院刊  1497
国际开源发展经验及其对我国开源创新体系建设的启示
隆云滔1,2    王晓明1,2    顾  荣3,4    包云岗5
*
1  中国科学院科技战略咨询研究院  北京  100190
2  中国科学院大学  公共政策与管理学院  北京  100049
3  计算机软件新技术国家重点实验室(南京大学)  南京  210023
4  南京大学  计算机科学与技术系  南京  210023
5  中国科学院计算技术研究所  北京  100190
摘要    开源已成为全球科技进步至关重要的创新渠道。开源创新体系建设是我国实现科技自立自强的重要途径。中国作为全球软件价值链和高新技术产业链必不可少的一环,需要更完善的开源创新生态。文章在系统梳理欧美先发国家开源发展经验的基础上,立足我国开源生态建设面临的实际问题,提出促进我国开
源创新体系建设的政策建议。
关键词    开源基金会,开源治理,开源生态,开源创新体系
DOI    10.16418/j.issn.1000-3045.20210909001
*通信作者
资助项目:中国工程院战略研究与咨询项目(2021-XY-32),国家自然科学基金重大项目(71991475),中国科学院科技战略咨询研究院自主部署课题(E 1X 0621J 02)修改稿收到日期:2021年11月25日
① The-Free-Software-Foundation (FSF). FSF History. [2021-08-25]. /history/.
科技与社会
S & T and Society
开源是指将源代码、设计文档或其他创作内容开放共享的一种技术开发和发行模式,这些内容的版权由开放式许可协议(常称为开源协议)所规定[1]。开源理念诞生于计算机软件行业。自 20 世纪 80 年代开
源的早期形态“自由软件”①运动发端算起,开源已发展了近 40 年。经过桌面应用、现代互联网、云计算、大数据、物联网、移动计算、人工智能等丰
富的应用场景实践,开源作为软件行业创新引擎的地位不断增强,逐渐发展成强大的技术创新模式,已成为一种重要的科技创新渠道。开源解决方案供应商红帽(Red Hat )公司于 2021 年发布的《企业开源现状》[2]调查报告显示,“最具创新能力的企业都在使用开源”。不论是我国头部科技企业,还是国际传统商业软件巨头,都纷纷拥抱开源,开源已成为全
1498  2021 年 . 第 36 卷 . 第 12
球科技进步至关重要的创新渠道。
我国数字技术供应链安全一直受到以美国为代表的西方科技强国的威胁。近年来,中兴、华为、大疆等中国领先科技企业受到美国的“特殊关照”是这种威胁的“变现”。美国战略与国际问题研究中心 2020 年 11 月发表的分析文章《管控美中技术竞争与脱钩》②一针见血地指出“技术供应链管控正成为实现政治目标的重要砝码和工具”。所幸的是,开源已成为全球技术供应链中重要一环,开源的技术开放演化要求,使
得任何人为封锁均抵挡不住开源参与者对开放共享和联合进步的渴望。个别国家处心积虑地通过常规手段进行技术封锁和生态隔离,反将倒逼我国更快实现自主可控的开源创新和“双循环”发展相互促进,从而有机会在创新生态的进化之路上实现提质增速。开源创新的机制优势,对于我国在纷繁复杂的国际形势中融入并最终引领世界科技发展潮流具有十分重要的促进作用。
我国非常重视推动开源发展,《中华人民共和国国民经济和社会发展第十四个五年规划和 2035 年远景规划纲要》首次在国家战略规划文件中明确提出支持数字技术“开源”发展。在这一规划的号召下,我国开源事业即将进入一个如火如荼的高速发展时代。然而,中国要成为全球软件价值链和高新技术产业链必不可少的一环,需要更加积极地发展自主开源技术、打造自主开源产业、建设自主开源生态,在开源开放与自立自主中推进核心关键技术的研发能力[3]。鉴于欧美先发国家在开源建设和发展上积累丰富,深入剖析国外开源发展经验,对我国建立开源创新生态、树立国际开源影响力具有重要的参考价值和促进作用。
1  国外开源发展的主要经验
开源技术所具有的开放式持续创新特征和极具潜力的商业模式早已引起欧美国家重视,相关政府和组织机构纷纷将开源技术和开放创新作为建设信息社会的基石[4,5],注重从基础设施建设、促进发展政策、风险应对和人才培养等多方面推动开源生态的打造。
1.1 以先进基础设施主导开源生态
