定制报告-个性化定制-按需专项定制研究报告
行业报告、薪酬报告
联系:400-6363-638
《中伦律师事务:2024开源合规白皮书(第二版)(中英双语版)(156页).pdf》由会员分享,可在线阅读,更多相关《中伦律师事务:2024开源合规白皮书(第二版)(中英双语版)(156页).pdf(156页珍藏版)》请在本站上搜索。 1、北京 上海 深圳 广州 武汉 成都 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuhan Chengdu Chongqing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Kong London New York Los Angeles San Francisco Almaty开源合规白皮书开源合规白皮书第二版(2025 年 5 月 18 日)第二版(2025 年 5 月 18 日)北京 上海 深圳 广州 武汉 成都 重庆 青岛 杭州 南京 海口 2、东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuhan Chengdu Chongqing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Kong London New York Los Angeles San Francisco Almaty版权声明Copyright Statement本白皮书版权归北京中伦(杭州)律师事务所王红燕律师所有,转载、编撰或利用其他方式使用本白皮书文字或观点,应注明来源开源合规白皮书 2024(中伦杭州王红燕律师)。违反上述声明者,编者将追究其相关3、法律责任。北京 上海 深圳 广州 武汉 成都 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuhan Chengdu Chongqing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Kong London New York Los Angeles San Francisco Almaty目 录目 录第一部分开源简述第一部分开源简述71第二部分开源风险与合规建设 第二部分开源风险与合规建设 10第三部分中国开源软件司法实践 第三部分中国开源软件司法实4、践 100第四部分域外开源软件案例解读 第四部分域外开源软件案例解读 117第五部分关于建立开源平台的合规要求 第五部分关于建立开源平台的合规要求 125第六部分开源合规适用法律以及相关政策 第六部分开源合规适用法律以及相关政策 133第七部分开源合规第七部分开源合规 Q&A(持续丰富中)(持续丰富中)145第八部分信息安全技术软件产品开源代码安全评价方法 第八部分信息安全技术软件产品开源代码安全评价方法 154北京 上海 深圳 广州 武汉 成都 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou5、 Wuhan Chengdu Chongqing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Kong London New York Los Angeles San Francisco Almaty4第一部分开源简述第一部分开源简述北京 上海 深圳 广州 武汉 成都 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuhan Chengdu Chongqing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Ko6、ng London New York Los Angeles San Francisco Almaty5开源简述开源简述开源(Open-Source),全称为开放源代码,这一概念兴起于软件行业,其基本内涵是开放源代码,也即源代码开放共享的开发模式。在开源模式下,通过许可证的方式,使用者在遵守许可限制的条件下,可自由获取源代码等,并可使用、复制、修改和再发布。发展至今,开源作为一种创新协作模式,其表现形式已不仅仅局限于开源软件(Open Source Software),而且也包括开源硬件(Open Source Hardware)、开源设计(Open Design)、开源文档(Open Doc7、ument)、开源技术(Open source Technologies)等。北京 上海 深圳 广州 武汉 成都 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuhan Chengdu Chongqing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Kong London New York Los Angeles San Francisco Almaty6一、开源简史一、开源简史从历史发展的角度,开源项目的演进,大致经历了以下几个阶段1:(一)(一8、)1950s-1960s:早期计算机领域的合作和信息共享:早期计算机领域的合作和信息共享在 20 世纪 50-60 年代,计算机科学正处于萌芽阶段。计算机硬件和软件的开发主要由大学和研究机构进行,形成了一个相对较小但紧密合作的社区。计算机系统的规模相对较小,研究者们注重合作和信息共享,通过科学论文和会议传播计算机科学的知识。可以看作是一种早期的“开放”文化。(二)1970s:(二)1970s:UNIX 的出现的出现在 20 世纪 70 年代初,贝尔实验室的研究员开发了 UNIX 操作系统。UNIX的源代码被许多学术机构和公司开放,这一开放性的实践为合作和信息共享奠定了基础。这个时期的特点是社区9、内部的互动和知识交流。(三)(三)1980s:自由软件基金会的成立:自由软件基金会的成立1985 年,理查德斯托曼创建了自由软件基金会(FSF),倡导“自由软件”概念,强调用户对软件自由使用、修改和分享的权利。FSF 推动了 GNU 项目的启动,致力于创建一个完全自由的 UNIX 兼容操作系统。这一时期见证了对“自由”概念的深入探讨和定义。(四)1990s:(四)1990s:Linux 内核和开源运动的兴起内核和开源运动的兴起1991 年,芬兰学生林纳斯托瓦兹发布了 Linux 内核的第一个版本。Linux成为一个成功的开源项目,吸引了全球范围内的开发者积极参与。这一时期标志着“开源”概念的正10、式提出,社区的规模和活跃度急剧增加。(五)(五)1998:开源倡议的成立:开源倡议的成立1998 年,开源倡议(OSI)成立,旨在推动开源软件的定义和推广。OSI1Vivek Singh:A Brief History of Open Source,2018北京 上海 深圳 广州 武汉 成都 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuhan Chengdu Chongqing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Kong London11、 New York Los Angeles San Francisco Almaty7制定了开源定义,认证了符合这一定义的开源许可证。这一时期是开源概念得到系统化和规范化的时刻。(六)(六)2000s:开源软件的商业应用:开源软件的商业应用随着时间的推移,越来越多的公司认识到开源软件的潜力,并积极参与开源项目,或者基于开源软件构建自己的产品和服务。知名的开源项目,如 ApacheHTTP 服务器、MySQL 数据库和 Linux 操作系统,在这一时期成为构建企业级应用的关键组成部分。(七)(七)2010s 至今:开源在技术和社会中的广泛影响至今:开源在技术和社会中的广泛影响过去的十年中,开源已12、经成为 IT 行业的主导力量,不仅在操作系统和服务器领域占据主导地位,还扩展到云计算、大数据、人工智能等新兴领域。全球范围内的开源项目蓬勃发展,社区合作的模式也在不断演进。开源的成功示范如 Kubernetes、TensorFlow 等,为技术创新提供了强大的推动力。开源发展的历史是一部不断演变的史诗,代表了计算机科学和软件工程领域对开放、协作和创新的持续追求。这个历程在推动技术发展的同时,也在社会层面产生了深远的影响,塑造了当今数字时代的面貌。二、中国开源的发展进程二、中国开源的发展进程我国的开源发展经历了多个阶段,展现出逐步深化和广泛参与的趋势。起步阶段(20 世纪 90 年代至 200013、 年代初):我国在这一时期主要处于对开源软件的初步采用和使用阶段,主要集中在一些高校和科研机构。初步开源社区形成(2000 年代中期):国内的开源社区在这一时期开始初步形成。一些开源项目逐渐引起国内关注,开发者开始参与到国际开源社区中。国内自主开源项目崛起(2010 年代初):随着国内技术水平的提升,我国自主开源项目开始崭露头角。一些企业和独立开发者积极参与到一些关键项目北京 上海 深圳 广州 武汉 成都 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuhan Chengdu Chongq14、ing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Kong London New York Los Angeles San Francisco Almaty8中,如中国开源软件产业联盟的成立。社区的活跃与国际交流(2010 年代中期至今):国内的开源社区在这一时期变得更加活跃。一方面,国内社区在国际上积极参与,推动了一些国际开源项目的发展;另一方面,国内涌现出一系列优秀的自主开源项目,如蚂蚁金服的 Dubbo、华为的 HarmonyOS 等。政府政策引导与支持(2010 年代中期至今):政府逐渐认识到开源在技术创新和产业升级中的战略地位。出台了一系列15、支持开源发展的政策,包括鼓励政府采购开源软件、推动企业开源项目、以及促进国际开源合作等。产业化和技术创新(2015 年至今):近年来,我国的开源生态系统进入了更为成熟和产业化的阶段。一些知名企业在开源领域取得显著进展,成为一些重要开源项目的主要贡献者。国际合作与社区建设(近年来):我国的开源社区与国际社区的交流日益频繁。中国的开发者和企业积极参与到全球性的开源项目中,促进了技术的国际交流与合作。总体而言,我国的开源发展经历了从起步、涌现到成熟和国际化的过程。在政府政策的支持下,我国开源社区逐渐成为全球开源生态系统中不可忽视的一部分,为技术创新和产业发展注入了强大动力。北京 上海 深圳 广州 武16、汉 成都 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuhan Chengdu Chongqing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Kong London New York Los Angeles San Francisco Almaty9第二部分开源风险与合规建设第二部分开源风险与合规建设北京 上海 深圳 广州 武汉 成都 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai17、 Shenzhen Guangzhou Wuhan Chengdu Chongqing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Kong London New York Los Angeles San Francisco Almaty10开源风险与合规建设开源风险与合规建设一、开源许可证分类二、常见开源许可证介绍三、开源软件合规风险四、企业开源合规体系的构建北京 上海 深圳 广州 武汉 成都 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuha18、n Chengdu Chongqing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Kong London New York Los Angeles San Francisco Almaty11一、开源许可证分类一、开源许可证分类开源许可证,又被称为开源协议,是开源理念在实践中的重要产物。正如之前所强调的,开源的核心理念是通过共享知识来促进技术进步,而非与嵌入在智力成果中的知识产权对抗。在追求这一目标的同时,开源同样需要通过法律手段来确保开发者的合法权益。为了在维护开发者权益的同时充分保障用户对软件的自由使用权,著佐权(Copyleft)的概念应运而生19、。通过开源许可证的方式,既保护了作者的专有权利,又施加了一定的自我权利限制,从而确保了用户在分享和修改软件方面的自由。各个开源社区、知名大学以及团体纷纷制定了一系列开源许可证,这些许可证在权利和义务方面都有各自独特的规定,往往反映了不同的价值观和考虑。开源许可证一般分为 2 种类型:宽松型和著佐权型。1、宽松型(Permissive):该类许可证往往只要求被许可方保留原作品的版权信息,对用户施加的限制较少,衍生软件可以成为私有软件,如 Apache、MIT、BSD 系列许可证。由于它们容许衍生软件闭源,因而在商业化环境中备受欢迎。2、著佐权型(Copyleft):也称为互惠型或者强保护型许可证20、。此类许可证设计目的是通过要求对软件的修改和扩展必须按照相同许可证进行开源,以促进开发人员的合作,确保源代码的自由共享。著佐权型许可证进一步可以分为强著佐权型许可证和弱著佐权型许可证,常见的强著佐权型许可证包括AGPL、SSPL、GPL 许可证等;常见的弱著佐权型许可证包括 LGPL 系列许可证、MPL 许可证等。强著佐权型许可证要求对软件的修改和扩展更为严格,追求更高程度的开源传染性,确保整个项目都是开源的。相比之下,弱著佐权型许可证在开源要求上相对宽松,允许与非开源软件组合使用。选择使用哪种类型的许可证通常取决于项目的性质、社区的需求以及开发者对代码共享的态度。22Heather Meek21、er:开源软件许可实用指南,人民邮电出版社,2023,刘伟译。北京 上海 深圳 广州 武汉 成都 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuhan Chengdu Chongqing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Kong London New York Los Angeles San Francisco Almaty12二、常见开源许可证介绍二、常见开源许可证介绍(一)(一)MIT 许可证许可证MIT 许可证是一种非常宽松的开22、源许可证,被广泛应用于许多开源项目。它起源于麻省理工学院(MIT),因此得名。主要特点有:(1)简洁明了:MIT 许可证是一份非常简洁、直观的许可证,不包含过多复杂的法律术语。(2)允许使用、修改和再分发:MIT 许可证允许任何人无论是私人用户还是企业都可以自由使用、修改和再分发软件。(3)无传染性:与著佐权型许可证不同,MIT 许可证没有传染性,即不要求衍生作品必须使用相同的许可证。(4)包含版权声明和免责条款:MIT 许可证要求在软件的所有副本或重要部分中包含原始许可证和版权声明。此外,它附带了免责声明,概述了软件是按原样提供的,没有任何形式的担保。(5)商业友好:由于其宽松的限制,MIT23、 许可证在商业环境中非常受欢迎。企业可以将包含 MIT 许可的软件集成到他们的商业项目中,而不会受到限制。(二)(二)BSD 许可证许可证The BSD License(BSD)是 Berkeley Software Distribution License 的缩写。BSD 许可证是一系列开源许可证的统称,其中最常见的两个版本是 BSD2-Clause License(又称为 Simplified BSD License 或 FreeBSD License)和 BSD3-Clause License(又称为 New BSD License 或 Modified BSD License)。这两个24、版本的 BSD 许可证都源自于加利福尼亚大学伯克利分校(University ofCalifornia,Berkeley)开发的 BSD 操作系统。北京 上海 深圳 广州 武汉 成都 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuhan Chengdu Chongqing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Kong London New York Los Angeles San Francisco Almaty13BSD 2-Claus25、e License 主要特点有:(1)简洁明了:与 MIT 许可证一样,BSD 2-Clause License 是一种非常简洁明了的许可证。(2)允许使用、修改和再分发:许可证允许在满足特定条件的情况下使用、修改和再分发软件。(3)保留版权和免责声明:与 MIT 许可证类似,BSD 2-Clause License 要求在软件的所有副本或重要部分中包含原始许可证和版权声明,并且包含免责声明。BSD 3-Clause License 主要特点有:(1)允许使用、修改和再分发:与 BSD 2-Clause License 相似,许可证允许在满足特定条件的情况下使用、修改和再分发软件。(2)要求不26、使用原作者或贡献者的名字进行宣传:在使用软件的宣传资料中,不得使用原作者或贡献者的名字、商标或其他标识,以表示它们的认可或推荐。(3)保留版权和免责声明:同样要求在软件的所有副本或重要部分中包含原始许可证和版权声明,并且包含免责声明。BSD 许可证因其灵活性和简洁性而受到欢迎,特别是在与商业软件集成或用于学术研究项目中。(三)(三)Apache 许可证许可证Apache 许可证是一种广泛使用的开源许可证,最初由 Apache 软件基金会(Apache Software Foundation)创建并维护。该许可证适用于许多知名的开源项目,其中最著名的就是 Apache HTTP 服务器。Apac27、he 许可证主要特点有:(1)允许商业使用:Apache 许可证对商业和非商业用户都是开放的,允北京 上海 深圳 广州 武汉 成都 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuhan Chengdu Chongqing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Kong London New York Los Angeles San Francisco Almaty14许在闭源和开源项目中使用。(2)允许修改和再分发:许可证允许用户修改源代码28、,并将修改后的代码以开源或闭源形式再分发。(3)有限的专利授予:Apache 许可证包含有限的专利授予条款,即授予用户使用与软件相关的专利的权限。这有助于防止专利诉讼对开源项目的侵害。(4)保留版权和免责声明:许可证要求在软件的所有副本或重要部分中包含原始许可证和版权声明。此外,它还包含了免责声明,说明软件是按原样提供的,不提供任何担保。Apache 许可证因其灵活性、商业友好性以及对专利授予的处理而被广泛采用,许多重要的开源项目都选择使用这一许可证。(四)(四)GPL 许可证许可证GPL(GNU General Public License,通用公共许可证)是一种由自由软件基金会(Free 29、Software Foundation)创建的开源许可证。GPL 是一种著佐权型许可证,旨在保障用户的自由,确保每个使用、修改和分发软件的人都能享有相应的自由。主要特点有:(1)开源和自由使用:GPL 确保被授权方可以自由使用、修改和分发软件的源代码。(2)传染性(Copyleft):GPL 的主要特点之一是其传染性,要求任何基于 GPL 许可的软件修改和衍生作品也必须使用 GPL 进行分发。(3)源代码的可用性:如果在项目中使用了 GPL 许可的软件,那么对于任何分发的二进制形式,必须同时提供相应的源代码,确保用户有权查看和修改代码。(4)修改的开源性:对于基于 GPL 软件的修改,这些修改30、必须同样使北京 上海 深圳 广州 武汉 成都 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuhan Chengdu Chongqing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Kong London New York Los Angeles San Francisco Almaty15用 GPL 进行分发,以保证整个项目的开源性。GPL 先后发布了有 3 个版本,常用的 GPL 许可证为 GPL v2 和 GPL v3。版本版本发布时间发布时31、间内容内容GPLv11989 年基于 GPLv1,如果发布了可执行的二进制代码,就必须同时发布可读的源代码,并且在发布任何基于 GPL 许可的软件时,不能添加任何限制性的条款。GPLv21991 年在 GPLv2 中所做的最大的改动就是增加了“自由还是死亡”(Liberty or Death)的条款。该条款规定,发布源于 GPL 的软件时,源代码应公开,如果规定只能以二进制代码的形式发布软件,那么使用者将根本无权发布该软件。GPLv32007 年GPLv3 的修改主要为:明确了专利问题、与其他许可证的兼容性问题;重新定义了发布、传播、源代码等概念;解决数字版权管理(DRM)问题。GPL 许可证32、因其强调用户自由的特点,特别适用于开源社区和项目,但同时也因其传染性和一些要求而在商业领域引起争议。项目选择 GPL 许可证通常是出于对自由软件原则的坚持。(五)(五)AGPL 许可证许可证AGPL(GNU Affero General Public License,Affero 通用公共许可证)许可证是一种强著佐权许可证。与 GPL 一样,其要求对软件的修改和扩展必须按照相同的许可证进行开源。主要特点有:(1)网络服务的传染性:AGPL 要求如果服务商使用 AGPL 许可的软件提供网络服务,那么对该软件的修改和衍生作品也必须使用 AGPL 进行开源,即使这些修改只是在服务器上运行,而没有分发33、给客户端。(2)远程用户的访问权:AGPL 强调了远程用户通过网络访问该软件的权利,以确保他们能够获得相应的源代码。(3)源代码的可用性:与 GPL 类似,AGPL 要求在分发二进制形式的同时提供相应的源代码。但是,AGPL 更明确地强调了通过网络提供软件服务的情况。北京 上海 深圳 广州 武汉 成都 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuhan Chengdu Chongqing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Kong L34、ondon New York Los Angeles San Francisco Almaty16(4)应用于网络服务和托管环境:AGPL 的设计目的是应对云计算和托管服务的兴起,确保在这些环境中使用的开源软件仍然保持开源。AGPL 通常被选择用于那些提供在线服务的开源项目,特别是在云计算、软件即服务(SaaS)和其他网络服务模型中,以确保在这些环境中使用的软件仍然保持开源。AGPL 的使用场景主要是基于对开源社区的贡献和对用户自由的强调。(六)(六)LGPL 许可证许可证LGPL(GNU Lesser General Public License,宽通用公共许可证)是一种由自由软件基金会(F35、ree Software Foundation)创建和维护的弱著佐权许可证。与 GPL 不同,LGPL 相对更为宽松,允许开发者将 LGPL 许可的库(或部分代码)链接到非开源软件中而不需要将整个应用程序的源代码开放。主要特点有:(1)链接允许:LGPL 允许开发者将 LGPL 许可的库(或部分代码)链接到非 LGPL 许可的应用程序中,而不需要开放整个应用程序的源代码。(2)修改的开源性:对于 LGPL 许可的库的修改,这些修改必须同样使用 LGPL 进行分发,以保持整个库的开源性。(3)库的自由使用:对于 LGPL 许可的库,用户可以自由使用、修改和分发该库的源代码。(4)修改的开源性:如36、果修改 LGPL 许可的库并将其嵌入应用程序中,这些修改必须同样使用 LGPL 进行分发。LGPL 通常被选择用于开发可重用的软件库或组件,允许这些库在开发者构建闭源应用程序时被链接。这使得开发者可以享受开源库的好处,同时不需要公开整个应用程序的源代码。(七)(七)MPL 许可证许可证北京 上海 深圳 广州 武汉 成都 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuhan Chengdu Chongqing Qingdao Hangzhou Nanjing Haikou Tokyo Ho37、ng Kong London New York Los Angeles San Francisco Almaty17MPL(The Mozilla Public License)许可证由 Mozilla 基金会创建和维护。MPL 是一种相对宽松的许可证,旨在鼓励软件的开发和共享,同时保护作者的权益。MPL 的特点之一是其“文件级别”的复杂性管理,允许开发者以 MPL许可证的形式选择性地授权其软件的部分。主要特点有:(1)文件级别授权:MPL 允许开发者选择性地使用 MPL 授权他们的软件的部分,而不是整个项目。这种模块化的授权使得 MPL 更为灵活。(2)派生作品的开源性:对于派生作品,MPL38、 要求这些派生作品必须使用 MPL 进行分发,以保持开源性。(3)允许与其他许可证组合:MPL 允许与其他许可证组合,包括 GPL 和LGPL。这种灵活性有助于与其他开源项目进行集成。(4)修改的可追溯性:如果对软件进行了修改,MPL 要求在修改的文件中清晰地注明修改的地方,并提供原始文件的副本。MPL 通常被用于开源项目,特别是 Mozilla 基金会的项目,如 Firefox 浏览器。由于其相对灵活的授权和与其他许可证的兼容性,MPL 适用于需要保护原始代码的作者权益,同时希望与其他开源项目集成的情况。总体而言,MPL 是一种综合了开源原则和对作者权益保护的许可证,适用于多样化的开发场景。39、(八)木兰许可证(八)木兰许可证木兰开源许可证是由北京大学牵头,依托全国信标委云计算标准工作组和中国开源云联盟,联合国内开源生态圈产学研各界优势团队、开源社区以及拥有丰富知识产权相关经验的众多律师,在对现有主流开源协议全面分析的基础上,共同起草、修订并发布的开源许可证。目前,木兰开源许可证共有 3 个版本:“木兰宽松许可证”第 1 版、“木兰宽松许可证”第 2 版和“木兰公共许可证”。其中,“木兰宽松许可证”第北京 上海 深圳 广州 武汉 成都 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou 40、Wuhan Chengdu Chongqing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Kong London New York Los Angeles San Francisco Almaty182 版(MulanPSL v2)于 2020 年通过开源促进会(OSI)认证,被批准为国际化开源许可证。木兰宽松许可证具有以下特点:(1)木兰许可证内容以中英文双语表述,中英文版本具有同等法律效力,方便更多的开源参与者阅读使用,简化了中文开发者进行法律解释时的复杂度。(2)木兰许可证明确授予用户永久性、全球性、免费的、非独占的、不可撤销的版权和专利许可,41、并针对目前专利联盟存在的互诉漏洞问题,明确规定禁止“贡献者”或“关联实体”直接或间接地(通过代理、专利被许可人或受让人)进行专利诉讼或其他维权行动,否则终止专利授权。(3)为保护“贡献者”的切身利益,木兰许可证明确不提供对“贡献者”的商品名称、商标、服务标志等的商标许可。(4)木兰许可证经技术专家和法律专家共同修订,在明确合同双方行为约束的前提下尽可能地精简条款、优化表述,降低产生法律纠纷的风险3。(九)开源许可证的兼容性问题(九)开源许可证的兼容性问题开源许可证的兼容性是指不同开源许可证之间的关系,即一个软件项目可以使用同时受到不同许可证保护的组件,并确保这些组件在合法范围内相互协作。当将适42、用不同许可证的开源程序代码进行合并或者链接时,如果各个许可证的限制或条件没有冲突,我们就可以说这些许可证是兼容的。了解兼容性是开发者和组织在选择、组合和分发开源软件时的关键考虑因素。