感谢Mary Wang的精彩演讲!至此今天的活动就到此结束了,感谢大家的关注和参与!最后大家可以到台前来拍一个照,留一个纪念,9月份会开OSCAR产业大会。