(1)开源基金会是开源项目的推动者和组织者。经过数十年发展实践,开源生态已清晰地呈现出由基金会主导的格局。几乎所有开源社区、开源项目背后都有开源基金会的影子,甚至受基金会管理服务和运作控制。开源基金会除了通过重大开源项目树立影响外,还可通过制定行业标准影响业界发展。例如,
Linux 基金会推动建立的国际标准《开源软件供应链
规范》③
对开源软件在合规遵从方面的最佳实践进行了标准化,为开源软件在供应链的流动建立信任,从而降低了开源软件合规风险。目前,全球最有影响力的开源基金会的注册地几乎都在美国,也大多受美国开源基金会相关法律管理或控制。而且随着技术的演进,不断有新的基金会(如云原生计算基金会)成立来影响技术发展趋势,领导新的行业和方向。美国的开源基金会在注册数量、运营能力、类型结构及技术引导能力上具有他国难以企及的优势,是美国确立全球开源领导地位的坚实支撑。
(2)开源许可协议是开源生态的法律基础,是开源产业可持续发展的制度性保障。目前,开源标准组织开源促进会(OSI )已审核通过且未被废弃的开源许可协议④
有 80 多个(93% 来自美国)。其中,
Apache 、BSD 、GPL 、MIT 等流行许可协议在用户权
② Kahata A. Managing U.S.-China Technology Competition and Decoupling. (2020-11-24)[2021-08-25]. /blogs/technology-policy-blog/managing-us-china-technology-competition-and-decoupling.③ Open Chain ISO 5230. (2020-12-31)[2021-11-23]. /.
④ Open-Source-Initiative (OSI). Open Source Initiative approved licenses. [2021-08-25]. /licenses/alphabetical.
院刊
1499
利和衍生品许可等方面的规定各有差异但又相对互补,因此被开源项目广泛采用,并具有强大的社区支持。此外,欧盟委员会也批准了专为适应欧盟法律框架而设计的“欧盟公共许可协议”⑤
,以匹配欧盟的法律规范框架。
(3)代码托管平台既是开源软件代码的“托身”之所,也是开源活动(如技术讨论、思维碰撞、代码提交)的聚集之地。作为开源软件和技术演变的历史见证者,代码托管平台对维系用户黏度有着无可比拟的重要性,是开源平台化建设的重要内容。美国作为最早实践开源的国家,也是历史上比较重要的开源代码托管平台的诞生地。先发优势加上马太规模效应作用,使得美国代码托管平台几乎垄断了开源软件的代码托管服务,对开源世界具有非同寻常的影响力。
1.2 出台支持开源发展的政府政策
早在 2002 年,美国智库就开始对开源软件的政府政策问题进行研究,并发布关于开源软件的政府政策报告[6],对包括政府采购和专利等在内的政策议题进行探讨,为政府政策提供支持。此后,欧美国家政府开始有意识地出台相关政策推动开源发展。据欧盟委员会“开源观测”项目 2020 年发布的分析报告[7],欧盟成员国(包括英国)过去 20 年来共出台了不少于 75 份政策文件(如政府计划、战略文件等)和 25 份法律文件(如议会决议、法律、法规等)以推
动开源发展;其中,有 25 份政策文件和 6 份法律文件专门针对开源软件而制定,其他文件则是在其数字化议题中提到了开源。欧美国家政府促进开源发展的政策主要包括:推动政府软件开源和公共数据开放、引导业界关注开源风险等。
(1)推动政府软件和财政资助项目成果软件开源。2016 年 8 月,美国政府发布“联邦源代码政策”⑥
,要求联邦机构每年必须将不少于 20% 的新开发源代码以开源形式公开发布,并且要求开源至少 3 年。2019 年,英国出台的《数字服务标准》⑦
及此后更新的《服务标准》⑧
中要求,政府部门应选择合适的许可证开源所有新的代码。2021 年,法国发布的《国家开放科学计划(2021—2024年)》⑨
要求,公共资金资助的研究数据、算法和源代码应通过开放许可进行传播共享。
(2)推动政府公共数据开放。2016 年,法国《数字共和国法案》⑩要求开放公共研究数据。2019年 1 月,美国国会通过了《开放政府数据法案》11
,将开放数据作为美国法典的一部分。美国成为继法国、和德国之后,将开放政府公共数据从政府政策上升为国家法律的国家。在这些国家,政府公共数据应以机器可读的格式,在不损害隐私或安全的前提下,默认向公众开放。