常见的代码组合方式有两种,即合并或者使用库链接,下表对常见开源许可证的兼容性进行了分类:3来源:红山开源平台微信公众号 https:/ 上海 深圳 广州 武汉 成都 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuhan Chengdu Chongqing Qingdao Hangzhou Nanjing Ha43、ikou Tokyo Hong Kong London New York Los Angeles San Francisco Almaty19图 1开源许可证兼容性列表(合并代码)4图 2开源许可证兼容性列表(使用库链接)5三、开源软件合规风险三、开源软件合规风险开源软件现已被广泛运用于商业软件的开发与使用中。但企业在引入开源技术的同时,如果没有遵守开源软件使用的规则,往往会给企业带来各种法律风险。(一)知识产权风险(一)知识产权风险4来源:可信开源合规计划开源合规指南(企业篇)第 33 页。5来源:可信开源合规计划开源合规指南(企业篇)第 33 页。北京 上海 深圳 广州 武汉 成都 重庆 44、青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuhan Chengdu Chongqing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Kong London New York Los Angeles San Francisco Almaty201、著作权侵权风险著作权侵权风险包括以下几点:未经授权的复制和分发:企业在使用开源软件时必须遵循许可证的规定,包括复制和分发源代码的条件。如果企业未经授权就复制、修改或分发软件的源代码,可能触发著作权侵权。修改代45、码而未共享:开源软件通常允许用户修改源代码,但在对源代码进行修改后,必须按照相同的许可证要求分享修改后的代码。如果企业对开源软件进行了修改但未共享这些修改,可能导致著作权侵权指控。依赖未授权版本:企业可能依赖于开源软件的特定版本,但如果未经许可证允许就对软件进行修改,可能会侵犯原始作者的著作权。混合使用不兼容的许可证软件:当企业同时使用具有不同许可证的开源软件时,许可证之间可能存在不兼容性。这可能导致著作权侵权的问题,特别是在涉及较严格的许可证(如 GPL)时。2、专利侵权风险使用开源软件的专利侵权风险来源于内部、外部两个方面。第一,内部专利侵权风险,是指开源软件可能包含了被专利保护的技术,尤46、其是一些先进和创新的功能。如果企业在未经授权的情况下使用了这些技术,可能会触发专利侵权。有些开源许可协议(如 Apache 2.0)明示了专利授权且存在专利报复条款,内部专利风险相对较小。然而,部分开源许可协议(如BSD、MIT 等)没有明示专利许可规定,开源软件的开发者或者贡献者可以向开源软件使用者提起专利诉讼并收取专利许可费,因此内部专利风险较大。第二,外部专利侵权风险,是指不受开源许可协议约束的第三方向开源软件使用者发起专利诉讼,声称所述开源软件使用了其专利。例如微软就曾表示过包括 Linux 在内的开源软件使用了微软的专利,微软曾向谷歌以及众多手机北京 上海 深圳 广州 武汉 成都 重47、庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuhan Chengdu Chongqing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Kong London New York Los Angeles San Francisco Almaty21厂商如富士康、京瓷、三星等提起了专利侵权诉讼,要求其向微软支付专利使用许可费。这些案件后来多以双方签订了专利许可协议,向微软支付专利许可费的方式达成了和解。3、商标侵权风险在使用开源软件时,企业可能未经授权地48、使用了该软件的商标,包括软件的名称、标志或其他标识。这可能触发商标侵权指控。如果其商标与该软件或其开发者的商标相似,可能引起混淆,使人误认为两者有关联,也可能导致商标侵权纠纷。因此企业在使用开源软件时应当认真了解开源软件的商标使用规定,确保在商标使用方面遵循合规要求,以降低商标侵权风险。4、商业秘密风险开源软件的商业秘密侵权风险涉及到企业在使用、修改和分发开源软件时可能泄露其内部商业秘密的可能性。商业秘密侵权风险可能源于对软件代码、配置、算法等方面的不当处理,使得企业的核心业务信息可能被揭示。一是被迫公开商业秘密的风险。开源软件通常提供源代码供用户审查和修改。企业在使用这些源代码时,如果未能进49、行适当的审查,可能无意中将其自有商业秘密混入到公开的代码中,代码若受到著佐权类开源许可证的“传染”而可能需要被迫开源,则可引起商业秘密公开的风险。二是商业秘密被非法获取的风险。恶意的开源软件可能包含后门,通过这些后门,黑客可以访问企业的敏感信息,包括商业秘密。如引入的开源软件存在恶意代码、病毒或其他安全漏洞,可能引起内部系统商业秘密泄露的风险;他人未经企业批准擅自在开源社区上贡献源代码,也可能引起企业商业秘密的泄露风险。为减少商业秘密侵权风险,企业应当实施全面的开源软件管理策略,包括审查、清理和安全审计源代码,选择可信赖的开源软件,遵守开源许可协议的北京 上海 深圳 广州 武汉 成都 重庆 青50、岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuhan Chengdu Chongqing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Kong London New York Los Angeles San Francisco Almaty22规定,并保障企业的商业秘密得到妥善保护。(二)企业商誉风险(二)企业商誉风险对于未遵守开源许可证的企业,开源软件的权利人等可能会发文进行舆论声讨,或加入“耻辱黑名单”进行舆论谴责,引起企业商誉受损的风险。例如Ony51、x 的电子书设备是在 Linux 内核基础上的改版,而 Linux 内核遵循 GPL 许可证,要求二次分发项目也必须开源,然而 Onyx 拒绝发布其源码。Onyx 的态度激起许多人的不满,部分批评者认为 Onyx 事件暴露了很多厂商不尊重开源协议的现状。(三)数据合规风险(三)数据合规风险近年来,随着人工智能技术的发展,开源软件在人工智能领域的应用和推动作用愈发显著,许多先进的机器学习算法和深度学习模型以开源方式发布,也有公司直接开源了自己的 AI 开发框架,推动了 AI 技术的广泛应用。企业在选择这些 AI 开源工具时,要注意遵守我国在人工智能领域的监管法规,关注数据合规风险。根据生成式人工52、智能服务管理暂行办法,提供生成式人工智能服务在数据安全方面应当遵守中华人民共和国网络安全法、中华人民共和国数据安全法、中华人民共和国个人信息保护法等法律法规的规定。因此,若开源软件的数据来源和使用涉及个人信息侵权行为,可能给用户造成数据合规风险。同时,开源软件生成数据是否包含违法信息,也可能导致用户面临相应风险。此外,提供生成式人工智能服务应当进行安全评估(评估内容包括信息服务的合法性、落实安全措施的有效性、防控安全风险的有效性等),同时应当履行算法备案义务。四、企业开源合规体系的构建四、企业开源合规体系的构建(一)企业开源合规团队的组成(一)企业开源合规团队的组成北京 上海 深圳 广州 武汉53、 成都 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuhan Chengdu Chongqing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Kong London New York Los Angeles San Francisco Almaty23当企业在日常运营中广泛采用开源软件时,确保其合规性变得至关重要。为了有效应对开源合规的复杂性,企业需要建立一个专业的开源合规团队。该团队应该由法务团队、技术人员和外部律师组成,各部门之间需要密切合作54、,以应对开源带来的风险。首先,法务团队在企业开源合规中扮演着核心角色。他们负责解析各种开源许可证的法律要求,并监督企业的开源软件策略。法务团队需要与技术团队协作,确保开发人员理解和遵循许可证条款,同时制定和更新内部开源合规政策,以适应不断变化的法律环境。其次,技术人员是实施开源合规政策的关键执行者。他们需要理解开源软件的技术细节,确保企业在使用、修改和分发开源代码时不违反相关许可证。技术团队与法务团队之间的协作至关重要,以确保技术实践与法律要求保持一致。技术团队还需要定期审查和更新企业使用的开源软件,以及时解决潜在的合规性问题。为了获取专业法律意见和支持,企业还需要与外部律师建立战略合作关系。55、外部律师通常具有深厚的开源法律知识,特别是在复杂的许可证问题上能够为企业提供法律咨询服务。他们可以帮助企业制定更为精准和可操作的开源合规策略,并在争议出现时提供必要的支持。跨部门协作是确保开源合规成功的关键。团队成员之间的有效沟通和信息共享是保持一致性和高效合作的基础。协作工具和平台可以加强团队之间的联系,确保信息及时传递。此外,定期的培训和会议有助于确保团队对最新法规和最佳实践保持敏感,并促进共识的形成。通过建立强大的企业开源合规团队,并通过跨部门协作,企业可以更好地管理开源软件的复杂性,确保其在法律和技术层面的合规性,为可持续的业务发展提供坚实的法律基础。北京 上海 深圳 广州 武汉 成都56、 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuhan Chengdu Chongqing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Kong London New York Los Angeles San Francisco Almaty24(二)搭建企业开源合规知识库(二)搭建企业开源合规知识库搭建一套全面而高效的企业开源合规知识库可以有效提高企业开源合规的协作效率。知识库主要包括以下内容:1、开源许可证快捷查询手册制定开源许可证快捷查询手57、册是构建知识库的基础。该手册应当涵盖各种常见开源许可证的要点和风险提示,并提供简明扼要的解释,为法务和技术人员提供便捷的可操作的参考。由于许可证的种类繁多且条款和限制各异,因此一个简便而详实的查询手册能够迅速帮助企业团队了解和判断许可证的影响。2、开源许可证分组策略采用开源许可证分组策略有助于更系统地管理开源许可证的复杂性。根据不同许可证的传染性强弱以及公司的实际需求等可以将许可证划分为不同的组别,如自由使用组许可证组、审查批准许可证组、禁止使用许可证组等,不同组别需要遵循相应的使用标准和审查流程。3、开源合规工具在构建开源合规知识库时,利用先进的开源合规分析工具尤为重要。如使用软件成分分析工58、具对源代码进行扫描,识别出使用的开源组件,然后对其进行审计,以确定是否存在未经许可的使用、许可证冲突、已知的安全漏洞等问题。这种自动化的分析工具能够极大地提高效率,减轻团队的工作负担,并为企业提供准确的许可证合规状态和风险评估,使其能够及时采取必要的措施。(三)制定合规的软件开发流程(三)制定合规的软件开发流程为了更全面地确保软件开发流程在使用开源软件方面合规,引入软件构建材料清单(SBOM)是至关重要的一环,企业必须了解自身的产品中使用了哪些开源软件6。首先,开发团队在软件开发流程的起始阶段,应当明确规定对每6Heather Meeker:开源软件许可实用指南,人民邮电出版社,2023,刘伟59、译,第 139-147 页。北京 上海 深圳 广州 武汉 成都 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuhan Chengdu Chongqing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Kong London New York Los Angeles San Francisco Almaty25个选用的开源软件组件生成 SBOM 的要求。SBOM 将清晰列出所使用的每个组件及其版本、依赖关系等信息,为整个开发生命周期提供了可追溯的材料60、清单。在软件设计和规划阶段,开发团队需要特别强调对 SBOM 的完整性和准确性的验证。制定规范,确保 SBOM 中包含准确的许可证信息、漏洞信息等关键内容。这有助于降低潜在的法律风险和安全风险,并为后续的合规工作提供实质性的支持。在编码和测试阶段,SBOM 也应成为开发人员的参考依据。在修改或扩展开源代码时,开发团队应利用代码扫描等工具,及时检查和更新 SBOM,以确保其中的信息与实际代码保持一致。在测试阶段,SBOM 可以用于验证开源组件的安全性和合规性,帮助开发团队及时发现和解决潜在问题。在软件部署和交付阶段,SBOM 的角色同样不可忽视。规范的许可证声明环节应当基于 SBOM 提供的信息61、,确保软件的用户文档、安装说明和相关信息中明确列出了所使用的所有开源组件及其相应的许可证信息。在软件维护和更新阶段,开发团队可以借助 SBOM 重新评估和验证每个开源组件,以确定是否需要更新或替换。SBOM 还可以用于有效地进行漏洞管理,定期检查和更新 SBOM 以反映最新的安全和合规状况。北京 上海 深圳 广州 武汉 成都 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuhan Chengdu Chongqing Qingdao Hangzhou Nanjing Haikou Tokyo62、 Hong Kong London New York Los Angeles San Francisco Almaty26第三部分中国开源软件司法实践第三部分中国开源软件司法实践北京 上海 深圳 广州 武汉 成都 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuhan Chengdu Chongqing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Kong London New York Los Angeles San Francisco Alma63、ty27中国开源软件司法实践中国开源软件司法实践开源软件不是公共领域软件,其享有著作权并受著作权法保护,如果企业没有按照开源许可协议的规定使用开源软件,则存在很大的著作权侵权风险,甚至卷入诉讼纠纷。我国涉及开源软件的司法案件并不太多,本章将对其中的典型案例进行整理,帮助读者理解目前我国法院在开源软件领域的主流观点和裁判规则。北京 上海 深圳 广州 武汉 成都 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuhan Chengdu Chongqing Qingdao Hangzhou Nan64、jing Haikou Tokyo Hong Kong London New York Los Angeles San Francisco Almaty28案件名称案件名称案件摘要案件摘要法院观点法院观点典型意义典型意义天创科技诉阿凡提案阿凡提公司在其运营的网站使用了原告依法享有著作权的 ShopNC 电商系统系列计算机软件,ShopNC 软件系采用PHP+MYSQL 软件编写软件使用手册的开源性质 CC 许可证并不等同于软件的许可证,PHP 软件是否开源及开源权利取决于PHP软件作者选择何种许可证。该案明确了与作为编写工具的计算机语言之间不存在承继或衍生关系数字天堂诉柚子科技案柚子公司的AP65、ICloud 使用了原告 HBuilder 软件三个插件的GPL开源代码,侵 害 了 其 对HBuilder 享有的软件著作权涉案三个插件的文件夹中并无GPL开源协议文件,而涉案软件的根目录下亦不存在GPL开源协议文件的情况下,该协议对于涉案三个插件并无拘束力该案为我国司法实践中涉及GPL开源协议的第一案,表明我国法院承认GPL协议在中国具有法律约束力。罗盒诉风灵案原告开发的罗盒软件适用“点心桌面”的软件适用 GPL3.0协议(后删除该条款),被告开发的“点心桌面”与原告软件构成实质性相似GPL3.0 协议具有合同性质,被告不履行该协议规定的使用条件,其获得的授权已自动终止,构成侵权该案明确了66、开源许可证具有合同性质罗盒诉玩友案被诉侵权软件中的沙盒分身功能与涉案软件构成实质性相似,玩友公司收取会员费和不提供开源代码的行为违反限制商业使用条款和GPLv3协议构成侵权。GPLv3 协议属于附解除条件的著作权合同,玩友公司违反GPLv3 协议的约定,其依据GPLv3协议获得的授权自动终止,玩友公司再使用涉案软件构成侵权。该案明确了属于附解除条件的非典型著作权许可使用合同闪亮公司诉不乱买案闪亮时尚公司开发的网站运营软件的相关代码文件使用虽然不乱买公司认可其前端代码中使用了GPL协议下的开最高院在二审判决中引用了 GPL.v3 开源协议中对开源传北京 上海 深圳 广州 武汉 成都 重庆 青岛 67、杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuhan Chengdu Chongqing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Kong London New York Los Angeles San Francisco Almaty29了不乱买软件的源代码,侵害了其享有的软件著作权源代码,但其主张权利的是后端代码,其后端代码是独立于前端代码的其他程序,并不受 GPL 协议的约束,无需强制开源染性的例外条款。突出体现了基于对程序之间关系的深入分析、综合68、判断涉案程序是属于“衍生产品”还是“独立程序”的总体思路。未来公司诉云蜻蜓案未来公司起诉称,就其享有的“未来网上投标文件制作工作软件”计算机软件著作权,云蜻蜓公司侵害了上述计算机软件著作权主程序部分受GPL协议的传染和约束,未来公司违反 GPL 协议,对源代码进行了闭源处理,不应受到保护。预览程序文件与主程序文件相互独立,不受 GPL 协议的传染和影响。本案系全国首起支持GPL抗辩的典型案例。该判决对于受GPL 传染性条款约束软件的认定以及软件产业中关于开源软件的合理使用规则,具有较强的指引作用。对于开源许可证的法律性质,我国法院在实践中将开源许可证认定为“附解除条件的著作权许可合同”。这里包69、含了两层意思,一是开源许可证具有合同性质,二是开源许可证是附解除条件的许可合同。首先,开源许可证具备合同特征:(1)双方意愿:合同的成立需要双方的意愿达成一致。在开源许可证中,著作权持有人(许可方)通过明确的许可条款表达了将软件授予他人使用的意愿,而使用者(被许可方)通过接受许可条款表达了接受这些使用权利的意愿。(2)法定义务:合同的一方提供某种权利或服务,而另一方则需要履行相应的法定义务。在开源许可证中,许可方提供了特定的软件使用权利,而被许可方则需要履行许可证中规定的条件,如保留版权声明、遵循开源许可证的规定等。其次,开源许可证具有附解除条件许可的性质。GPLv3 许可证第 8 条“终止授70、权”规定,授权人许可用户在遵守许可证规定的前提下行使某些权利,但用户必须承担相应的义务。若用户违反 GPL3.0 协议的使用条件来复制、修改或传播受保护的作品,其通过 GPL3.0 协议获得的授权将会自动终止。一旦用北京 上海 深圳 广州 武汉 成都 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuhan Chengdu Chongqing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Kong London New York Los Angeles71、 San Francisco Almaty30户违反了这些条件,就意味着许可证合同在当事人之间自动解除,用户基于许可证获得的授权将会自动终止。用户之前根据授权已经或正在实施的复制、修改、发布行为便失去了法律依据,违约行为就演变为侵权行为7。与我国民法典第一百五十八条中对于附解除条件的民事法律行为的内涵相一致。一、天创科技诉阿凡提案:作为编写工具的计算机语言与软件作品没有传染性一、天创科技诉阿凡提案:作为编写工具的计算机语言与软件作品没有传染性8【案件摘要】【案件摘要】天创科技研发了 ShopNC 电商门户系统软件并办理了计算机软件登记证书。2016 年,原告发现阿凡提公司在其运营的网站上非法使72、用了其依法享有著作权的 ShopNC 电商系统系列计算机软件,遂以侵害计算机软件著作权为由将阿凡提公司诉至法院。阿凡提公司认为,原告的 ShopNC 软件系采用 PHP+MYSQL软件编写。PHP 和 MYSQL 软件均属于开源软件,PHP 软件使用基于 GPL 开源协议的 PHPCCPL 开源协议,MYSQL 使用标准 GPL 开源协议。无论是根据CCPL 还是 GPL 开源协议的规定,使用 PHP 和 MYSQL 软件编写的 ShopNC软件作者具有署名权,但是原告不能禁止其他方改编、使用、复制、发表该软件,也不得向其他方收取软件使用费用。【法院观点】【法院观点】法院认为,所涉 PHP 开73、源软件中文官网手册明确以 CC 协议为附带的开源授权许可协议,需明确的是该软件使用手册的开源性质 CC 许可证并不等同于软件的许可证,PHP 软件是否开源及开源权利取决于 PHP 软件作者选择何种许可证。虽然 PHP 手册采用了知识共享许可协议,涉案软件亦采用 PHP 语言编写,但计算机语言本身具有工具属性,以特定计算机语言编写的 ShopNC 软件作品通过作者创造性的智力劳动所表现的作品独创性与计算机语言之间并7参见 Heather Meeker:开源软件许可实用指南,人民邮电出版社,2023,刘伟译,第 63-70 页。8详见(2017)浙 02 民终 3852 号民事判决书北京 上海 深74、圳 广州 武汉 成都 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuhan Chengdu Chongqing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Kong London New York Los Angeles San Francisco Almaty31未体现以后者为基础的派生关系,故不属于 PHP 语言演绎作品。【典型意义】【典型意义】该案明确了以特定计算机语言编写得到的软件作品体现的是作者就该软件作品的个性表达,与作为编写工具的计75、算机语言之间不存在承继或衍生关系,两者之间也不应具有开源传导性。二、数字天堂诉柚子科技案:我国司法实践中涉及二、数字天堂诉柚子科技案:我国司法实践中涉及 GPL 开源协议的第一案开源协议的第一案9【案件摘要】【案件摘要】数字天堂公司开发了软件 HBuilder,该软件包括三个插件:代码输入法功能插件、真机运行功能插件、边改边看功能插件。柚子公司开发了软件 APICloud。数字天堂公司认为,柚子公司的 APICloud 使用了上述三个插件的 GPL 开源代码(协议为 GPL3.0),侵害了其对 HBuilder 享有的软件著作权,起诉到法院请求判决柚子公司承担赔偿损失等法律责任。【法院观点】【76、法院观点】一审法院审理认为,涉案三个插件属于独立的软件作品,三个插件的文件夹中并无 GPL 开源协议文件,而涉案软件的根目录下亦不存在 GPL 开源协议文件的情况下,尽管涉案软件其他文件夹中包含 GPL 开源协议文件,但该协议对于涉案三个插件并无拘束力,柚子公司构成著作权侵权。二审法院也认可了 GPL 的法律效力。【典型意义】【典型意义】该案为我国司法实践中涉及 GPL 开源协议的第一案,该案涉及到的关键问题是 GPL 协议的“强传染性“问题,一审法院大篇幅引用了 2007 年 6 月发9详见(2018)京民终 471 号民事判决书北京 上海 深圳 广州 武汉 成都 重庆 青岛 杭州 南京 海77、口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuhan Chengdu Chongqing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Kong London New York Los Angeles San Francisco Almaty32布的 GPL 协议第 3 版的规定,二审法院也同样接受了一审法院关于 GPL 协议效力问题的论述。这表明我国法院承认 GPL 协议在中国具有法律约束力。但根据一二审法院的裁判结果来看,法院没有结合开源协议传染性条款相关内容和软件技术78、细节进行深入审查讨论,判断依据简单,在认定涉案软件是否适用“传染性”的问题上仍有进一步商榷讨论的空间。三、罗盒诉风灵案:开源许可证具有合同性质三、罗盒诉风灵案:开源许可证具有合同性质10【案件摘要】【案件摘要】原告济宁市罗盒网络科技有限公司独立开发“罗盒(VirtualApp)插件化框架虚拟引擎系统 VirtualAppV1.0”(以下称涉案软件),其在国际著名的软件托管平台 GitHub 上公开了涉案软件的源代码,并于 2017 年取得计算机软件著作权登记证书。VirtualApp 从 2016 年 7 月 8 日的版本开始引入开源协议,起初为 LGPL3.0 协议,2016 年 8 月 179、2 日更换为 GPL3.0 协议。2017 年 10 月 29日,原告在 VirtualApp 后续开源版本中删除“适用 GPL3.0 协议”的表述。2019年,原告发现名为“点心桌面”的软件,经过对比源代码,发现“点心桌面”与涉案软件构成实质性相似,故提起软件著作权侵权诉讼。【法院观点】【法院观点】深圳市中级人民法院认为,1、GPL3.0 协议具有合同性质,系授权人与用户之间订立的著作权协议,适用合同法有关规定。2、原告系涉案软件著作权人,开源软件维权无需经过所有贡献者的同意或授权,原告有权提起本案诉讼。3、被告使用了附带 GPL3.0 协议的开源代码,却不履行该协议规定的使用条件,其获得的80、授权已自动终止,故其实施的复制、修改、发布等行为,因失去权利来源而构成侵权。【典型意义】【典型意义】10详见(2019)粤 03 民初 3928 号民事判决书北京 上海 深圳 广州 武汉 成都 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuhan Chengdu Chongqing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Kong London New York Los Angeles San Francisco Almaty33本案为国内首81、个明确 GPL 3.0 协议性质的司法裁判案例。法院认定开源协议具有合同性质,在这个版权纠纷案中被告因违反了 GPL3.0 协议导致 GPL3.0协议自动解除,从而失去了 GPL3.0 协议下的源代码授权保护,进而构成侵权。四、罗盒诉玩友案:开源许可证属于附解除条件的非典型著作权许可使用合同四、罗盒诉玩友案:开源许可证属于附解除条件的非典型著作权许可使用合同11【案件摘要】【案件摘要】罗盒公司的股东罗迪在Github网站上传了其开发的VirtualApp软件初始源代码并适用 GPLv3(GNU General Public License Version 3)开源许可协议,另附加声明任何人如用82、于商业用途需购买,后又删除了 GPLv3 协议并停止更新而转向开发闭源商业收费版。罗盒公司通过受让方式取得了涉案软件的著作权并登记。玩友公司开发了四款被诉侵权的微信视频美颜相机 APP 并上传于各平台供用户下载,但并未提供源代码下载,用户可免费试用半小时,之后需付会员费才可继续使用。罗盒公司提供鉴定报告主张四款被诉侵权软件中的沙盒分身功能与涉案软件构成实质性相似,玩友公司收取会员费和不提供开源代码的行为违反限制商业使用条款和 GPLv3 协议构成侵权,请求判令玩友公司停止提供四款软件的下载、安装和运营服务并赔偿经济损失 1500 万元和维权合理费用 15 万元。【法院观点】【法院观点】广州知识83、产权法院经审理认为,罗迪是涉案软件的最主要贡献者,罗盒公司有权单独提起本案诉讼。罗盒公司无权在适用 GPLv3 协议的涉案项目中添加商业使用限制保留条款。沙盒分身部分功能代码是作为被诉侵权软件的衍生部分而整体发布的,GPL 协议具有高传染性,故玩友公司未开源整个被诉侵权软件的源代码违反协议约定。GPLv3 协议属于附解除条件的著作权合同,许可11详见(2019)粤 73 知民初 207 号民事判决书北京 上海 深圳 广州 武汉 成都 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuhan 84、Chengdu Chongqing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Kong London New York Los Angeles San Francisco Almaty34条款是版权许可的条件。玩友公司违反 GPLv3 协议的约定,其依据 GPLv3 协议获得的授权自动终止,玩友公司再使用涉案软件已没有法律和合同依据,故其构成侵权。本案另外三被告的收款行为无过错,无需担责。法院据此判决玩友公司停止侵权行为并赔偿罗盒公司经济损失及维权合理开支 50 万元。一审判决后,双方均未提起上诉。