信息化項目建設視角的開源軟件風險研究

內蒙古電力（集團）有限責任公司信息通信分公司 汪 嘯 額爾敦 王 博 尹夢賓

1 開源軟件及其應用

1.1 開源軟件基本概念

開源軟件。一種版權持有人向公眾公開軟件源代碼，并允許公眾下載、編譯。在許可證授權范圍內，可進行修改、調用、分發等。

開源許可證。源代碼版權所有人與被授權人就源代碼使用達成的協議。因源代碼已經面向公眾公開，故協議以要約方式存在。即潛在被授權人在取得源代碼時默認接受，在對代碼行使約定權利時同時遵守約定義務。在工程實踐中，源代碼用戶在下載、編譯、使用軟件時，默認接受開源許可證規定的全部條款。

1.2 應用開源軟件的必要性

使用開源軟件可降低軟件研發成本。隨著“云、大、物、移、智、鏈”技術發展，“產業+互聯網”模式逐步落地，大量的業務需求驅動軟件研發提質增效。原有“成套軟件”模式適用于業務、用量相對固定（或可預測）的場景。在產業互聯網化的背景下，繼續采取“成套軟件”進行定制化開發以滿足業務需求，存在開發周期長、變更周期長、二次開發困難、開發成本高等問題。隨著開源軟件生態不斷成熟，依托開源軟件平臺進行開發，引入開源代碼，降低開發工作量，可有效應對上述問題。

提高軟件行業“核高基”方面的自主可控能力。我國軟件行業起步較發達國家晚，軟件產業生態和自主可控能力存在一定不足。特別是在核心平臺軟件、高科技裝備支撐軟件、基礎科研軟件等方面對國外技術存在一定依賴。因國外企業在軟件研發方面有長期的行業經驗積累和開發技術儲備，在短時間內進行“直道超車”可能性較低。在本行業內廣泛應用開源軟件的背景下，依托開源代碼基礎進行二次開發，有利于實現“彎道超車”。

1.3 應用開源軟件的形式

代碼級應用。在進行軟件開發時，開發人員將開源代碼以函數、實例、庫等等形式復制到自己的工作成果中，形成隱含代碼式引用。

軟件級應用。在進行軟件集成時，實施人員將開源軟件整體進行封裝，作為二次開發基礎或者應用系統關鍵部件，形成成套引用。

系統級應用。在進行系統構建時，實施人員將社區版/商用版開源系統直接部署到生產環境，整體使用，形成系統級應用。

工具級應用。在進行軟件開發、集成、系統構建等工作時，將開源軟件作為開發平臺、管理平臺、技術工具、辦公軟件等，獨立使用。

2 開源軟件風險分析

2.1 開源軟件風險概述

開源軟件相較于傳統商業化軟件，在成本方面有顯著優勢。對軟件二次開發難度較小，有效提升了系統靈活性。由于開源軟件使用廣泛，其生態較為完善，運維市場較為成熟，有利于開源軟件應用。從風險管控角度來看，存在不同程度的知識產權問題、技術出口管控問題、質量與安全問題，且需要得到重視。

2.2 不當引用或引用不當

以BSD許可證為例。BSD許可證要求，當軟件源代碼持有人對所獲得的BSD授權軟件源代碼進行修改，修改后的作品再分發時，按照BSD許可約定作出版權聲明。聲明中包括對其獲得的BSD授權原創軟件作品(源代碼)的版權(所有權)內容。這就要求軟件的二次及以上開發作者要區分各版本軟件的初始代碼及增量代碼所涉及的許可證，按照BSD許可要求進行引用說明。

在軟件開發過程中，源代碼來源多樣情況普遍存在，易導致引用不規范的情況出現。

2.3 授權傳染或強制開源

以GPL許可證為例。GPL許可證要求，承認軟件作品作者的著作權(所有權)，軟件的二次及以上開發者必須允許其他人享有對其作品使用、修改、發行等權利。同時GPL許可證要求用戶（含二次及以上開發者）不能改變軟件的授權協議，即二次及以上修改版本再發行時，仍然按照GPL許可授權。由此可見，當源代碼作為整體發行時，是基于GPL協議完全開源的，不會出現閉源情況。此外，GPL許可證為唯一許可授權，不接受混合授權，即無法通過其他許可證形式發布。

在軟件開發、部署、使用的過程中，不可避免使用GPL授權軟件產品。如對這些產品進行二次及以上開發，易導致授權傳染或強制開源的情況出現。例如：1授權傳染。使用了GPL許可證授權的軟件，根據現場情況對源代碼進行修改，則修改后的軟件則為GPL授權軟件，遵循GPL授權原則。無法閉源。2強制開源。修改后的軟件按照GPL授權約定，需要對公眾發布。

2.4 專利防御或專利誘餌

各個開源許可證對修改源代碼后是否閉源、新增源代碼是否遵循相同的許可證、修改源代碼后是否要提供說明文檔等有較為詳細的規定，開源許可證對軟件中涉及的專利使用與授權的約定相對模糊。針對專利權使用與授權，有的開源許可證明確規定，有的并不涉及。