(3)引导产业关注开源风险。早在 2004 年,美国联邦金融机构审查委员会发布的《开源软件风险管
⑤ Commission Implementing Decision (EU) 2017/863 of 18 May 2017 updating the open source softw
are licence EUPL to further facilitate the sharing and reuse of software developed by public administrations. (2017-05-19) [2021-08-27]. eur-lex.europa.eu/legal-content/EN/ TXT/?uri=CELEX%3A 32017D 0863.
⑥ OMB Memo M-16-21 for Federal Source Code Policy: Achieving Efficiency, Transparency, and Innovation through Reusable and Open Source Software. (2016-08-08)[2021-10-20]. v/sites/default/files/omb/memoranda/2016/m_16_21.pdf.
⑦ Digital Service Standard. (2019-05-08)[2021-08-25]. v.uk/service-manual/service-assessments/pre-july-2019-digital-service-standard.
⑧ Service Standard. (2019-06-30)[2021-08-25]. v.uk/service-manual/service-standard.
⑨ Second National Plan for Open Science: Generalising open science in France 2021-2024. (2021-10-01)[2021-08-25]. www.ouvrirlascience.fr/second-national-plan-for-open-science/.
⑩ LOI pour une République numérique. (2020-12-09)[2021-08-26]. uv.fr/loda/id/JORFTEXT 000033202746/.11 Public Law 115-435-Foundations for Evidence-Based Policymaking Act of 2018. (2019-01-14)[2021-10-20]. v/app/details/PLAW-115publ 435/summary.
1500  2021 年 . 第 36 卷 . 第 12
理指引》12开源项目
要求,金融机构在采用开源软件时参照该指引加强风险管理。此外,英国政府发布了《开放代码的安全注意事项指南》13
;欧盟发起过开源软件审计项目改善关键开源软件的安全性。
1.3 推动产学结合的教育模式创新
一方面,美国顶级高校(如哈佛大学、加州大学伯克利分校等)积极与全球最大的开源代码托管平台 GitHub 建立合作,推动大学生尽早了解并进入开源社区。另一方面,美国企业也十分重视开源人才培育。以 Google 公司主办的“Google 编程之夏”(GSoC )14
、X.Org 基金会发起的“无尽假期编程”(EVoC )15等为代表的企业实践,为全球开源人才培养提供了可资借鉴的示范样本。
GSoC 由 Google 公司于 2005 年开始每年暑期举
办,为学生和开源机构搭建了开源培训交流的桥梁;其通过真实的开源项目(由开源机构提供)吸引更多的学生走进开源、熟悉开源开发,为开源事业培养了后继人才。GSoC 在招收学员时,非常注重吸纳新人和不同专业背景的学生参与。例如,2021 年度接收的近 1 300 名学生中,91% 是首次参与,且计算机科学专业的只占 70%。目前,GSoC 已成功举办 16 届(不含 2021 年),累计为来自 111 个国家的超过 1.6 万名学生提供了开源培训服务,为 715 家参与开源机构培养了超过 2 100 名开源导师(其中 24.7% 曾是 GSoC 培训过的学生)并贡献了超过 3 800 万行代码。GSoC 已成为企业参与开源人才培养的标杆,在推动开源人才培养的同时,也吸引了其他组织(如 X.Org )效仿和跟随。