【典型意义】【典型意义】该判决就开源协议的法律性质作85、了进一步的明确,还对开源协议的发展、分类、域外司法观点等进行了深度分析和解读,并就 GPLv3 协议的相关规则作了详细梳理。对开源软件涉及的诸多问题进行了阐明(例如“软件集合包”汇编作品中的独立作品之间是否互相发生传染,合作作品的判断标准,开源软件其他贡献者提交代码是否对软件著作权产生实质影响),同时还明确了重视和支持开源发展的司法态度。本案无疑为开源和闭源软件的混合经营指明航向,对开源软件合规治理具有重要的司法指导意义。五、闪亮时尚诉不乱买案:判断涉案程序是属于“衍生产品”还是“独立程序”五、闪亮时尚诉不乱买案:判断涉案程序是属于“衍生产品”还是“独立程序”12【案件摘要】【案件摘要】不乱买86、公司开发了“不乱买时尚海淘软件”用于网站运营。闪亮时尚公司也开发了网站运营软件。不乱买公司认为,闪亮时尚公司的相关代码文件使用了不乱买软件的源代码,侵害了其享有的软件著作权,起诉到法院请求判决闪亮时尚公司承担赔偿损失等法律责任。【法院观点】【法院观点】一审法院认为,原告的网页仅有前端代码明确使用了开源代码,原告主张权利的是其后端代码。二者展示方式不同、所用技术不同、分工亦有明显区别,12详见(2019)最高法知民终 663 号民事判决书北京 上海 深圳 广州 武汉 成都 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzh87、en Guangzhou Wuhan Chengdu Chongqing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Kong London New York Los Angeles San Francisco Almaty35属于可独立的程序。因此根据 GPL3.0 协议的相关规定,该协议对涉案权利代码并无拘束力。在二审中,被告上诉称原告的前端代码和后端代码存在交互且没有进行有效隔离,不是相互独立的。最高院在二审判决中认为,根据 GPL3.0 协议开源传染性的例外条款对“聚合体”的规定,闪亮时尚公司所称 GPL 协议的“传染性”应当是指 GPL 协议88、的许可客体不仅限于受保护程序本身,还包括受保护程序的衍生程序或修订版本,但不包括与其联合的其他独立程序。本案中,虽然不乱买公司认可其前端代码中使用了 GPL 协议下的开源代码,但其主张权利的是后端代码,其后端代码是独立于前端代码的其他程序,并不受 GPL协议的约束,无需强制开源。【典型意义】【典型意义】最高院在二审判决中引用了 GPL.v3 开源协议中对开源传染性的例外条款。突出体现了基于对程序之间关系的深入分析、综合判断涉案程序是属于“衍生产品”还是“独立程序”的总体思路。这体现了我国法院对于涉开源协议相关案件审理理论和方法的进步,也更符合开源社区和其他国家司法实践中的主流思路和方案。六、未89、来公司诉云蜻蜓案:全国首起支持六、未来公司诉云蜻蜓案:全国首起支持 GPL 抗辩的典型案例抗辩的典型案例13【案件摘要】【案件摘要】未来公司起诉称,就其享有的“未来网上投标文件制作工作软件”计算机软件著作权,云蜻蜓公司侵害了上述计算机软件著作权。法院审理查明,未来公司主张权利的软件包含主程序及预览程序两个部分。其中,主程序源代码中存在第三方开源软件的源代码,系遵守 GPLv2 开源许可证的开源代码。未来公司并未遵守开源协议要求,对涉案主张权利的软件进13详见(2021)苏 01 民初 3229 号民事判决书北京 上海 深圳 广州 武汉 成都 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约90、 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuhan Chengdu Chongqing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Kong London New York Los Angeles San Francisco Almaty36行了闭源处理。【法院观点】【法院观点】法院认为,本案的关键在于判断涉案软件的哪些部分被 GPL 协议所传染,以及确定自有代码是如何与开源代码结合或交互的。被 GPL 协议传染的部分软件应当是与原开源软件形成密切通信使得二者高度牵连融合成一体的程序。本案中,未91、来公司涉案投标软件主要包含主程序和预览程序,应分别评价。主程序受 GPL 开源代码的影响。涉案开源代码所涉功能系涉案主程序运行、上传等不可或缺的功能,主程序部分受 GPL 协议的传染和约束,未来公司违反 GPL 协议,对源代码进行了闭源处理,若该行为给予侵权法上的保护,势必虚置 GPL 协议关于源代码持续开源的相关规定,对 GPL 协议关于源代码的持续开源传播产生不利影响。因此,法院对主程序部分认定不构成著作权侵权。首先,预览程序部分不受 GPL 协议的传染和影响。预览程序文件与主程序文件相互独立,其实现独立的查看投标文件的功能,并非用户制作、上传投标文件所必需。预览程序文件连同不包含 GPL92、 开源代码的 DLL 文件,脱离主程序后在新目录下能够独立运行。主程序目录下删除预览程序文件后,主程序亦能独立运行。其次,预览程序构成实质性相似。法院认定,预览程序部分的相似度为 79.36%,云蜻蜓公司构成侵权。【典型意义】【典型意义】本案系全国首起支持 GPL 抗辩的典型案例。南京中院在全国首次认定,受 GPL 传染性条款约束的软件,若违反 GPL 协议关于源代码持续开源的约定,则对权利人的权利主张不予支持。该判决对于受 GPL 传染性条款约束软件的认定以及软件产业中关于开源软件的合理使用规则,具有较强的指引作用。北京 上海 深圳 广州 武汉 成都 重庆 青岛 杭州 南京 海口 东京 香港93、 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuhan Chengdu Chongqing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Kong London New York Los Angeles San Francisco Almaty37北京 上海 深圳 广州 武汉 成都 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuhan Chengdu Chongqing Qingda94、o Hangzhou Nanjing Haikou Tokyo Hong Kong London New York Los Angeles San Francisco Almaty38第四部分域外开源软件案例解读第四部分域外开源软件案例解读北京 上海 深圳 广州 武汉 成都 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuhan Chengdu Chongqing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Kong London New York95、 Los Angeles San Francisco Almaty39一、一、Jacobsen 诉诉 Katzer 案:违反开源许可协议是选择违约之诉还是侵权之诉?案:违反开源许可协议是选择违约之诉还是侵权之诉?14【案件摘要】【案件摘要】原告 Robert Jacobsen 是“Java 模范铁路操作接口(Java Model RailroadInterface,JMRI)”软件程序开发小组的管理者,该开发小组研发出了一套名为“解码博(DecoderPro)”的软件程序,同时以“开源代码(open source)”中所谓的技术许可(Artistic License)的方式放置在一个名为 So96、urce Forge 的网站来供其他的使用者无偿下载。被告 Katzer 开发了一套与原告从事竞争、名为“解码指挥官(Decoder Commander)”的软件程序。原告认为被告的一名软件工程师下载了原告的软件,并将其中的定义档(definition file)和其他部分程序纳入到了“解码指挥官”软件中,被告在使用原告的定义档时没有符合关于许可的要求,从而构成对其著作权的侵权行为。具体行为是,“解码指挥官”并未列示(1)原始作者的姓名、(2)JMRI 的著作权说明、(3)其许可内涵为技术许可以及出处、(4)JMRI 或 SourceForge 为其定义档的原始来源、以及(5)其程序代码是如何97、从原始码予以改变等。【法院观点】【法院观点】一审中,联邦地方法院认为,“开源代码”之中的技术许可本质是一个范围极为广泛的非专属许可(“intentionally broad”non-exclusive license)。这种许可并没有限制,因此也就没有著作侵权的问题,原告仅能以违约起诉,因此没有同意原告要求颁布暂时禁制令的要求。原告遂针对其是否具有主张著作侵权的诉因(cause of action)的部分提起上诉。二审联邦巡回上诉法院撤销(vacate)了联邦地方法院的原判决,并将本案发回重审(remand)。其理由是认为原告在14参见 Jacobsen v.Katzer,535F.3d 1398、73,1379(Fed.Cir.2008).北京 上海 深圳 广州 武汉 成都 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuhan Chengdu Chongqing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Kong London New York Los Angeles San Francisco Almaty40网站上公布的技术许可协议,被许可方使用的前提是同意其提出的具体事项,如果被许可人未能遵从这一前提,那就没有权利获得该项技术许可99、。因而被告的行为涉嫌构成侵权行为,应当予以重审。【典型意义】【典型意义】该案厘清了开源许可协议的条款性质,指出许可条款中对于被许可人的义务需要区分是作为著作权许可的条件(condition)还是对于许可合同一般义务的约定(covenant)。如果属于许可的条件,那么一旦违反,则被许可人的行为已经超过了许可的范围,许可人可以以著作权起诉。如果属于一般义务的约定,则相关违约事项则应当按照合同法相关规定论处。从该案例可以看出,许可协议中条款的设计非常关键,一旦约定不明或者不能将被许可人的义务解释为获得许可的前提,则著作权人有可能丧失通过著作权侵权的方式主张权利,而只能通过违约之诉来主张被许可人的违约100、责任。二、二、Christopher Helwig 诉诉 Vmware 案:自由软件开发者依据案:自由软件开发者依据GPL 协议主张权利协议主张权利15【案件摘要】【案件摘要】2006 年,Christopher Helwig 发现 Hypervisor vSphere VMware ESXi 5.5.0软件使用了 Linux 源代码,但是并没有开源相关管理程序组件,其行为违反了 GPL2.0 协议的约定。2015 年 Christopher 在软件自由保护协会的帮助下起诉了 VMware,而 2016 年,法院驳回了该诉讼请求,后 Christopher 提起上诉,但最终还是被驳回。该案件中101、,法院并没有处理实质性问题,而是从程序上否定了 Christopher 的诉权。【法院观点】【法院观点】法院认为,Christopher 没有充分的证据表明被告组件的所有权或版权属于15参见 Hamburg District Court,Christoph Hellwig v.Vmware,August 2016北京 上海 深圳 广州 武汉 成都 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuhan Chengdu Chongqing Qingdao Hangzhou Nanjing H102、aikou Tokyo Hong Kong London New York Los Angeles San Francisco Almaty41Linux,所以在一审、二审中均驳回了原告的诉请。具体而言,Christopher 未能在 VMware 产品中确定他拥有版权的特定代码行,因此其不能证明自身是适格的原告。【典型意义】【典型意义】本案相较于其他 GPL 协议有关案件引发了众多关注,因为在本案中,涉及到对 GPL 具体条款范围的解释问题。该案中,被告 Vmware 是从 Linux 内核重新调整用途的代码,而调整后的代码包含在 VMware 的 ESXi 中运行的模块中,被告还对 ESX103、i 代码进行了相关修改。如果法院对实体进行审查,则势必要对 VMware 将 ESXi 的 vmkernel 与包含 Linux 内核代码的模块(vmklinux)相结合的方式是否会导致 vmkernel 受 GPL 约束的问题进行回答,很遗憾的是,法院回避了这一问题,而是从程序性的问题上解决本案的争议,这也导致自由软件开发人员会很难根据 GPL 协议单独主张自身的权利。三、三、Harald 诉诉 D-Link 案:德国法院认为开源协议属于一种不需要被许可人做出声明承诺的著作权许可协议案:德国法院认为开源协议属于一种不需要被许可人做出声明承诺的著作权许可协议16【案件摘要】【案件摘要】原告 W104、elter 是 GPL-violations.org 开源社区项目负责人,其受让了三项软件的著作权,上述软件在开源软件发布并且使用 GPL 协议。被告 D-Link 公司研发售卖的产品使用了原告 Welter 的三项软件,但未附上 GPL 开源许可证协议、完整的源代码、原作者著作权标示和无担保声明。Welter 向 D-Link 公司发送了警告信,要求其停止著作权侵权行为、披露有关信息并赔偿其经济损失。【法院观点】【法院观点】法院认为,根据德国民法典第 305 条规定,GPL 开源协议的性质如同一般合同,根据德国民法典第 151 条的规定,其无须被许可人的任何承诺16参见 District C105、ourt of Frankfurt am Main,In re Welte v D-Link Deutschland GmbH,September 22,2006北京 上海 深圳 广州 武汉 成都 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuhan Chengdu Chongqing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Kong London New York Los Angeles San Francisco Almaty42或者声明106、,被许可人即与许可人形成合同关系,该开源协议具有法律效力。既然开源协议约定了软件使用人在复制、修改、再授权或发布软件时应附上 GPL开源许可证协议、完整的源代码、原作者著作权标示和无担保声明等有效条款,那么被告作为被许可人就有义务负担上述行为。本案中,被告违反上述合同义务,其使用许可软件的行为应当无效,其无权获得 GPL 协议中的授权权利。因此最终法院支持了原告的诉求,要求被告 D-Link 公司承担停止侵权、披露信息、赔偿损失的法律责任。【典型意义】【典型意义】本案是德国法院针对开源协议性质发表观点的典型案例,在德国法中,法院对于开源协议属于一种具有法律约束力的著作权许可合同的观点基本已经达107、成一致。这种特殊的合同关系中,并不需要被许可人做出签字、盖章等形式上的行为,而只要使用该软件,就可以视为合同关系成立。当被许可人违反该合同时,权利人可以选择主张违约责任,也可以主张侵权责任,其承担侵权责任的方式主要有停止侵权、披露信息、赔偿损失等。四、四、Harald 诉诉 FANTEC 案:产品销售者对于产品是否符合开源协议要求同样具有审核义务案:产品销售者对于产品是否符合开源协议要求同样具有审核义务17【案件摘要】【案件摘要】FANTEC 销 售 的 一 款 媒 体 播 放 器 中 使 用 的 一 款 软 件 中 包 含 了netfilter/iptables,该软件的著作权人是 Hara108、ld Welte,其通过 GPL2.0 协议以开源软件的形式对公众免费提供软件。Harald Welte 发现 FANTEC 没有依照 netfilter/iptables 采用的授权条款-GNU General Public License v2.0(GPL-2.0)的 要 求,向 用 户 取 得netfilter/iptables 程序源码的配套,该行为已经违反了 GPL-2.0 授权程序的使17参见 Regional Court of Hamburg,Harald v.FANTEC,June 2013北京 上海 深圳 广州 武汉 成都 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约109、 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuhan Chengdu Chongqing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Kong London New York Los Angeles San Francisco Almaty43用规则。因此 Harald Welte 在向 FANTEC 告知侵权但是协商失败之后向法院提起了诉讼。FANTEC 的抗辩理由主要是其只是经销商,其产品是通过中国供应商采购的,中国供应商保证源代码是完整的。【法院观点】【法院观点】法院认为,FANTEC 作为110、制作商和分销商,有义务审查其产品是否符合开源协议的要求,其依赖上级软件供应商的保证不是有效的抗辩理由。另一点被告提出额外审查需要额外付费,这也不是逃避义务承担的理由,其应当对自身产品不侵犯他人权利承担相应的义务。很明显,FANTEC 违反了 GPL2.0 协议的要求,没有按照协议要求提供完整的源代码,因此其丧失了 GPL2.0 协议所许可使用相应软件的权利。最后法院判决FANTEC应当支付原告合同罚款5100欧元,以及原告的律师费和其他费用。此外,被告还需要提供有关媒体播放器销售的详细信息,以确定应向原告支付的许可费用金额。【典型意义】【典型意义】本案中的被告是产品的销售者,其对于采购的软件未111、尽到相应的审查责任,这也说明开源合规审查应当被企业重视,任何采购产品中含有软件产品的,企业都应当有相应的合规审查义务,否则一旦所销售的产品违反开源协议,所使用的开源软件就不再具有合法授权。这对于企业的产品销售无疑会产生巨大打击,即使企业后续可以根据合同违约责任要求软件提供方承担责任,但是也不能作为本次著作权侵权案件的有效抗辩,仍然会对企业造成严重的损害。因此,提前做好合规安排,建立开源合规审查制度是预防风险的重要手段。北京 上海 深圳 广州 武汉 成都 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangz112、hou Wuhan Chengdu Chongqing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Kong London New York Los Angeles San Francisco Almaty44第五部分关于建立开源平台的合规要求第五部分关于建立开源平台的合规要求北京 上海 深圳 广州 武汉 成都 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuhan Chengdu Chongqing Qingdao Hangzhou Nanjin113、g Haikou Tokyo Hong Kong London New York Los Angeles San Francisco Almaty45开源风险与合规建设开源风险与合规建设一、关于开源平台运营者的合规要求二、关于开源项目的出口管制合规要求三、关于开源社区司法管辖权的合规要求四、关于知识产权风险的合规要求五、关于合同纠纷风险的合规要求六、关于网络安全的合规要求北京 上海 深圳 广州 武汉 成都 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuhan Chengdu Chongq114、ing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Kong London New York Los Angeles San Francisco Almaty46一、关于开源平台运营者的合规要求一、关于开源平台运营者的合规要求(一)开源平台/开源平台的运营者需要遵守相关国家的法律法规、监管要求、以及文化习惯。在守法的基础上,带动当地的开发者投入到开源的贡献之中。(二)开源平台的运营者需要根据各国政府的监管要求成立合法的运营主体、并取得相应的资质。例如中国大陆需要成立社会团体、基金会、或社会服务机构等主体来运营;对于开源平台网站,则至少需要办理 ICP 115、备案。二、关于开源项目的出口管制合规要求二、关于开源项目的出口管制合规要求通常来说,开源项目不会受到出口管制的限制,但需要关注各国出口管制立法方面的变化,一旦法律规定有变化,则可能会对开源平台/开源项目产生一定的影响。为降低出口管制等因素对中国企业的影响,建议:1.对于通过托管方式运营的开源项目,可以建立该等托管平台在中国境内的镜像平台,以降低由于受限而无法访问第三方托管平台的风险;2.建议采用在公共库设立开源项目的方式来运营开源项目,以降低托管平台可能采取限制访问等措施的运营风险;3.设立开源项目时,可以进行内部评估,对于可能涉及重大商业秘密或国家安全的开源项目,建议通过自建平台在国内运营;116、4.在通过第三方托管平台运营管理开源项目时,可考虑同时将用户尽量引流至自建平台上,以逐步扩大自建平台的影响力,从而建立自身的开源生态系统。三、关于开源社区司法管辖权的合规要求三、关于开源社区司法管辖权的合规要求(一)开源社区的运营和开源项目的开展都是基于开源平台与用户之间所北京 上海 深圳 广州 武汉 成都 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuhan Chengdu Chongqing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Kon117、g London New York Los Angeles San Francisco Almaty47签订的协议,包括用户协议以及平台公开的管理规则(开源社区决策规则、生态角色规则、项目决策规则等)。因此,需要关注此等开源平台或社区的规则的具体内容(包括司法管辖权),在考虑相应风险的基础上选择合适的开源平台。例如,GitHub 服务条款规定,平台用户与 GitHub 之间的协议以及对网站或服务的任何访问或使用,均受美国联邦法律和加利福尼亚州法律的管辖,不考虑冲突法原则。(二)开源项目牵涉开源许可协议,而某些开源许可协议会制定有关司法管辖权的特殊条款,需要特别关注。企业在使用到此等开源项目中的118、开源代码时,需要关注司法管辖权可能会对自身运营项目带来的实际影响和相关风险。四、关于知识产权风险的合规要求四、关于知识产权风险的合规要求(一)对于企业主动选择开源的项目而言,需要在开源之前做好软件著作权登记、商标注册申请、专利申请等前期的工作,只有这样才能在开源的同时保护好自己,而且一旦出现后续贡献者或使用者不遵守开源许可证的情况,也可以拿起知识产权的武器维护自身的合法权益。此外,在主动开源时,企业还需要考虑开源平台的知识产权风险、以及开源项目的知识产权许可范围,选择合适的开源许可证。例如,企业需要研究开源平台/开源项目许可证对知识产权归属、侵犯第三方知识产权时的免责等相关规定。在许可证的选择119、上,如果考虑仅在版权方面给予许可,可以考虑选择 MIT、BSD 等许可证;如果考虑对版权和专利权都给予许可,则可以考虑 Apache、木兰许可证等许可证。(二)在企业选择直接使用开源代码时,也需要在研究开源许可证之余,重点关注这些代码来源方的知识产权风险,避免侵犯第三方的知识产权。例如,在相关开源许可证对专利权的使用未作约定,而代码来源方又持有相关专利的情况下,应当审慎做出是否使用此类开源代码的决定。北京 上海 深圳 广州 武汉 成都 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuhan120、 Chengdu Chongqing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Kong London New York Los Angeles San Francisco Almaty48(三)关注知识产权的权属问题:由于贡献者、开发者、审批者、平台本身都可能参与到项目开发中,因此版权、专利权等知识产权的归属需要通过 章程、开源许可证、用户协议等多种协议及平台规则进行明确规定,以防止在项目开发过程中产生的专利权发生权属纠纷,进而影响到开源项目的推进。必要时,需要平台参与各方签署相关协议(例如会员协议)来事先约定原始代码或软件版本/后续修改代码或软件121、版本的版权/专利权归属。(四)根据不同平台构建模式制定不同的知识产权政策:对于自建平台,可以通过开源社区规章或自制开源许可证的方式对平台会员捐献或自主开发的开源项目进行知识产权方面的法律规制;对于在托管平台的项目,可以通过设立项目声明的方式,要求贡献者披露其贡献代码是否包含第三方代码等信息,以避免知识产权等方面的风险。五、关于合同纠纷风险的合规要求五、关于合同纠纷风险的合规要求(一)对于自建平台而言,章程、开源许可证、用户协议、贡献者协议、隐私政策等相关平台文件构成平台运营者与用户(包括贡献者)之间的合同约定。因此需要规范与平台和项目运营有关的规范文件,以防范合同纠纷风险。以开源许可协议为例,122、可以考虑在自建平台上制定符合自身定位和需求的开源许可协议,对版权、专利权、商标权、免责声明等各方面进行有选择的规范和规定。(二)对于托管在第三方平台的项目,第三方平台相关的制度文件(包括用户协议、贡献者协议、隐私政策等)以及开源项目的开源许可证和项目声明等构成开源平台/开源项目与用户之间的合同约定。因此,在该等平台上发布/参与开源项目时,需要遵守此等合同约定,避免产生纠纷。以 Github 等第三方托管平台为例,需要特别注意其用户协议中的免责北京 上海 深圳 广州 武汉 成都 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai She123、nzhen Guangzhou Wuhan Chengdu Chongqing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Kong London New York Los Angeles San Francisco Almaty49条款,以免发生争议。此外,以开源许可协议为例,第三方托管平台上通常会提供相应的许可证选择范围,可以考虑直接选用,但若想自制开源许可证,则可能受到一定的限制。六、关于网络安全的合规要求六、关于网络安全的合规要求(一)采取相应的技术措施保障网络安全、稳定运行,并对网络安全事件制定应急响应预案,以维护网络正常运行。(二)落实国家124、网络安全等级保护制度要求,开展信息系统等级保护测评及备案工作。另外,需要注意履行作为网络运营者的相关义务,例如注意通过相关规章和制度来规范网络日志留存期限(不得少于六个月)的管理。(三)在对开发者或普通用户的注册登录过程中采集用户信息的行为进行规范管理,征得用户的知情同意,并满足合法、正当、必要等原则。此外,在维护和管理用户信息的过程中,需要特别注意防止用户信息的泄露,在发生泄露时应当按照相关法规的要求,立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。