在軟件開發過程中，可能使用已經注冊專利的算法或代碼，涉及到專利運用問題。如對這些程序進行二次及以上開發，易導致不當使用專利的情況出現。例如：1專利防御。APSL-2.0規定了終止條款“如果獲取者開始對A公司提起專利侵權訴訟，該許可和權利授予將無需A公司進行通知地自動終止，前提是A公司在該情況中沒有首先提起專利侵權訴訟”。APSL-2.0開源協議中設置了條款來保護A公司權益。2專利誘餌。軟件作者或二級及以上開發者在源代碼中加入收到專利保護的代碼或算法，同時依據開源許可證授權細則保留對專利的控制性授權權利，當其他組織或個人使用該軟件時，造成侵權事實發生。特別是在廣泛應用或應用在核心業務或系統中，造成專利授權費高昂或改造成本巨大的兩難局面。

2.5 出口管制或弱自主可控

以當前軟件行業生態來看，世界各公司以會員身份加入開源軟件基金會并貢獻源代碼為主流形式，其中大量源代碼由注冊于A國企業生產并提供，同時頒發Apache、GCC、MIT、BSD、GPL（GNU）/LGPL等授權的組織均在A國注冊，且主流開源托管平臺（例如Github）服務器也位于A國境內。由此可見，開源軟件生產階段不可避免地受到A國法律管制。在國際關系風云變幻的背景下，出口管制問題易發、多發。A國利用產業上游階段技術優勢，通過出口管制手段，制裁過Z、H等公司，以達到相應目的。

雖然開源代碼屬于外國BIS（商業、工業及安全局）規定的公開發布的范疇，不受外國EAR（出口管理條例）約束。但是涉及加密軟件源代碼的開源項目仍然需要備案。考慮到釋法、修法的主動權在A國，故A國對開源軟件進行出口管制風險依然存在。

目前，從軟件行業生態體系來看，具備完全且完整自主可控的主流軟件軟件產品相對缺乏。大部分軟件項目均不同程度使用開源代碼，故此類項目自主可控能力相對弱化。

2.6 代碼質量及安全問題突出

參與開源軟件代碼開發的主體來源多樣，既有個人，也有政府、高校、研究機構等組織，各類型組織對代碼質量管控措施不同，導致代碼質量不可控因素增多。代碼審計工作也存在類似問題，導致代碼安全風險不能被有效降低或消除。

軟件質量風險或安全風險顯現時，受開發主體能力限制，無法在第一時間完成漏洞修復工作，導致漏洞引發的信息系統運行故障和網絡安全事故擴大化。對于典型的“0Day漏洞”，高效開發主體提供的補丁修復時間在1天至1周，一般開發主體以月或年為單位完成補丁發布，其他開發主體甚至無法進行修復。在修復前，信息安全體系相對薄弱的單位或個人將無法有效應對。

若代碼來源可疑又未經審核，病毒、木馬等惡意代碼隨開源軟件進入部署環境情況發生，將導致更為嚴重的安全問題。

3 主流開源軟件實證分析

3.1 泛在基礎性軟件開源許可證

操作系統。Linux是一種廣泛用于服務器的操作系統。使用GNU/GLP許可證，故各種商業版本如Redhat、Fedora、SuSe以及Ubuntu、Slackware、Gentoo、Debian、centos均可以免費下載、使用。基于Linux的商業利益在于服務，而非常用的軟件許可證授權。

數據庫。Mysql數據庫作為分布式架構的核心，使用GPL/GNU許可證。而postgre數據庫使用BSD/MIT許可證。故基于Mysql源碼修改的版本均遵循GPL許可證，而基于postgre源碼修改版本需按照規則引用。

應用中間件。Tomcat是一種開源應用中間件，使用Apache許可證。故基于tomcat源碼修改版本需按照規則引用。

分布式負載。Nginx是一種開源分布式負載，使用BSD許可證。故基于BSD源碼修改版本需按照規則引用。

云平臺軟件。OpenStack是一種開源云平臺管理軟件，使用Apache許可證。故基于OpenStack源碼修改版本需按照規則引用。云平臺的虛擬化引擎KVM則為GPL許可證。

容器軟件。Kubernetes是一種開源容器引擎管理軟件。容器引擎Docker使用Apache許可證。

3.2 開源軟件運用風險案例

S公司以自主可控為目標，基于Linux、Mysql、Postgre源碼開發可用于重要業務的可視化操作系統、關系型數據庫。根據上述軟件的開源許可證可以推斷，除基于postgre源碼開發的數據庫以外，均受到開源傳染影響，需要按照約定公開源碼，故其通過隱藏源碼確保安全的行為存在法律風險。

Q公司以自主可控為目標，基于Linux源碼開發可用于重要業務的可視化操作系統，并將其商業化。根據上述軟件的開源許可證可以推斷，均受到開源傳染影響，需要按照約定公開源碼，故其通過隱藏源碼確保安全的行為存在法律風險。公開源碼后，通過軟件授權形式銷售存在無法獲得收益的風險。

運用開源軟件對于降低信息系統建設成本，提高自主可控能力具有積極意義。同時，應認識到開源軟件在應用過程中，存在不當引用或引用不當、授權傳染或強制開源、專利防御或專利誘餌、出口管制或弱自主可控、代碼質量及安全問題等風險。使用單位應開展風險管理工作，進行風險管控。