中伦律师事务2024开源合规白皮书（第二版）（中英双语版）

开源合规白皮书 第二版（2025年5月18日） 版权声明 CopyrightStatement 本白皮书版权归北京中伦（杭州）律师事务所王红燕律师所有，转载、编撰或利用其他方式使用本白皮书文字或观点，应注明来源《开源合规白皮书2024（中伦杭州王红燕律师）》。违反上述声明者，编者将追究其相关法律责任。 目录 第一部分开源简述…………………………………………………… 71 第二部分开源风险与合规建设10 第三部分中国开源软件司法实践………………………………… 100 第四部分域外开源软件案例解读………………………………… 117 第五部分关于建立开源平台的合规要求………………………… 125 第六部分开源合规适用法律以及相关政策……………………… 133 第七部分开源合规Q&A（持续丰富中）145 第八部分信息安全技术软件产品开源代码安全评价方法……… 154 北京•上海•深圳•广州•武汉•成都•重庆•青岛•杭州•南京•海口•东京•香港•伦敦•纽约•洛杉矶•旧金山•阿拉木图 Beijing•Shanghai•Shenzhen•Guangzhou•Wuhan•Chengdu•Chongqing•Qingdao•Hangzhou•Nanjing•Haikou•Tokyo•HongKong•London•NewYork•LosAngeles•SanFrancisco•Almaty 4 第一部分开源简述 北京•上海•深圳•广州•武汉•成都•重庆•青岛•杭州•南京•海口•东京•香港•伦敦•纽约•洛杉矶•旧金山•阿拉木图 Beijing•Shanghai•Shenzhen•Guangzhou•Wuhan•Chengdu•Chongqing•Qingdao•Hangzhou•Nanjing•Haikou•Tokyo•HongKong•London•NewYork•LosAngeles•SanFrancisco•Almaty 5 开源简述 开源（Open-Source），全称为开放源代码，这一概念兴起于软件行业，其基本内涵是开放源代码，也即源代码开放共享的开发模式。在开源模式下，通过许可证的方式，使用者在遵守许可限制的条件下，可自由获取源代码等，并可使用、复制、修改和再发布。发展至今，开源作为一种创新协作模式，其表现形式已不仅仅局限于开源软件（OpenSourceSoftware），而且也包括开源硬件（OpenSourceHardware）、开源设计（OpenDesign）、开源文档（OpenDocument）、开源技术（OpensourceTechnologies）等。 一、开源简史 从历史发展的角度，开源项目的演进，大致经历了以下几个阶段1： （一）1950s-1960s：早期计算机领域的合作和信息共享 在20世纪50-60年代，计算机科学正处于萌芽阶段。计算机硬件和软件的开发主要由大学和研究机构进行，形成了一个相对较小但紧密合作的社区。计算机系统的规模相对较小，研究者们注重合作和信息共享，通过科学论文和会议传播计算机科学的知识。可以看作是一种早期的“开放”文化。 （二）1970s：UNIX的出现 在20世纪70年代初，贝尔实验室的研究员开发了UNIX操作系统。UNIX的源代码被许多学术机构和公司开放，这一开放性的实践为合作和信息共享奠定了基础。这个时期的特点是社区内部的互动和知识交流。 （三）1980s：自由软件基金会的成立 1985年，理查德·斯托曼创建了自由软件基金会（FSF），倡导“自由软件”概念，强调用户对软件自由使用、修改和分享的权利。FSF推动了GNU项目的启动，致力于创建一个完全自由的UNIX兼容操作系统。这一时期见证了对“自由”概念的深入探讨和定义。 （四）1990s：Linux内核和开源运动的兴起 1991年，芬兰学生林纳斯·托瓦兹发布了Linux内核的第一个版本。