北京 上海 深圳 广州 武汉 成都 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing S125、hanghai Shenzhen Guangzhou Wuhan Chengdu Chongqing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Kong London New York Los Angeles San Francisco Almaty50第六部分 开源合规适用法律以及相关政策第六部分 开源合规适用法律以及相关政策北京 上海 深圳 广州 武汉 成都 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuhan Chengdu Chongq126、ing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Kong London New York Los Angeles San Francisco Almaty51开源合规适用法律以及相关政策开源合规适用法律以及相关政策一、开源合规适用法律法规二、开源首次列入国家“十四五”规划和 2035 年远景目标纲要三、关于加快推动区块链技术应用和产业发展的指导意见强调开源的重要性四、央行等五部门联合发布关于规范金融业开源技术应用与发展的意见五、工信部发布“十四五”软件和信息技术服务业发展规划六、中央网络安全和信息化委员会印发“十四五”国家信息化规划七、信息安全技术127、软件产品开源代码安全评价方法北京 上海 深圳 广州 武汉 成都 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuhan Chengdu Chongqing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Kong London New York Los Angeles San Francisco Almaty52一、开源合规适用法律法规一、开源合规适用法律法规开源软件合规涉及到多个法律法规,其中一些主要的法律包括全国代表大会及其常委会制定的包括民法典著128、作权法在内的法律,国务院制定的著作权条例计算机软件保护条例信息网络传播权保护条例著作权集体管理条例在内的行政法规,以及最高人民法院制定的包括最高人民法院关于审理著作权民事纠纷案件适用法律若干问题的解释最高人民法院关于审理技术合同纠纷案件适用法律若干问题的解释最高人民法院关于审理侵害信息网络传播权民事纠纷案件适用法律若干问题的规定在内的司法解释。对于这些法律法规和司法解释的适用顺位,根据特别法优于一般法的原则,应首先适用著作权法、著作权实施条例、计算机软件保护条例等特别法律规范;然后适用民法典合同编中的一般规定;再次则参照民法典中的技术合同等有名合同的规定,在民法典颁布后修正的技术合同司法解释中129、对此也作出了规定。以下对其中的主要法律法规进行介绍:(一)民法典合同编(一)民法典合同编开源许可协议是一种合同,规定了使用、修改和分发开源软件的条件。在法律层面,合同法的规定对开源软件的使用和分发关系具有约束力。直接受 民法典中合同编相关规定的调整。(二)著作权法以及著作权法实施条例(二)著作权法以及著作权法实施条例著作权法以及著作权法实施条例是软件著作权保护的主要法律法规。根据该法,软件的原创者享有对其作品的著作权。开源软件项目通常会选择适用特定的开源许可证,以规定对著作权的使用和分发方式。(三)计算机软件保护条例(三)计算机软件保护条例计算机软件保护条例规定了关于计算机软件保护的一系列法规130、。这些法规涵盖了软件著作权、反盗版、软件进口等多个方面,与开源软件的合规性北京 上海 深圳 广州 武汉 成都 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuhan Chengdu Chongqing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Kong London New York Los Angeles San Francisco Almaty53也有一定关系。(四)反垄断法(四)反垄断法民法典中规定了“技术转让合同和技术许可合同可以约定实施131、专利或者使用技术秘密的范围,但是不得限制技术竞争和技术发展”,是对技术领域反垄断要求的体现之一。我国的反垄断法中同样涉及到与开源软件相关的竞争政策。在一些情况下,开源软件的使用可能会涉及到反垄断法规定的竞争政策,特别是当涉及到市场份额、竞争限制等方面的问题。(五)网络安全法(五)网络安全法网络安全法对涉及网络的软件有一系列规定,包括网络产品的安全评估、网络安全监管等。开源软件在涉及网络使用和开发时需要遵守相关的网络安全法规。(六)开源与出口管制(六)开源与出口管制在开源软件使用的过程中,还应关注出口管制的风险。特别是在 AI 领域,用开源软件来训练生成式人工智能可能会产生法律风险,风险具体取决132、于开源软件的许可证(经许可的或未经许可的),以及训练数据是否被四处散布。同时如果人工智能相关技术(包括硬件和软件)被输出到美国境外,或者该技术在美国境内被传输给非美籍人士,在此情况下,美国武器国际运输条例(ITAR)和美国出口管制条例(EAR)等出口管制可能适用于该技术。将保密信息上传到“公共的”生成式人工智能的行为可能会被认定为出口行为,并且根据信息的性质可能会受到美国武器国际运输条例(ITAR)和美国出口管制条例(EAR)的约束。(七)域外法案(七)域外法案美国参议院在 2022 年 9 月发布了2022 保护开源软件法案,该法案旨在预防开源软件带来的安全问题,加强联邦政府与开源社区的合作133、,以确保联北京 上海 深圳 广州 武汉 成都 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuhan Chengdu Chongqing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Kong London New York Los Angeles San Francisco Almaty54邦政府、关键基础设施和其他机构安全可靠地使用开源软件。该法案主要规定了美国网络安全与基础设施安全局(CISA)在保护开源软件安全方面的职责等,是全球范围内首个将134、开源软件纳入国家关键基础设施的国家立法,也是政府部门对开源软件的健康和安全进行监管的历史性一步。二、开源首次列入国家“十四五”规划和二、开源首次列入国家“十四五”规划和 2035 年远景目标纲要年远景目标纲要182021 年,3 月 12 日,新华社受权发布中华人民共和国国民经济和社会发展第十四个五年规划和 2035 年远景目标纲要,纲要共分为 19 篇,主要阐明国家战略意图,明确政府工作重点,引导规范市场主体行为,是我国开启全面建设社会主义现代化国家新征程的宏伟蓝图,是全国各族人民共同的行动纲领。其中值得关注的是,“支持数字技术开源社区等创新联合体发展,完善开源知识产权和法律体系,鼓励企业开135、放软件源代码、硬件设计和应用服务。”首次被明确列入国民经济和社会发展五年规划纲要。这可以看出国家已经看到了开源软件的重要性和开源合规建设的必要性。三、关于加快推动区块链技术应用和产业发展的指导意见强调开源的重要性三、关于加快推动区块链技术应用和产业发展的指导意见强调开源的重要性192021 年 6 月 7 日,工业和信息化部、中央网络安全和信息化委员会办公室联合发布 关于加快推动区块链技术应用和产业发展的指导意见(以下称 指导意见)。“十四五”时期,随着全球数字化进程的深入推进,区块链产业竞争将更加激烈,出台指导意见,有助于进一步夯实我国区块链发展基础,加快技18参见https:/ 上海 深圳136、 广州 武汉 成都 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuhan Chengdu Chongqing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Kong London New York Los Angeles San Francisco Almaty55术应用规模化,建设具有世界先进水平的区块链产业生态体系,实现跨越发展。指导意见强调了开源的重要性。指出要建立开源生态,加快建设区块链开源社区,围绕底层平台、应用开发框架、测试工具等,培育137、一批高质量开源项目。完善区块链开源推进机制,广泛汇聚开发者和用户资源,大力推广成熟的开源产品和应用解决方案,打造良性互动的开源社区新生态。四、央行等五部门联合发布关于规范金融业开源技术应用与发展的意见四、央行等五部门联合发布关于规范金融业开源技术应用与发展的意见202021 年 10 月 27 日,央行等五部门联合发布关于规范金融业开源技术应用与发展的意见,意见指出开源技术在金融业各领域得到广泛应用,在推动金融机构科技创新和数字化转型方面发挥着积极作用,但也面临安全可控等诸多挑战。金融机构在使用开源技术时应遵循以下原则:(一)坚持安全可控。金融机构应当把保障信息系统安全作为使用开源技术的底线,138、认真开展事前技术评估和安全评估,堵塞安全漏洞,切实保证技术可持续和供应链安全,提升信息系统业务连续性水平。(二)坚持合规使用。金融机构应当遵循开源技术相关法律和许可要求,合规使用开源技术,明确开源技术的使用范围和使用的权利与义务,保障开源技术作者或权利人的合法权益。(三)坚持问题导向。鼓励金融机构有针对性地选择和使用开源技术,建立开源技术使用问题发现、反馈、解决等闭环机制,推动开源技术不断迭代升级。(四)坚持开放创新。鼓励金融机构重视开源技术应用与发展,积极参与国际国内开源技术社区建设,汲取先进技术,贡献中国智慧,培育适合金融场景的开源产业链,提升开源技术话语权。这说明,金融机构作为风险高发地139、,监管部门已经开始重视并强调开源合规制度的建设与完善。20参见 http:/ 上海 深圳 广州 武汉 成都 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuhan Chengdu Chongqing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Kong London New York Los Angeles San Francisco Almaty56五、工信部发布“十四五”软件和信息技术服务业发展规划五、工信部发布“十四五”软件和信息技术服务业发140、展规划212021 年 11 月 30 日,工业和信息化部印发了“十四五”软件和信息技术服务业发展规划(以下简称规划)。其中指出,开源是全球软件技术和产业创新的主导模式;开源软件已经成为软件产业创新源泉和“标准件库”;开源还开辟了产业竞争新赛道,基于全球开发者众研众用众创的开源生态正加速形成。规划提出,“十四五”时期我国软件和信息技术服务业要实现“产业基础实现新提升,产业链达到新水平,生态培育获得新发展,产业发展取得新成效”的“四新”发展目标。到 2025 年,规模以上企业软件业务收入突破 14万亿元,年均增长 12以上,工业 APP 突破 100 万个,建设 2-3 个有国际影响力的开源社区141、,高水平建成 20 家中国软件名园。规划突出强调开源在驱动软件产业创新发展、赋能数字中国建设的重要作用,提出“繁荣国内开源生态”的重点任务,设置“开源生态培育”专项行动,统筹推进建设高水平基金会,打造优秀开源项目,深化开源技术应用,夯实开源基础设施,普及开源文化,完善开源治理机制和治理规则,加强开源国际合作,推动形成众研众用众创的开源软件生态。六、中央网络安全和信息化委员会印发“十四五”国家信息化规划六、中央网络安全和信息化委员会印发“十四五”国家信息化规划222021 年 12 月 27 日,中央网络安全和信息化委员会印发“十四五”国家信息化规划(以下简称规划),对我国“十四五”时期信息化发142、展作出部署安排。其中在总体部署中提到,“十四五”期间,我国开源社区生态建21参见 https:/ http:/ 上海 深圳 广州 武汉 成都 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuhan Chengdu Chongqing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Kong London New York Los Angeles San Francisco Almaty57设要取得重要进展。大数据应用、人工智能和区块链等领域的开源社区建143、设被写入其中;开源技术产品的专利风险应对也被提到了相应位置;规划鼓励我国相关机构和企业积极加入国际重大核心技术的开源组织,参与国际标准合作共建;我国也应加快国际化的开源社区和开源平台建设,联合有关国家和组织完善开源开发平台接口建设,规范开源产品法律、市场和许可。北京 上海 深圳 广州 武汉 成都 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuhan Chengdu Chongqing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Kong Lond144、on New York Los Angeles San Francisco Almaty58第七部分 开源合规第七部分 开源合规 Q&A(持续丰富中)(持续丰富中)北京 上海 深圳 广州 武汉 成都 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuhan Chengdu Chongqing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Kong London New York Los Angeles San Francisco Almaty59一、开145、源等于免费?一、开源等于免费?开源与免费之间并不能画等号,OSI 官网上对开源软件是否可以用于商业目的做出了明确答复:“所有开源软件都可以用于商业目的,开源定义保证了这一点。你甚至可以销售开源软件。”虽然开源软件的程序、文档免费,但一些软件公司会通过售卖配套技术支持、培训、咨询服务等方式盈利。二、企业的开源合规流程是怎样的?二、企业的开源合规流程是怎样的?企业的开源合规流程一般包括以下步骤,以流程图的方式表现为:图 3开源合规流程23三、如果企业开发的集成软件中,有一部分组件由合作厂商完成,三、如果企业开发的集成软件中,有一部分组件由合作厂商完成,23来源:可信开源合规计划开源合规指南(企业篇146、)第 42 页。北京 上海 深圳 广州 武汉 成都 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuhan Chengdu Chongqing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Kong London New York Los Angeles San Francisco Almaty60且合作厂商没有提供源代码,从开源合规角度怎么考虑?且合作厂商没有提供源代码,从开源合规角度怎么考虑?可以考虑和合作厂商签订协议,要求合作厂商对其提供的代码147、部分的开源合规性负责,若因为合作厂商提供的源代码出现了开源合规瑕疵导致损害后果的,合作厂商应当承担相应的责任。四、企业在发布软件时,如何选择开源还是闭源?四、企业在发布软件时,如何选择开源还是闭源?决定将软件是开源发布还是闭源发布是一个涉及多方面因素的战略性决策。企业在做出这一决策时应考虑以下因素:1.业务目标和战略:确定企业的业务目标和战略,以及软件在实现这些目标中的角色。如果开源有助于推动业务目标,例如增加用户基础、提高知名度或促进行业标准,那么开源可能是一个好的选择。2.知识产权策略:评估软件的核心技术是否是企业的核心竞争优势。如果是,保持闭源可能更有利于保护知识产权。如果软件的价值主要148、在于社区贡献、用户生态系统或服务,那么开源可能更为适合。3.社区与合作:考虑与外部社区和其他企业的合作关系。开源软件通常更容易与其他项目集成,促进合作和创新。4.商业模式:考虑企业的商业模式,以确定开源或闭源对收入和盈利模式的影响。有些企业通过提供专有功能、服务或支持来获取收入,而同时开源核心代码以促进社区参与。5.社区和用户互动:评估开源可能会如何影响企业与用户和社区的互动。开源软件通常能够吸引更广泛的用户参与和反馈。6.风险管理:考虑开源可能带来的法律风险和知识产权问题。了解开源许可证的类型及其对企业的影响。7.技术架构和生态系统:评估软件的技术架构和生态系统,以确定开源北京 上海 深圳 149、广州 武汉 成都 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuhan Chengdu Chongqing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Kong London New York Los Angeles San Francisco Almaty61是否对技术创新和生态系统发展有积极的影响。8.市场趋势和竞争环境:研究市场趋势和竞争环境,了解同类软件是开源还是闭源的比例,并考虑如何在市场中保持竞争力。在实际中,一些企业也会采用混合模式150、,即将部分软件开源,而将另一部分保持闭源,以平衡开源的好处和封闭源的商业需求。五、如果开发人员在开发过程中使用了五、如果开发人员在开发过程中使用了MPL许可证的开源组件,如果避免开源风险?许可证的开源组件,如果避免开源风险?MPL 许可证中对“发布”的定义是“以源代码方式发布的文件”,这就意味着 MPL 允许企业在自己已有的源代码库上加一个接口,除了接口程序的源代码以 MPL 许可证的形式对外许可外,源代码库中的源代码就可以不用 MPL许可证的方式强制对外许可。因此开发人员可以通过设置接口的方式来避免开源风险。六、如果开发人员在开发过程中使用了六、如果开发人员在开发过程中使用了 LGPL 许可151、证的开源组件,如果避免开源风险?许可证的开源组件,如果避免开源风险?根据 LGPL 许可证的要求,如果软件是一个独立的作品,不与 LGPL 组件进行静态链接,那可以在软件中使用LGPL组件而不必开源整个软件的源代码。如果对 LGPL 组件进行静态链接,那就需要开放软件的整个源代码,以遵守LGPL 的要求。因此开发人员可以通过采用动态链接调用 LGPL 许可证的库实现风险隔离。七、企业在对软件进行开源时,如何选择许可证类型?七、企业在对软件进行开源时,如何选择许可证类型?许可协议的选择应该根据具体情况进行权衡,并考虑到软件作者的目标和需求。如果企业希望确保开源软件的代码始终对社区开放,防止闭源产152、品私有北京 上海 深圳 广州 武汉 成都 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuhan Chengdu Chongqing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Kong London New York Los Angeles San Francisco Almaty62化代码的情况,可以考虑使用 GPL 等强著佐权许可证;如果企业希望鼓励广泛使用、贡献和集成的项目,可以考虑使用 MIT 等对商业闭源产品没有过多限制的宽松型许可证。153、八、只有将软件直接提供给客户才算“分发”吗?八、只有将软件直接提供给客户才算“分发”吗?在开源软件领域,分发是一个重要的概念,涉及多种情况。分发并不仅仅指将软件直接提供给最终用户,还包括了多种形式的传播和提供方式。以下是一些常见的分发情况:1.直接下载和安装:将软件的可执行文件、源代码或安装包提供给用户,使用户能够直接下载并在本地计算机上安装使用。2.打包和发布:将软件打包成操作系统特定的安装包,如.deb(Debian/Ubuntu)、.rpm(Red Hat/Fedora)、.dmg(macOS)等,供用户通过包管理工具或手动安装。3.集成到其他软件中:将开源软件的一部分嵌入到其他软件中,154、作为整个产品的组成部分。这可能包括动态链接、静态链接或以其他方式集成。4.虚拟机镜像:提供包含预配置软件的虚拟机镜像,用户可以通过虚拟化平台(如 VirtualBox、VMware)直接部署和运行。5.源代码托管平台:将源代码托管在开源代码托管平台(如 GitHub、GitLab)上,供其他开发者或用户通过版本控制工具检出和使用。6.CDN 分发:利用内容分发网络(CDN)分发软件,使用户能够从离他们最近的服务器获取软件,提高下载速度和可用性。九、开源软件会有安全漏洞吗?九、开源软件会有安全漏洞吗?开源软件也可能存在安全漏洞。尽管开源软件因为其透明的开发过程和广泛的社区审查通常能够更迅速地发现155、和修复漏洞,但并不意味着它是绝对安全北京 上海 深圳 广州 武汉 成都 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuhan Chengdu Chongqing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Kong London New York Los Angeles San Francisco Almaty63的。例如开发过程中可能存在缺陷,例如不足的测试覆盖率、缺少安全审查等。这可能导致潜在的漏洞未被及时发现。因此,企业在引入开源软件时,应156、当重视软件安全问题,先进行安全扫描,并对安全风险进行评估之后再开始使用。十、开源软件有技术支持吗?十、开源软件有技术支持吗?一些人可能认为开源软件缺乏专业支持。实际上,许多开源项目有着积极的社区支持,并且一些开源软件的背后有专业的支持和服务提供商。对于企业而言,在开展关键任务部署时,建议考虑有供应商提供支持的企业级版本。十一、他人开源的十一、他人开源的 AI 训练数据集受开源许可证限制吗?训练数据集受开源许可证限制吗?开源的 AI 训练数据集也会受到特定的开源许可证或使用条款的限制,通常会对数据集的著作权归属、使用、修改、再分发等方面的进行规定和限制。数据集常见的开源许可证包括但不限于 MIT157、 许可证、Apache 许可证、CreativeCommons 许可证(CC 协议)等。在使用他人开源的 AI 训练数据集时,建议查看该数据集的门户网站或者代码托管网站等,详细了解该数据集的使用条款或者开源许可证类型,明确具体限制,遵守相应条款十二、如果开发人员在软件开发过程中使用了十二、如果开发人员在软件开发过程中使用了 GPL 许可证的开源组件,如何避免开源风险?许可证的开源组件,如何避免开源风险?若代码扫描工具显示软件成分中含有 GPL 组件,并不一定意味着软件一定存在被开源的风险,可以从以下几个方面进行风险排查:(1)与开发人员确认 GPL 组件在软件代码仓中的具体位置、作用等,若GP158、L 组件是编译工具、测试代码等,不会被整合到软件主程序的代码中,则开源风险较低;北京 上海 深圳 广州 武汉 成都 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuhan Chengdu Chongqing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Kong London New York Los Angeles San Francisco Almaty64(2)确认 GPL 组件的许可证信息,有些 GPL 组件许可证中包含了豁免情形,若符合该豁159、免情形,则开源风险较低。十三、每个开源代码中包含了很多代码文件,每个文件中的作者声明都不一样,我们应该选哪个放入到开源声明中呢?十三、每个开源代码中包含了很多代码文件,每个文件中的作者声明都不一样,我们应该选哪个放入到开源声明中呢?选择哪个许可证声明放入到开源声明中,取决于项目的具体需求、社区的期望以及法律的要求。如果一个开源项目包含了多个代码文件,并且每个文件中的作者声明不同,开发者在确定如何声明开源许可证时一般考虑以下步骤:(1)许可证兼容性:首先,检查所有不同的许可证是否彼此兼容。有些许可证可能不允许与其他特定许可证的代码一起使用。(2)项目许可证选择:如果项目决定采用单一许可证,开发者160、需要选择一个与所有现有许可证兼容的许可证。这通常是通过选择最宽松的许可证来实现的,因为更严格的许可证可能会限制代码的重用。(3)许可证明确性:在项目的根目录或 README 文件中明确声明整个项目遵循的许可证,有助于用户和贡献者理解他们可以如何使用和贡献代码。(4)个别文件声明:对于每个单独的代码文件,保留原作者的版权声明和许可证声明。(5)贡献者协议:如果项目接受外部贡献,有贡献者协议要求贡献者同意其代码将遵循项目的许可证。(6)文档和传播:确保许可证和版权声明在项目的文档中清晰可见,软件分发时一并提供。另外,随着项目的进展和代码的更新,建议定期审查和更新许可证声明。北京 上海 深圳 广州 161、武汉 成都 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuhan Chengdu Chongqing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Kong London New York Los Angeles San Francisco Almaty65第八部分 信息安全技术软件产品开源代码安全评价方法第八部分 信息安全技术软件产品开源代码安全评价方法北京 上海 深圳 广州 武汉 成都 重庆 青岛 杭州 南京 海口 东京 香港 伦敦 纽约 洛杉162、矶 旧金山 阿拉木图Beijing Shanghai Shenzhen Guangzhou Wuhan Chengdu Chongqing Qingdao Hangzhou Nanjing Haikou Tokyo Hong Kong London New York Los Angeles San Francisco Almaty66信息安全技术软件产品开源代码安全评价方法信息安全技术软件产品开源代码安全评价方法一、信息安全技术软件产品开源代码安全评价方法-编制说明二、信息安全技术软件产品开源代码安全评价方法-标准文本67香港办公室香港办公室Hong Kong Office香港中环康乐广场香港163、中环康乐广场 1 号怡和大厦号怡和大厦 4 层层4/F Jardine House,1 Connaught Place,Central,Hong KongTel:+852 2877 3088Fax:+852 2525 1099杭州办公室杭州办公室Hangzhou Office浙江省杭州市上城区钱江路浙江省杭州市上城区钱江路 1366 号华润大厦号华润大厦 A 座座 22 层,邮编层,邮编 31002022/F,Block A,China Resources Building,1366 Qianjiang Road,ShangchengDistrict,Hangzhou,Zhejiang 310164、020,ChinaTel:+86 571 5692 1222Fax:+86 571 5692 1333旧金山办公室旧金山办公室San Francisco Office美国加利福尼亚州帕洛奥图市东海岸路美国加利福尼亚州帕洛奥图市东海岸路 2479 号号 215 室,邮编室,邮编943032479 E.Bayshore Rd,Suite 215,Palo Alto,CA94303,USATel:+1 415 868 4398Fax:+1 415 868 4399青岛办公室青岛办公室Qingdao Office山东省青岛市香港中路山东省青岛市香港中路 61 号乙远洋大厦号乙远洋大厦 A 座座 27-165、28 层,邮编层,邮编 26607127-28/F,Tower A,COSCO Plaza,61B Hong Kong Middle Road,Qingdao,Shandong 266071,ChinaTel:+86 532 5572 8677/8678Fax:+86 532 5572 8667/7666北京办公室北京办公室Beijing Office北京市朝阳区金和东路北京市朝阳区金和东路 20 号院正大中心号院正大中心 3 号楼南塔号楼南塔 22-31 层邮编层邮编 10002022-31/F,South Tower of CP Center,20 Jin He East Avenue,C166、haoyang District,Beijing100020,ChinaTel:+86 10 5957 2288Fax:+86 10 6568 1022/1838伦敦办公室伦敦办公室London Office英国伦敦奥斯丁修士街英国伦敦奥斯丁修士街 10-11 号,邮编号,邮编 EC2N 2HG10-11Austin Friars,London EC2N 2HG,U.K.Tel:+44 20 7382 1567Fax:+44 20 7382 1568深圳办公室深圳办公室Shenzhen Office广东省深圳市福田区益田路广东省深圳市福田区益田路 5033 号平安金融中心号平安金融中心 A 座167、座 57/58/59层,邮编层,邮编 51800057/58/59/F,Tower A,Ping An Finance Centre,5033 Yitian Road,FutianDistrict,Shenzhen,Guangdong 518000,ChinaTel:+86 755 3325 6666Fax:+86 755 3320 6888广州办公室广州办公室Guangzhou Office广东省广州市天河区珠江新城华夏路广东省广州市天河区珠江新城华夏路 10 号富力中心号富力中心 23 楼整层及楼整层及 31 楼楼 01、04 单元,邮编单元,邮编 51062323/F,Units 01&168、04 of 31/F,R&F Center,10 Huaxia Road,Zhujiang NewTown,Tianhe District,Guangzhou,Guangdong 510623,ChinaTel:+86 20 2826 1688Fax:+86 20 2826 1666重庆办公室重庆办公室Chongqing Office重庆市江北区金融街重庆市江北区金融街3号号D座中国人保寿险大厦座中国人保寿险大厦5-1层层A单元,邮编单元,邮编 4000235-1A,Tower D,PICC Life Insurance Tower,3 Financial Street,JiangbeiDis169、trict,Chongqing 400023,ChinaTel:+86 23 8879 8388Fax:+86 23 8879 8300阿拉木图办公室阿拉木图办公室Almaty Office哈萨克斯坦共和国阿拉木图市麦迪奥区哈萨克斯坦共和国阿拉木图市麦迪奥区 Samal-2 街区街区 58 号楼号楼 2单元单元 11 层,邮编层,邮编 05005911th Floor,Unit 2,Building 58,Samal-2,Medio District,Almaty,Republic ofKazakhstan,050059Tel:+7 727 339 1880Fax:+7 727 339 188170、0I.A Brief History of OpenSourceFromtheperspectiveofhistoricaldevelopment,theevolutionofopensourceprojectshasroughlygonethrough the following stages:(一)1950s-1960s:earlycooperationandinformation sharingin computingInthe1950sand1960s,computersciencewasinitsinfancy.Thedevelopmentofcomputerhardwareands171、oftwarewascarriedoutprimarilybyuniversitiesandresearch institutions,creating arelatively small but tightly knitcommunity.Thescaleofcomputer systems was relativelysmall,and researchers focusedoncollaborationandinformationsharing,disseminatingknowledgeofcomputersciencethroughscientificpapersandconfere172、nces.This can be seen asan early open culture.