Linux成为一个成功的开源项目，吸引了全球范围内的开发者积极参与。这一时期标志着“开源”概念的正式提出，社区的规模和活跃度急剧增加。 （五）1998：开源倡议的成立 1998年，开源倡议（OSI）成立，旨在推动开源软件的定义和推广。OSI 1VivekSingh：ABriefHistoryofOpenSource，2018 制定了开源定义，认证了符合这一定义的开源许可证。这一时期是开源概念得到系统化和规范化的时刻。 （六）2000s：开源软件的商业应用 随着时间的推移，越来越多的公司认识到开源软件的潜力，并积极参与开源项目，或者基于开源软件构建自己的产品和服务。知名的开源项目，如ApacheHTTP服务器、MySQL数据库和Linux操作系统，在这一时期成为构建企业级应用的关键组成部分。 （七）2010s至今：开源在技术和社会中的广泛影响 过去的十年中，开源已经成为IT行业的主导力量，不仅在操作系统和服务器领域占据主导地位，还扩展到云计算、大数据、人工智能等新兴领域。全球范围内的开源项目蓬勃发展，社区合作的模式也在不断演进。开源的成功示范如Kubernetes、TensorFlow等，为技术创新提供了强大的推动力。 开源发展的历史是一部不断演变的史诗，代表了计算机科学和软件工程领域对开放、协作和创新的持续追求。这个历程在推动技术发展的同时，也在社会层面产生了深远的影响，塑造了当今数字时代的面貌。 二、中国开源的发展进程 我国的开源发展经历了多个阶段，展现出逐步深化和广泛参与的趋势。起步阶段（20世纪90年代至2000年代初）：我国在这一时期主要处于对 开源软件的初步采用和使用阶段，主要集中在一些高校和科研机构。 初步开源社区形成（2000年代中期）：国内的开源社区在这一时期开始初步形成。一些开源项目逐渐引起国内关注，开发者开始参与到国际开源社区中。 国内自主开源项目崛起（2010年代初）：随着国内技术水平的提升，我国自主开源项目开始崭露头角。一些企业和独立开发者积极参与到一些关键项目 中，如中国开源软件产业联盟的成立。 社区的活跃与国际交流（2010年代中期至今）：国内的开源社区在这一时期变得更加活跃。一方面，国内社区在国际上积极参与，推动了一些国际开源项目的发展；另一方面，国内涌现出一系列优秀的自主开源项目，如蚂蚁金服的Dubbo、华为的HarmonyOS等。 政府政策引导与支持（2010年代中期至今）：政府逐渐认识到开源在技术创新和产业升级中的战略地位。出台了一系列支持开源发展的政策，包括鼓励政府采购开源软件、推动企业开源项目、以及促进国际开源合作等。 产业化和技术创新（2015年至今）：近年来，我国的开源生态系统进入了更为成熟和产业化的阶段。一些知名企业在开源领域取得显著进展，成为一些重要开源项目的主要贡献者。 国际合作与社区建设（近年来）：我国的开源社区与国际社区的交流日益频繁。中国的开发者和企业积极参与到全球性的开源项目中，促进了技术的国际交流与合作。 总体而言，我国的开源发展经历了从起步、涌现到成熟和国际化的过程。在政府政策的支持下，我国开源社区逐渐成为全球开源生态系统中不可忽视的一部分，为技术创新和产业发展注入了强大动力。 北京•上海•深圳•广州•武汉•成都•重庆•青岛•杭州•南京•海口•东京•香港•伦敦•纽约•洛杉矶•旧金山•阿拉木图 Beijing•Shanghai•Shenzhen•Guangzhou•Wuhan•Chengdu•Chongqing•Qingdao•Hangzhou•Nanjing•Haikou•Tokyo•HongKong•London•NewYork•LosAngeles•SanFrancisco•Almaty 9 第二部分开源风险与合规建设 北京•上海•深圳•广州•武汉•成都•重庆•青岛•杭州•南京•海口•东京•香港•伦敦•纽约•洛杉矶•旧金山•阿拉木图 Beijing•Shanghai•Shenzhen•Guangzhou•Wuhan•Chengdu•Chongqing•Qingdao•Hangzhou•Nanjing•Haikou•Tokyo•HongKong•London•NewYork•LosAngeles•SanFrancisco•Almaty 10 开源风险与合规建设 一、开源许可证分类 二、常见开源许可证介绍三、开源软件合规风险 四、企业开源合规体系的构建 一、开源许可证分类 开源许可证，又被称为开源协议，是开源理念在实践中的重要产物。正如之前所强调的，开源的核心理念是通过共享知识来促进技术进步，而非与嵌入在智力成果中的知识产权对抗。在追求这一目标的同时，开源同样需要通过法律手段来确保开发者的合法权益。为了在维护开发者权益的同时充分保障用户对软件的自由使用权，著佐权（Copyleft）的概念应运而生。通过开源许可证的方式，既保护了作者的专有权利，又施加了一定的自我权利限制，从而确保了用户在分享和修改软件方面的自由。各个开源社区、知名大学以及团体纷纷制定了一系列开源许可证，这些许可证在权利和义务方面都有各自独特的规定，往往反映了不同的价值观和考虑。 开源许可证一般分为2种类型：宽松型和著佐权型。 1、宽松型(Permissive)：该类许可证往往只要求被许可方保留原作品的版权信息，对用户施加的限制较少，衍生软件可以成为私有软件，如Apache、MIT、BSD系列许可证。由于它们容许衍生软件闭源，因而在商业化环境中备受欢迎。 2、著佐权型（Copyleft）：也称为互惠型或者强保护型许可证。此类许可证设计目的是通过要求对软件的修改和扩展必须按照相同许可证进行开源，以促进开发人员的合作，确保源代码的自由共享。著佐权型许可证进一步可以分为强著佐权型许可证和弱著佐权型许可证，常见的强著佐权型许可证包括AGPL、SSPL、GPL许可证等；常见的弱著佐权型许可证包括LGPL系列许可证、MPL许可证等。强著佐权型许可证要求对软件的修改和扩展更为严格，追求更高程度的开源传染性，确保整个项目都是开源的。相比之下，弱著佐权型许可证在开源要求上相对宽松，允许与非开源软件组合使用。选择使用哪种类型的许可证通常取决于项目的性质、社区的需求以及开发者对代码共享的态度。 2 2HeatherMeeker：《开源软件许可实用指南》，人民邮电出版社，2023，刘伟译。 二、常见开源许可证介绍 （一）MIT许可证 MIT许可证是一种非常宽松的开源许可证，被广泛应用于许多开源项目。它起源于麻省理工学院（MIT），因此得名。主要特点有： （1）简洁明了：MIT许可证是一份非常简洁、直观的许可证，不包含过多复杂的法律术语。 （2）允许使用、修改和再分发：MIT许可证允许任何人无论是私人用户还是企业都可以自由使用、修改和再分发软件。 （3）无传染性：与著佐权型许可证不同，MIT许可证没有传染性，即不要求衍生作品必须使用相同的许可证。 （4）包含版权声明和免责条款：MIT许可证要求在软件的所有副本或重要部分中包含原始许可证和版权声明。此外，它附带了免责声明，概述了软件是按原样提供的，没有任何形式的担保。 （5）商业友好：由于其宽松的限制，MIT许可证在商业环境中非常受欢迎。企业可以将包含MIT许可的软件集成到他们的商业项目中，而不会受到限制。 （二）BSD许可证 TheBSDLicense（BSD）是BerkeleySoftwareDistributionLicense的缩写。BSD许可证是一系列开源许可证的统称，其中最常见的两个版本是BSD2-ClauseLicense（又称为SimplifiedBSDLicense或FreeBSDLicense）和BSD3-ClauseLicense（又称为NewBSDLicense或ModifiedBSDLicense）。这两个版本的BSD许可证都源自于加利福尼亚大学伯克利分校（UniversityofCalifornia,Berkeley）开发的BSD操作系统。