(二)1970s:Theemergence of UNIXIntheearly1970s,researchersatBellLabsdeveloped the UNIX operatingsystem.ThesourcecodeforUNIXwasmadeavailabletomany academic institutions andcompanies,and this practice ofopennesssetthestageforcollaborationandinformationsharin173、g.Thisperiodwascharacterized by interaction andknowledge exchange within thecommunity.(三)1980s:Founding oftheFreeSoftwareFoundationIn 1985,Richard StallmanfoundedtheFreeSoftwareFoundation(FSF)topromotethe concept of free software,which emphasizes the rights ofusers to freely use,modify,andshare soft174、ware,and to promotethe launch of the GNU project,whichisdedicatedtothecreation of a completely freeUNIX-compatibleoperatingsystem.This period witnessedanin-depthexplorationanddefinitionoftheconceptoffreedom.(四)1990s:TheLinuxKernel and the Riseof the Open SourceMovementIn1991,FinnishstudentLinus Torv175、alds released the firstversion of the Linux kernel,andLinux became a successful opensourceproject,attractingdevelopers from all over theworld.This period marked theformalization of the concept ofopen source,and the size andactivityofthecommunityincreased dramatically.(五)1998:Establishment of theOpen176、SourceInitiativeIn 1998,the Open SourceInitiative(OSI)was formed topromotethedefinitionandpromotionofopensourcesoftware.OSIdevelopedadefinition of open source andcertified open source licensesthatmet thisdefinition.Thisperiod was the moment whenthe concept of open source wassystematized and standard177、ized.(六)2000s:commercialapplications of opensource softwareOver time,more and morecompaniesrecognizedthepotentialofopensourcesoftwareandactivelyparticipatedinopensourceprojects or built their productsandservicesbasedonopensourcesoftware.Well-knownopen source projects,such asthe Apache HTTP server,My178、SQLdatabases,andtheLinuxoperating system,became keycomponentsinbuildingenterprise-classapplicationsduring this period.(七)2010stopresent:the broader impactofopensourceintechnologyandsocietyOver the past decade,opensource has become a dominantforce in the IT industry,not onlydominatingtheoperatingsyst179、em and server space,butalso expanding into emergingareas such as cloud computing,bigdata,andartificialintelligence.Opensourceprojectshaveflourishedglobally,andmodelsofcommunity collaboration haveevolved.Successfuldemonstrations of open sourcesuchasKubernetesandTensorFlowhaveprovidedastrongimpetusfor180、technological innovation.The history of open sourcedevelopmentisanever-evolvingepicthatrepresents a continuous questfor openness,collaboration,andinnovation in computer scienceand software engineering.Whilethisjourneyhasdriventechnologicaldevelopment,ithas also had a profound impactat the societal l181、evel,shaping theface of todays digital age.II.Thedevelopmentprocess of open source inChinaThe development of opensourceinChinahasgonethrough several stages,showinga trend of gradual deepeningand broad participation.Start-upphase(1990stoearly 2000s):China is mainly inthe initial adoption and use ofop182、en source software in thisperiod,mainly concentrated insome universities and researchinstitutions.Initialopensourcecommunityformation(mid-2000s):The domestic opensourcecommunitybegantotake initial shape during thisperiod.Someopensourceprojectsgraduallyattracteddomesticattention,anddevelopers began t183、o participatein the international open sourcecommunity.Riseofdomesticindependentopensourceprojects(early 2010s):With theimprovementofdomestictechnologylevel,Chinasindependentopensourceprojects began to emerge.Someenterprisesandindependentdevelopers actively participatedin some key projects,such as t184、heestablishmentoftheChinaOpen Source Software IndustryAlliance.Activecommunityandinternationalcommunication(mid-2010stopresent):Thedomesticopensourcecommunity became more activein this period.On the one hand,thedomesticcommunityhasactivelyparticipatedininternationalexchangesandpromoted the developme185、nt ofsome international open sourceprojects;on the other hand,aseries of excellent independentopensourceprojectshaveemergedinChina,suchasDubbo of Ant Gold,HarmonyOSof Huawei,and so on.Governmentpolicyguidanceandsupport(mid-2010stopresent):Thegovernmenthasgraduallyrecognizedthestrategicpositionofopen186、sourceintechnologicalinnovationandindustrial upgrading.A series ofpolicies have been introducedto support the development ofopensource,includingencouraginggovernmentprocurementofopensourcesoftware,promoting enterpriseopensourceprojects,andfacilitatinginternationalopensource cooperation.Industrializa187、tionandtechnologicalinnovation(2015-present):In recent years,Chinas open source ecosystemhas entered a more mature andindustrializedstage.Somewell-knownenterpriseshavemade significant progress in theopen source field and becomemajorcontributorstosomeimportant open source projects.Internationalcooper188、ationandcommunitybuilding(inrecentyears):Chinasopensourcecommunityhasincreasingly interacted with theinternationalcommunity.Chinesedevelopersandenterprises actively participatein global open source projects,promotinginternationalexchangeandcooperationintechnology.Overall,Chinas open sourcedevelopmen189、t has gone throughtheprocessofstarting,emergingtomaturityandinternationalization.Withthesupport of government policies,Chinas open source communityhasgraduallybecomeanindispensable part of the globalopensourceecosystem,injecting a strong impetus fortechnologicalinnovationandindustrial development.Fi190、rst,Classification of theOpen Source LicenseOpen source licenses,alsoknownasopensourceagreements,are an importantproductoftheopensourcephilosophyinpractice.Aspreviously emphasized,the coreconcept of open source is topromote technological progressthroughthesharingofknowledge,not to fight againstintel191、lectualpropertyrightsembeddedinintellectualachievements.Whilepursuingthisgoal,opensourcealsorequires legal means to ensurethelegitimaterightsandinterests of developers.In ordertoprotecttherightsandinterests of developers and atthe same time fully guaranteethe right of users to freely usethesoftware,192、theconcept ofcopyleft was born.By means ofopensourcelicenses,theauthors proprietary rights areprotected and certain self-rightsrestrictions are imposed,thusensuring the freedom of userstoshareandmodifythesoftware.Various open sourcecommunities,leadinguniversities,andgroups havedevelopedarangeofopens193、ource licenses that have theirown unique set of rights andobligations,oftenreflectingdifferentvaluesandconsiderations.There are 2 general types ofopensourcelicenses:relaxedand licensed.1,loose type(Permissive):This type of license often onlyrequires the licensee to retainthe copyright information of194、 theoriginalwork,andimposesfewer restrictions on the user,and the derived software canbecomeproprietary,suchasApache,MIT,BSDserieslicenses.They are popular incommercializedenvironmentsbecausetheyallowderivedsoftware to be closed source.2.Copyleft:Also known asreciprocal or strong protectionlicenses.195、This type of license isdesigned to promote developercooperation and ensure the freesharingofsourcecodebyrequiring that modifications andextensions to the software mustbeopen-sourcedunderthesamelicense.Authorshiplicenses can be further dividedinto strong and weak authorshiplicenses,commonstrongauthor196、shiplicensesincludeAGPL,SSPL,GPL licenses,etc.;commonweakauthorshiplicensesincludeLGPLserieslicenses,MPLlicenses,etc.Strongly-authoredlicensesrequiremorestringentmodifications and extensions tothe software,pursuing a higherdegreeofopensourcecontagion and ensuring that theentire project is open sourc197、e.Incontrast,weakly-encumberedlicensesarelessstringentintheir open source requirementsandallowcombinationswithnon-open source software.Thechoice of which type of licenseto use usually depends on thenature of the project,the needsofthecommunity,andthedevelopersattitudetowardcode sharing.Second,Introd198、uctiontocommonopensourcelicenses(i)MIT licenseThe MIT license is a veryloose open source license that iswidelyusedinmanyopensource projects.It originated atthe Massachusetts Institute ofTechnology(MIT),hencethename.The main features are:(1)Simplicity:TheMITLicense is a very simple,intuitivelicense t199、hat does not containtoo much complex legal jargon.(2)PermissiontoUse,Modify,and Redistribute:TheMITlicensepermitsanyone,whetheraprivateuserorabusiness,to freely use,modify,and redistribute the software.(3)Non-Contagious:Unlikean authorship-based license,aMIT license is not contagious,i.e.,there is n200、o requirement thatderivative works use the samelicense.(4)Inclusion of copyrightnotice and disclaimer:The MITlicense requires that the originallicense and copyright notice beincludedinallcopiesorsignificantportionsofthesoftware.In addition,it comeswith a disclaimer outlining thatthe software is prov201、ided as is,without warranty of any kind.(5)Business Friendly:MITlicensesareverypopularinbusiness environments due totheirlooserestrictions.EnterprisescanintegratesoftwarecontainingMITlicensesintotheirbusinessprojects without restrictions.(ii)BSD licensesTheBSDLicense(BSD)standsforBerkeleySoftwareDis202、tributionLicense.TheBSDLicense is an umbrella term for aseries of open source licenses,the two most common of whichare the BSD 2-Clause License(also known as Simplified BSDLicense The two most commonversions are the BSD 2-ClauseLicense(alsoknownastheSimplifiedBSDLicenseorFreeBSD License)and the BSD3203、-Clause License(also known astheNewBSDLicenseorModifiedBSDLicense).Bothversions of the BSD license arederived from the BSD operatingsystemdevelopedattheUniversityofCalifornia,Berkeley.The main features of theBSD 2-Clause License are:(1)Simplicity:Like the MITLicense,theBSD2-ClauseLicense is a very s204、imple andstraightforward license.(2)Permissiontouse,modifyandredistribute:Thelicensepermitstheuse,modification and redistributionofthesoftwareifcertainconditions are met.(3)Retention of Copyrightand Disclaimer:Similar to theMIT License,the BSD 2-ClauseLicense requires that the originallicense and co205、pyright notice beincludedinallcopiesorsignificantportionsofthesoftware and that a disclaimerbe included.The main features of theBSD 3-Clause License are:(1)PermittedUse,Modification,andRedistribution:SimilartotheBSD2-ClauseLicense,thelicensepermitstheuse,modification,and redistributionofthesoftwarei206、fcertainconditions are met.(2)Requirement not to usethe name of the original authoror contributor for publicity:thename,trademarkorotheridentificationoftheoriginalauthor or contributor should notbe used in publicity materials fortheuseofthesoftwaretoindicate their endorsement orrecommendation.(3)Ret207、ention of copyrightanddisclaimer:Thesamerequirementtoincludetheoriginal license and copyrightnotice in all copies or significantportions of the software and toinclude a disclaimer.BSD licenses are popular fortheirflexibilityandsimplicity,especially when integrated withcommercial software or used ina208、cademic research projects.(iii)Apache licenseTheApachelicenseisawidely used open source licenseoriginallycreatedandmaintainedbytheApacheSoftwareFoundation.Thelicenseappliestomanywell-knownopensourceprojects,mostnotablytheApache HTTP server.The mainfeatures of the Apache licenseare:(1)Commercial use 209、allowed:The Apache license is open tobothcommercialandnon-commercial users,allowinguse in both closed-source andopen-source projects.(2)Permissiontomodifyandredistribute:Thelicensepermits the user to modify thesource code and redistribute themodified code in open or closedsource form.(3)LimitedPaten210、tGrant:The Apache license contains alimitedpatentgrantclause,which grants users permissionto use patents related to thesoftware.Thishelpspreventpatentlawsuitsagainstopensource projects.(4)Retention of copyrightanddisclaimer:Thelicenserequires that the original licenseandcopyrightnoticebeincludedinal211、lcopiesorsignificantportionsofthesoftware.In addition,it containsadisclaimerstatingthatthesoftwareisprovidedasiswithout warranty of any kind.The Apache license is widelyadoptedforitsflexibility,businessfriendliness,andtreatment of patent grants,andmanyimportantopensourceprojects have chosen to use t212、hislicense.(iv)GPL licensesTheGPL(GNUGeneralPublicLicense)isanopensource license created by theFreeSoftwareFoundation.TheGPLisanauthorship-basedlicense designed to safeguardthe freedom of users and ensurethateveryonewhouses,modifies,anddistributesthesoftwareenjoysthecorrespondingfreedom.Themain feat213、ures are:(1)Open Source and FreeUse:TheGPLensuresthatlicensees are free to use,modify,and distribute the source codeof the software.(2)Contagious(Copyleft):One of the main features of theGPL is its contagiousness,whichrequiresthatanysoftwaremodificationsandderivativeworks licensed under the GPLmust 214、also be distributed usingthe GPL.(3)Availabilityofsourcecode:If GPL-licensed software isusedinaproject,thecorrespondingsourcecodemust be made available with anydistribution in binary form toensure that users have the rightto view and modify the code.(4)Open source nature ofmodifications:For modifica215、tionsto GPL-basedsoftware,thesemodifications must be similarlydistributedusingtheGPLtoensure the open source natureof the entire project.The GPL has been releasedin three versions,and the mostcommon GPL licenses are GPLv2 and GPL v3.GPL licenses are particularlysuitableforopensourcecommunitiesandpro216、jectsbecause of their emphasis onuser freedom,but they are alsocontroversial in the commercialworldbecauseoftheircontagiousnessandsomeoftheirrequirements.Projectsusually choose GPL licenses outof adherence to free softwareprinciples.(v)AGPL licensesTheAGPL(GNUAfferoGeneral Public License)license isa217、 strong authorship license.LiketheGPL,itrequiresthatmodifications and extensions tothesoftwaremustbeopen-sourced under the samelicense.The main features are:(1)Contagiousness of WebServices:The AGPL requires thatif a service provider offers webservicesusingAGPL-licensedsoftware,thenmodificationsandd218、erivativeworkstothatsoftwaremustalsobeopen-sourced using the AGPL,even if the modifications areonly run on the server and notdistributed to clients.(2)Access rights for remoteusers:The AGPL emphasizes theright of remote users to accessthe software over the networkto ensure that they have accesstothe219、correspondingsourcecode.(3)Availabilityofsourcecode:Similar to the GPL,theAGPL requires that distributionofthebinaryformbeaccompaniedbythecorrespondingsourcecode.However,theAGPLmoreexplicitly emphasizes the case ofsoftware services provided overthe Web.(4)Applicationtowebservicesandhostingenvironmen220、ts:TheAGPLwasdesigned to respond to the riseof cloud computing and hostingservices by ensuring that opensource software used in theseenvironmentsremainsopensource.The AGPL is often chosenfor use in open source projectsthatprovideonlineservices,especially in cloud computing,Software as a Service(SaaS221、),andother web service models,toensure that the software used intheseenvironmentsremainsopensource.AGPLusagescenarios are primarily based oncontributionstotheopensourcecommunityandanemphasis on user freedom.(vi)LGPL licensesTheLGPL(GNULesserGeneralPublicLicense)isaweakly-authored license createdandm222、aintainedbytheFreeSoftware Foundation.Unlike theGPL,the LGPL is relatively morepermissive,allowing developersto link LGPL-licensed libraries(or portions of the code)tonon-opensourcesoftwarewithoutopeningtheentireapplications source code.Themain features are:(1)LinkingAllowed:TheLGPL allows developer223、s to linkLGPL-licensedlibraries(orportionsofcode)intonon-LGPL-licensed applicationswithout opening up the entireapplications source code.(2)Open source nature ofmodifications:For modificationsto LGPL-licensed libraries,thesemodifications must be similarlydistributed using the LGPL tomaintain the ope224、n source natureof the entire library.(3)Free use of libraries:ForLGPL-licensed libraries,users arefreetouse,modifyanddistribute the source code of thelibrary.(4)Open source nature ofmodifications:If LGPL-licensedlibrariesaremodifiedandembeddedinanapplication,thesemodificationsmustbesimilarly distrib225、uted using theLGPL.The LGPL is often chosen forthedevelopmentofreusablesoftwarelibrariesorcomponents,allowingtheselibrariestobelinkedasdevelopers build closed-sourceapplications.Thisallowsdevelopers to enjoy the benefitsof open source libraries withouthaving to expose the sourcecode of the entire ap226、plication.(vii)MPL LicenseThe MPL(The Mozilla PublicLicense)license was created andis maintained by theMozillaFoundation.TheMPLisarelatively loose license designedto encourage the developmentand sharing of software whileprotectingtherightsofauthors.One of the hallmarks oftheMPLisitsfile-levelcomplex227、ity.One of the featuresoftheMPLisitsfile-levelcomplexity management,whichallows developers to selectivelylicense parts of their softwareunder the MPL license.The mainfeatures are:(1)File Level Licensing:MPLallows developers to selectivelyuse MPL to license portions oftheir software rather than theen228、tireproject.ThismodularlicensingmakesMPLmoreflexible.(2)OpenSourceforDerivative Works:For DerivativeWorks,the MPL requires thattheseDerivativeWorksbedistributed using the MPL inorder to remain open source.(3)Allow combinations withotherlicenses:MPLallowscombinationswithotherlicenses,includingGPLandL229、GPL.this flexibility facilitatesintegrationwithotheropensource projects.(4)Traceabilityofmodifications:Ifmodificationsare made to the software,theMPLrequiresthatthemodifications be clearly notedin the modified file and that acopyoftheoriginalfilebeprovided.The MPL is commonly usedinopensourceproject230、s,especially those of the MozillaFoundation,such as the Firefoxbrowser.Due to its relativelyflexiblelicensingandcompatibilitywithotherlicenses,MPLissuitableforsituationswheretheauthorsrights of the original code needto be protected and integrationwith other open source projectsis desired.Overall,MPL231、 is a license thatcombinesopensourceprinciplesandprotectionofauthorsrightsfordiversedevelopment scenarios.(viii)Magnolia LicenseMulan Open Source Licenseis an open source license led byPeking University,relying on theCloudComputingStandardWorking Group of the NationalInformationStandardCommittee and232、 the China OpenSourceCloudAlliance,andjointlydrafting,revisingandreleasing an open source licensebasedonacomprehensiveanalysisoftheexistingmainstreamopensourceprotocols by the advantageousteams from all sectors of theindustry,academia and researchoftheUnitedNationsopensourceecosystem,theopensource c233、ommunity as well as alarge number of lawyers whohaverichexperienceinintellectualpropertyrightsrelated issues.Currently,thereare3versions of Mulan Open SourceLicense:Mulan Loose Licenseversion1,MulanLooseLicense version 2 and MulanPublic License.Among them,theMulanRelaxedLicenseversion 2(MulanPSL v2)234、wascertified by the Open SourceInitiative(OSI)in2020andapprovedasaninternationalizedopensourcelicense.The Magnolia Loose Licensehas the following characteristics:(1)The content of MulanLicenseisexpressedinbothChinese and English,and theChineseandEnglishversionshavethesamelegaleffect,which is conveni235、ent for moreopen source participants to readanduse,andsimplifiesthecomplexityoflegalinterpretationforChinesedevelopers.(2)TheMagnoliaLicenseexpresslygrantsusersaperpetual,worldwide,free,non-exclusive,irrevocablelicensetocopyrightsandpatents,and,in response to theinterpleader loophole that existsin t236、he Patent Alliance,expresslyprohibitsaContributororAffiliated Entity from Directlyor indirectly(through an agent,licensee or assignee)engage inpatentlitigationorotherenforcementactions,orterminate the patent license.(3)In order to protect theinterestsofContributors,theMulanLicenseexplicitlydoesnot p237、rovide trademark licensesfor Contributors trade names,trademarks,service marks,andso on.(4)TheMagnoliaLicensehas been revised by technicaland legal experts to streamlinethe clauses and optimize theexpressions as much as possibleunder the premise of clarifyingthebehavioralconstraintsofboth parties to238、 the contract andreducingtheriskoflegaldisputes.(ix)Open source licensecompatibility issuesOpensourcelicensecompatibilityreferstotherelationshipbetweendifferentopen source licenses,i.e.,theability of a software project tousecomponentsthataresimultaneouslyprotectedbydifferent licenses and to ensureth239、atthesecomponentscollaborate with each other tothe extent that they are legal.When merging or linking opensource program code to whichdifferent licenses apply,we cansaythatthelicensesarecompatible if the restrictions orconditionsoftheindividuallicensesdonotconflict.Understanding compatibility is ake240、yconsiderationfordevelopersandorganizationswhen selecting,combining anddistributingopensourcesoftware.Therearetwocommonwaysofcombiningcode,merging or using library links,andthefollowingtablecategorizes the compatibility ofcommon open source licenses:Third,Opensourcesoftware compliance risksOpensourc241、esoftwareisnowwidelyutilizedinthedevelopmentanduseofcommercial software.However,the introduction of open sourcetechnology by enterprises oftenbrings various legal risks to theenterprisesiftheydonotcomply with the rules on the useof open source software.(i)Intellectualpropertyrisk1.Riskofcopyrightinf242、ringementCopyrightinfringementrisks include the following:Unauthorized copying anddistribution:Enterprisesusingopensourcesoftwaremustfollow the terms of the license,includingtheconditionsforcopyinganddistributingthesource code.If an enterprisecopies,modifies or distributesthe source code of the soft243、warewithout authorization,copyrightinfringement may be triggered.Modifyingcodewithoutsharing:Open source softwareoften allows users to modify thesource code,but after makingchanges to the source code,themodified code must be sharedunderthesamelicenserequirements.If an organizationmakesmodificationst244、oopensourcesoftwarebutfailstoshare those modifications,thiscouldleadtoallegationsofcopyright infringement.Relyingonunlicensedversions:Businesses may rely onspecific versions of open sourcesoftware,but may infringe onthe copyright of the originalauthorsifmodificationsaremade to the software withoutth245、e permission of the license.Mixed use of software withincompatiblelicenses:Whenenterprisesuseopensourcesoftware with different licensesat the same time,there may beincompatibilitybetweenthelicenses.Thiscanleadtoproblemsofcopyrightinfringement,especiallywhenstricter licenses(e.g.GPL)areinvolved.2、Pat246、ent infringement riskTheriskofpatentinfringement in the use of opensourcesoftwarecomesfrombothinternalandexternalsources.First,theriskofinternalpatentinfringementreferstothefactthatopen-sourcesoftwaremaycontaintechnology that is protected bypatents,especiallysomeadvancedandinnovativefeatures.If comp247、anies use thesetechnologieswithoutauthorization,patentinfringement may be triggered.Someopensourcelicensingagreements(e.g.,Apache 2.0)expresslygrantpatentsandhave patent retaliation clauses,and the internal patent risk isrelatively low.However,someopensourcelicensingagreements(e.g.,BSD,MIT,etc.)do n248、ot expressly provide forpatentlicensing,andthedeveloper or contributor of theopen source software can filepatentlawsuitsandcollectroyalties from the users of theopen source software,so theinternal patent risk is higher.Second,the risk of externalpatentinfringementreferstothe risk of a third party no249、tboundbyanopensourcelicense agreement initiating apatent lawsuit against a user ofopen source software,claimingthatthesaidopensourcesoftware uses its patents.Forexample,Microsoft has statedthatopensourcesoftware,including Linux,uses Microsoftspatents,and Microsoft has filedpatentinfringementlawsuits250、againstGoogleaswellasnumerouscellphonemanufacturers,such as Foxconn,Kyocera,Samsung,etc.,demanding that they pay patentroyaltiestoMicrosoft.Thesecases were later settled by bothparties signing a patent licenseagreement and paying royaltiesto Microsoft.3.Trademark infringementriskWhenusingopensources251、oftware,a business may makeunauthorizeduseofthesoftwares trademarks,includingthe softwares name,logo,orother marks.This may triggerallegationsoftrademarkinfringement.If its trademarksaresimilartothoseofthesoftware or its developer,thismay cause confusion and leadto the mistaken belief that thetwo ar252、e related,which may alsolead to trademark infringementdisputes.Therefore,companiesusingopensourcesoftwareshould carefully understand thetrademarkuseregulationsofopensourcesoftwareandensurethattheyfollowthecompliancerequirementsinterms of trademark use in orderto reduce the risk of trademarkinfringem253、ent.4.Trade secret riskTheriskoftradesecretinfringementofopensourcesoftwarerelatestothepossibilitythatanenterprisemayrevealitsinternaltradesecrets when using,modifyinganddistributingopensourcesoftware.The risk of trade secretinfringementmayarisefrommishandling of software code,configurations,algorit254、hms,etc.,such that an organizations corebusinessinformationmayberevealed.One is the risk of beingforced to disclose trade secrets.Open source software usuallyprovides source code for userstoreviewandmodify.Enterprises using such sourcecodemayinadvertentlymixtheir own trade secrets into thepublicly a255、vailable code if theyfailtoconductappropriatereviews,and the code may beforced to be open-sourced if it isinfectedbycopyright-basedopen-sourcelicenses,whichmay give rise to the risk ofdisclosure of trade secrets.The second is the risk oftradesecretsbeingillegallyaccessed.Malicious open sourcesoftwar256、e may contain backdoorsthroughwhichhackerscanaccess sensitive information ofthe enterprise,including tradesecrets.If the introduced opensource software has maliciouscode,viruses or other securityholes,it may cause the risk ofleaking business secrets in theinternalsystem;otherscontribute source code 257、to theopen source community withoutthe approval of the enterprise,which may also cause the risk ofleaking business secrets.To reduce the risk of tradesecret infringement,enterprisesshouldimplementacomprehensiveopensourcesoftware management strategy,includingreviewing,cleaningandsecurityauditingsourc258、ecode,selectingtrustedopensource software,complying withthe provisions of open sourcelicenseagreements,andensuring that their trade secretsare properly protected.(ii)Enterprise goodwill riskFor companies that do notcomplywithopensourcelicenses,open source softwarerights holders and others maypublish259、articlestodenouncethem or add them to a blacklistof shame to condemn them,causing the risk of damage tothecompanysgoodwill.Forexample,Onyxs e-book deviceis based on a modified versionof the Linux kernel,which islicensedundertheGPLandrequires secondary distributionprojects to be open-source,butOnyxre260、fusedtoreleaseitssource code.Onyxs attitude hasstirredupagreatdealofdiscontent,withsomecriticsarguingthattheOnyxcaseexposes the lack of respect foropen-source protocols on thepart of many vendors.(iii)Data compliance riskInrecentyears,withthedevelopment of AI technology,the application and promotion261、of open source software in thefield of AI has become more andmoresignificant,andmanyadvancedmachinelearningalgorithms and deep learningmodels have been released asopensource,andsomecompanies have directly opensourcedtheirownAIdevelopment frameworks,whichhas promoted the widespreadapplicationofAItech262、nology.When choosing these AI opensource tools,enterprises shouldpay attention to complying withChinasregulatorylawsandregulations in the field of AI andpayattentiontodatacompliance risks.AccordingtotheInterimMeasures for the AdministrationofGenerativeArtificialIntelligenceServices,theprovision of G263、enerative ArtificialIntelligenceServicesshallcomply with the provisions ofthe Cybersecurity Law of thePeoples Republic of China,theDataSecurityLawofthePeoples Republic of China,andthePersonalInformationProtection Law of the PeoplesRepublicofChinaandotherlaws and regulations in terms ofdata security.264、Therefore,if thesource and use of the data oftheopensourcesoftwareinvolvesinfringementofpersonalinformation,itmaycause data compliance risks tousers.At the same time,whetherthe data generated by the opensource software contains illegalinformation may also lead tocorresponding risks for users.Inaddit265、ion,theprovisionofgenerative AI services should besubject to security assessment(theassessmentincludesthelegitimacyof theinformationservice,the effectiveness of theimplementationofsecuritymeasures,and the effectivenessof the prevention and control ofsecurity risks,etc.),and it shouldfulfill the obli266、gation of algorithmfiling.Fourth,the constructionof enterprise open sourcecompliance system(i)Compositionofcorporateopensourcecompliance teamsAsorganizationswidelyadopt open source software intheir day-to-day operations,itbecomes critical to ensure itscompliance.To effectively dealwith the complexit267、ies of opensourcecompliance,organizations need to establishadedicatedopensourcecomplianceteam.Thisteamshould consist of a legal team,technicalstaffandexternallawyers,and the departmentsneed to work closely together toaddress the risks posed by opensource.Firstandforemost,legalteamsplayacentralrolein268、enterpriseopensourcecompliance.Theyareresponsible for parsing the legalrequirements of various opensource licenses and overseeingtheenterprisesopensourcesoftware strategy.Legal teamsneedtocollaboratewithtechnical teams to ensure thatdevelopersunderstandandfollow the terms of the licenses,as well as 269、develop and updateinternalopensourcecompliance policies to adapt tothe changing legal landscape.Second,technical staff arethekeyenforcersinimplementingopensourcecompliance policies.They needtounderstandthetechnicaldetails of open source softwareand ensure that companies donot violate the relevant li270、censeswhenusing,modifyinganddistributing open source code.Collaboration between technicaland legal teams is critical toensure that technical practicesarealignedwithlegalrequirements.Thetechnologyteam also needs to regularlyreview and update the opensourcesoftwareused bytheorganizationtoaddresspotent271、ial compliance issues in atimely manner.Inordertoobtainspecializedlegaladviceandsupport,enterprises also needtoestablishstrategicpartnershipswithexternallawyers.External lawyers usuallyhave deep knowledge of opensourcelawandareabletoprovide legal consulting servicestoenterprises,especiallyoncomplex 272、licensing issues.Theycanhelpenterprisesdevelopmorepreciseandactionableopensourcecompliancestrategiesandprovidethenecessarysupportwhendisputes arise.Cross-departmentalcollaboration is key to ensuringthesuccessofopensourcecompliance.Effectivecommunication and informationsharing among team membersis th273、e foundation for consistencyandefficientcollaboration.Collaborationtoolsandplatformscanstrengthenthebondsbetweenteamsandensurethatinformationisdelivered in a timely manner.Inaddition,regular trainings andmeetings help ensure that theteam is sensitized to the latestregulations and best practicesandfa274、cilitateconsensusbuilding.Bybuildingstrongcorporateopensourcecompliance teams and throughcross-departmentalcollaboration,organizations canbetter manage the complexityof open source software,ensureits compliance at both the legaland technical levels,and provideasolidlegalfoundationforsustainablebusin275、essdevelopment.(ii)Building an enterpriseopen source compliance thinktankBuildingacomprehensiveandefficiententerpriseopensource compliance knowledgebase can effectively improve theefficiencyofenterpriseopensourcecompliancecollaboration.Theknowledgebasemainlyincludesthefollowing contents:1、Open sourc276、e license quicksearch manualThe development of a quickreferencemanualforopensource licenses is the basis forbuilding a knowledge base.Themanual should cover the keypoints and risk tips of variouscommon open source licensesand provide clear and conciseexplanations,providingaconvenientandactionableref277、erence for legal and technicalstaff.Given the wide variety oflicenses and their varying termsand restrictions,a simple anddetailedlookupmanualcanquicklyhelpbusinessteamsunderstand and determine theimpact of licenses.2,opensourcelicensegrouping strategyTheuseofopensourcelicense grouping strategy help278、sto manage the complexity ofopensourcelicensesmoresystematically.According to thecontagious strength of differentlicenses and the actual needs ofthe company can be dividedinto different groups of licenses,such as free use group licensegroup,review and approval ofthelicensegroup,prohibiteduse of the 279、license group,etc.,the different groups need tofollow the corresponding use ofstandards and review process.3.Open source compliancetoolsThe use of advanced opensource compliance analysis toolsis particularly important whenbuildinganopensourcecomplianceknowledgebase.Forexample,asoftwarecomponent anal280、ysis tool is usedto scan the source code,identifythe open source componentsused,and then audit them forunauthorizeduse,licenseconflicts,knownsecurityvulnerabilities,and other issues.Such automated analysis toolscan greatly increase efficiency,reduce the workload of teams,and provide organizations wi281、thanaccurateassessmentoflicense compliance status andrisk,enabling them to take thenecessarystepsinatimelymanner.(iii)Establishmentofacompliantsoftwaredevelopment processInordertomorefullyensurethatthesoftwaredevelopmentprocessiscompliant with the use of opensourcesoftware,theintroduction of a Softw282、are BuildOrder of Materials(SBOM)is acrucial part of the process,and itis important for organizations toknowwhatopensourcesoftware is being used in theirproducts.Asafirststep,developmentteamsshouldspecify at the beginning of thesoftware development processthe requirement to generate anSBOM for each 283、selected opensource software component.theSBOMwillclearlylisteachcomponent used,along with itsversion,dependencies,etc.,andprovideatraceablebillofmaterialsthroughoutthedevelopment lifecycle.During the software designandplanningphase,thedevelopmentteamneedstoplacespecialemphasisonverifying the comple284、teness andaccuracy of the SBOM.Developspecifications to ensure that theSBOM contains accurate licenseinformation,vulnerabilityinformation,and other criticalcontent.Thishelpsreducepotential legal and security risksandprovidessubstantialsupportforsubsequentcompliance efforts.The SBOM should also serve285、as a reference for developersduring the coding and testingphases.Whenmodifyingorextendingtheopensourcecode,thedevelopmentteamshould utilize tools such as codescanning to check and updatethe SBOM in a timely manner toensure that the information in itisconsistentwiththeactualcode.During the testing ph286、ase,SBOM can be used to verify thesecurity and compliance of opensource components,helping thedevelopment team to identifyand solve potential problems ina timely manner.TheroleoftheSBOMshouldnotbeoverlookedduring the software deploymentanddeliveryphase.Thestandardized license declarationprocessshoul287、dbebasedoninformationprovidedbytheSBOM,ensuring that all opensource components used andtheircorrespondinglicenseinformation are clearly listed inthesoftwaresuserdocumentation,installationinstructionsandrelatedinformation.Duringthesoftwaremaintenanceandupdatephases,development teams canleveragetheSBO288、Mtore-evaluate and validate eachopensourcecomponenttodetermineifitneedstobeupdated or replaced.The SBOMcan also be used for effectivevulnerability management,withtheSBOMregularlycheckedand updated to reflect the latestsecurity and compliance status.Regarding the legal natureofopensourcelicenses,thec289、ourts of China have in practicerecognized open source licensesas copyright licensing contractswith conditions for termination.This contains two meanings,oneis that the open source licensehas the nature of a contract,andthe other is that the open sourcelicense is a licensing contractwith a release co290、ndition.Firstofall,opensourcelicenseshavecontractualcharacteristics:(1)Willingness ofboth parties:the formation of acontract requires that the will ofboth parties be agreed upon.Intheopensourcelicense,thecopyrightholder(licensor)through clear license terms toexpressthesoftwarewillbegranted to others291、 to use the willof the user(licensee)throughthe acceptance of the licenseterms to express the willingnessto accept these rights of use.(2)Statutory obligations:One partyto a contract provides a certainright or service,and the otherpartyisrequiredtofulfillacorrespondingstatutoryobligation.In an open 292、sourcelicense,the licensor provides aspecificrighttousethesoftware,andthelicenseeisrequired to fulfill the conditionsset forth in the license,such asretainingcopyrightnotices,following the provisions of theopen source license,and so on.Secondly,opensourcelicenses have the nature of alicensewithaterm293、inationcondition;Article 8 of the GPLv3license,TerminationofLicense,states that the licensorgrantstheusertherighttoexercisecertainrightsincompliance with the terms ofthe license,but the user mustassumethecorrespondingobligations.Iftheuserreproduces,modifiesordistributes the protected workin violatio294、n of the conditions ofuse of the GPLv3.0 license,thelicensegrantedundertheGPLv3.0licensewillautomaticallyterminate.Oncetheuserviolatestheseconditions,the license contractisautomaticallyterminatedbetween the parties,and theusers authorization based onthelicenseisautomaticallyterminated.Thecopying,mod295、ification,anddistributionthat the user has done or isdoing under the license will loseits legal basis,and the breach ofcontract will become a tort.It isconsistent with the connotationof civil legal acts with conditionsof termination in Article 158 ofthe Civil Code of China.1.Skytronicsv.Avanti:Compu296、ter language as anauthoringtoolisnotcontagious with softwareworksCase summaryTianchuangTechnologyresearched and developed theShopNCe-commerceportalsystem software and applied foracomputersoftwareregistration certificate.2016,theplaintifffoundthatAvantiCompanyillegallyuseditslegallycopyrightedShopNCe297、-commercesystemseriescomputersoftwareonthewebsiteoperatedbyAvantiCompany,soitsuedAvantiCompany for infringement ofthe copyright of the computersoftware to the court.AvantiarguedthattheplaintiffsShopNC software was written inPHP+MYSQL software,and thatboth PHP and MYSQL softwarebelonged to the open-s298、ourcesoftware,withPHPsoftwareusing the PHPCCPL open-sourceagreement based on the GPLopen-sourceagreement,andMYSQL using the standard GPLopen-sourceagreement.Theauthors of the ShopNC softwarewritten in PHP and MYSQL havethe right of authorship underboth the CCPL and GPL opensourceagreements,butPlaint299、iffs cannot prohibit otherpartiesfromadapting,using,reproducing,or publishing thesoftware,or from charging otherpartiesfortheuseofthesoftware.Views of the CourtThe court held that the PHPopen source software Chineseofficial website manual explicitlyused the CC agreement as theaccompanyingopensourcel300、icense agreement,and it shouldbe clear that the open sourcenature of the software manualCC license is not equivalent tothesoftwarelicense,whetherthe PHP software is open sourceandtheopensourcerightdepends on what kind of licensethe author of the PHP softwarechooses.AlthoughthePHPmanualadoptedtheCrea301、tiveCommonslicenseagreement,the software in question is alsowritten in PHP language,but thecomputerlanguageitselfhasthe attributes of the tool,writteninaparticularcomputerlanguageShopNCsoftwareworksthroughtheauthorscreative intellectual labor of theworksofingenuityandthecomputerlanguagedoesnotreflec302、t the latter as the basis forthederivationoftherelationship between the works,so it does not belong to theinterpretation of the languageof PHP works.Typical significanceThe case made it clear that asoftwareworkwritteninaparticularcomputerlanguagereflects the authors individualexpression of the softw303、are work,and that there is no relationshipof succession or derivation withthe computer language used astheauthoringtool,andthatthere should be no open sourceconductivity between the two.2.DigitalParadisev.Pomelo Technology:TheFirst Case Involving GPLOpen Source AgreementinChinasJudicialPracticeCase 304、summaryDigital Paradise developedthesoftwareHBuilder,whichincludesthreeplug-ins:thecodeinputmethodfunctionplug-in,therealmachinerunning function plug-in,andthe change-as-you-go functionplug-in.Pomelo developed thesoftware APICloud,and DigitalParadise believed that PomelosAPICloud used the GPL openso305、urce code of the above threeplug-ins(theagreementwasGPL3.0),whichinfringeditssoftware copyright on HBuilder,andsuedtothecourtrequestingthatPomelobejudgedtobearthelegalresponsibility of compensatingthelossandotherlegalliabilities.Views of the CourtThe Court of First Instanceheld that the three plug-i306、ns inquestionwereindependentsoftware works,there was noGPL open source agreement fileinthefolderofthethreeplug-ins,and there was no GPLopen source agreement file intherootdirectoryofthesoftwareinquestion,eventhough the other folders of thesoftware in question containedGPLopensourceagreementfiles,the307、 agreement was notbinding on the three plug-ins inquestion,andPomeloconstitutedcopyrightinfringement.Thecourtofsecond instance also recognizedthe legal effect of GPL.Typical significanceThe case is the first caseinvolving the GPL open sourceagreementinChinasjudicialpractice,the case involves thekey 308、issue is the GPL agreementsstrong contagious issue,thecourt of first instance quotedtheprovisionsoftheGPLversion 3 released in June 2007,the court of second instancealso accepted the court of firstinstance on the validity of theGPL agreement.The court ofsecond instance also acceptedthe argument of t309、he court offirst instance on the validity oftheGPLagreement.ThisindicatesthatourcourtsrecognizethattheGPLagreement is legally binding inChina.However,according tothe decision of the court of firstand second instance,the courtdid not examine and discuss therelevantcontentsofthecontagious clause of th310、e opensourceagreementandthetechnical details of the software,and the judgment was based ona simple basis,and there is stillroom for further discussion onwhetherthesoftwareinquestion is applicable to thecontagious issue.3.Luo Box v.Wind Spirit:open source licenses arecontractual in natureCase summary311、PlaintiffJiningLuoboxNetworkTechnologyCo.Ltd.independentlydevelopedLuobox(VirtualApp)plug-inframework virtual engine systemVirtualAppV1.0(hereinafterreferred to as the software inquestion),and it disclosed thesource code of the software inquestiononGitHub,aninternationallyrenownedsoftware hosting pl312、atform andobtainedacertificateofcomputersoftwarecopyrightregistration in 2017.VirtualAppbegan to introduce open sourceprotocols starting with the July8,2016version,initiallytheLGPL3.0protocol,whichwasreplacedwiththeGPL3.0protocol on August 12,2016.OnOctober29,2017,Plaintiffsdeletedfromthesubsequento313、pensourceversionsofVirtualApp On October 29,2017,PlaintiffdeletedthephraseGPL3.0 from the subsequentopen source version of VirtualApp,andin2019,PlaintiffdiscoveredasoftwarecalledDim Sum Desktop,and aftercomparingthesourcecode,found that Dim Sum Desktopwas substantially similar to thesoftwareinquesti314、on.Aftercomparing the source code,theplaintiff found that Dim SumDesktopwassubstantiallysimilartothesoftwareinquestion,and therefore filed asoftware copyright infringementlawsuit.Views of the CourtThe Shenzhen IntermediateCourt held that,1.the GPL3.0agreementiscontractualinnature,andisacopyrightagre315、ement between the licensorand the user,and the relevantprovisions of the contract laware applicable.2.the plaintiff isthecopyrightownerofthesoftware in question,and theopensourcesoftwarerightsdefense does not need to gothroughtheconsentorauthorization of all contributors,and the plaintiff is entitle316、d to filethepresentlawsuit.3.thedefendant has used the opensourcecodeattachedtotheGPL3.0 agreement,and yet itdoes not The defendant usedtheopensourcecodewithGPL3.0 agreement,but did notfulfilltheconditionsofusestipulated in the agreement,andthe authorization obtained bythedefendanthasbeenautomatical317、lyterminated,therefore,the acts of copying,modifyinganddistributingcarried out by the defendantconstitute an infringement ofthe copyright due to the loss ofthe source of rights.Typical significanceThis case is the first judicialcaseinChinatoclarifythenatureoftheGPL3.0agreement.Thecourtdetermined tha318、topen sourceagreements are contractual innature,and that the defendantin this copyright dispute casehadviolatedtheGPL3.0agreement,which ledtotheautomaticterminationoftheGPL 3.0 agreement,thus losingtheprotectionofthesourcecode license under the GPL 3.0agreement,and constituting aninfringement of the319、 copyright.4.Luo Box v.Playmate:Open Source Licenses areAtypicalCopyrightLicenseContractswithCancellation ConditionsCase summaryRoddy,ashareholderofRobox,uploadedtheinitialsource code of his VirtualAppsoftware on the Github websiteunder the GPLv3(GNU GeneralPublicLicenseVersion3)open-sourcelicense,w320、ithanadditionaldisclaimerthatanyonewhousesitcommercially needs to purchaseit,and then removed the GPLv3license and stopped updating it,andmovedontothedevelopment of a closed-sourcecommercial paid version.Later,theGPLv3agreementwasremovedandupdateswerediscontinuedinfavorofthedevelopmentofaclosed-sour321、ce,commercial,fee-basedversion.Loboxacquired the copyright of thesoftware in question by way ofassignmentandregisteredit.Playmatedevelopedfourinfringing WeChat video beautycameraAPPsanduploadedthem on various platforms forusers to download,but did notprovidethesourcecodefordownload.UserscantrytheAPP322、s for free for half an hour,and after that,they need to paya membership fee to continueto use the APPs.The appraisalreportprovidedbyLoboxclaimed that the sandbox splitfunction of the four allegedlyinfringingsoftwarewassubstantiallysimilartothesoftware in question,and thatPlaymatescollectionofmembers323、hip fees and failure toprovidethesourcecodeconstitutedinfringementbyviolatingtherestrictiononcommercial use clause and theGPLv3agreement,andrequestedthatPlaymatebeordered to cease to provide thedownload,installation,andoperation services for the foursoftware,and to compensate forthe economic loss of324、 15 millionyuan and reasonable costs of150,000 yuan for defending therights.The court requested thatPlaymate be ordered to stopprovidingdownloadandinstallation services for the foursoftwareproductsandcompensateforeconomiclosses of 15 million yuan andreasonable costs of defendingthe rights.Views of t325、he CourtThe Guangzhou IntellectualProperty Court held that Rodywasthemostimportantcontributor to the software inquestion,and that Lobox hadthe right to bring this lawsuitalone.Luo Box Company has noright to add a commercial userestriction reservation clause tothe project in question whichapplies the326、 GPLv3 agreement.Part of the functional code ofSandbox Split was released as aderivative part of the infringingsoftware as a whole,and theGPLagreementishighlycontagious,soPlaymatesfailure to open source the entiresource code of the infringingsoftwareviolatedtheagreement.theGPLv3agreementisacopyright327、contractwithaterminationcondition,andthelicensingterms are the conditions of thecopyrightlicense.Playmateviolated the GPLv3 agreement,and the authorization obtainedunder the GPLv3 agreement wasautomaticallyterminated,andtherewasnolegalorcontractual basis for Playmateto use the software in question,t328、husconstitutinganinfringement of the copyright.Theotherthreedefendantswerenotatfaultfortheircollection behavior and did notneedtobearresponsibility.Accordingly,the court ruled thatPlaymatestoppedtheinfringement and compensated500,000 RMB for the economicloss and reasonable expensesincurred by Lobox.329、After the firstinstance judgment,both partiesdid not appeal.Typical significanceThejudgmentfurtherclarified the legal nature of opensourceagreements,andalsoprovided an in-depth analysisandinterpretationofthedevelopment,classification,andextra-territorial judicial views ofopen source agreements,as we330、llas a detailed overview of therelevantrulesoftheGPLv3agreement.It also clarifies manyissues related to open sourcesoftware(e.g.whethertheindependentworksinthecompilation work of softwarecollectionpackagearecontagious to each other,thejudgmentstandardofcooperative work,whether thesubmission of code 331、by othercontributorsofopensourcesoftware has substantive impacton software copyright),and alsoclarifies the judicial attitude ofattachingimportancetoandsupporting the development ofopensource.Thecaseisundoubtedly a good example ofthe importance of open sourceand closed source software.Thiscase undou332、btedly points out thedirectionforthemixedoperation of open source andclosed source software,and is ofgreat significance as a judicialguide for the compliance andgovernanceofopensourcesoftware.5.Shining Fashion v.Buluanmai:determiningwhether the proceedingsinquestionarederivativeorstand-aloneproceedi333、ngsCase summaryNo Mess Buy developed theNo Mess Buy Fashion AmoySoftware for website operation.Shining Fashion also developedthe software for the operationof the website.The companybelieved that the relevant codefilesofShiningFashionCompany used the source codeof the software,infringing on itssoftwarecopyright,andsuedthecourt,requestingthatShiningFashion Companybejudgedtobearthelegalresponsibility