整体来看,美国在开源教育方面,开源机构和后备人员之间已形成良性互动,极大地推动了开源理念的传播和开源人才的培育。
2 我国开源生态面临的主要问题
长期以来,我国对开源的参与侧重奉献,不惜“把自己的庄稼种在了别人的土地上”。借用别人的“土地”,确实让我们省去了“开垦荒地”“施肥播种”的过程,但是没有“自己的庄稼地”会受到美国司法管制的风险影响,面临着受制于人的重大战略风险。过去一年来,全球领先的智能手机厂商华为与“安卓”操作系统的“故事”16
,提醒我们只有建设自主、完善的开源生态,才能不受外部威胁地持续参与开源并从中受益,未来发展才有安全保障。
2.1 开源基础设施欠发达
长期以来,我国一直缺少有国际影响力的开源基金会、开源社区和开源项目。其中,开源基金会作为重大开源项目的推动者和组织者,本应成为开源发展的重点关注对象。但是,直到 2020 年我国才实现开源基金会零的突破,而且其发展亟待管理制度和理念的创新支持。
根据全国社会组织信用信息公示平台提供的信息,相关管理部门将我国首个开源基金会——开放原子开源基金会认定为慈善组织,并参照相关规章制度进行管理。然而,从开源基金会的工作内容来看,它更多的是公益性质,并非传统意义上的慈善组织。开源基金会的运作管理需要专业的管理经验和组织架构,其服务的领域本身专业性极强,需要有专业人
12 Risk Management of Free and Open Source Software. (2004-10-21)[ 2021-10-20]. v/news/financial-institution-
letters/2004/FIL 11404a.html.
13 Security considerations when coding in the open. (2017-09-27)[2021-10-20]. v.uk/go
vernment/publications/open-source-guidance/security-considerations-when-coding-in-the-open.
14 Google Summer of Code. (2021-11-10)[2021-11-25]. summerofcode.withgoogle/.
15 The X.Org Endless Vacation of Code (EV oC). (2018-06-02)[2021-10-20]. /wiki/XorgEV oC/.
16 Google ’s Android ban puts a stop to Huawei ’s world domination plan. (2019-05-21)[2021-10-20].  uk/article/huawei-google-ban-phone-sales.
院刊
1501
士、职业人士来参与治理和管理;然而,目前相关管理部门将开源基金会当作传统慈善组织来对待,不利于我国开源基金会的长远发展。这从美国开源基金会的运营实践也可以得到体现。美国开源基金会大多依据美国《国内税收法典》(Internal Revenue Code )
501(c)条款定义,申请成为非营利组织并享受税收减
免优惠。但是,中国的开源基金会若借鉴此类模式运作,将面临严格的工资水平限制规定。根据《财政部 国家税务总局关于非营利组织免税资格认定管理有关问题的通知》(财税〔2018〕13 号),国内开源基金会若要被认定为“符合条件的非营利组织”,则“工作人员平均工资薪金水平不得超过税务登记所在地的地市级(含地市级)以上地区的同行业同类组织平均工资水平的两倍”。换言之,国内开源基金会要享受税收免税优惠,就得以牺牲薪酬待遇方面的竞争力为代价。此外,国内具有开源运营管理经验的专业人士主要集中在薪资水平较高的头部互联网企业,若想吸纳这些优秀人才加入,开源基金会通常需要提供与互联网企业大致相当的薪酬待遇。然而,根据《基金会管理条例》(国务院令第 400 号)第二十九条,“基金会工作人员工资福利和行政办公支出不得超过当年总支出的 10%”。同等薪酬水平难以得到保障,不利于广泛吸纳优秀专业人才。这种管理制度并不利于开源生态长远发展。
2.2 开源合规及风险管理水平有待提升
相比于闭源软件,开源软件的代码公开、获取便捷。但开源软件的所有权和使用权分离,导致用户往往成为开源的风险落脚点。因此,用户在引入和使用开源软件的过程中要防范潜在的风险问题,尤其是开源许可方面的风险。
(1)开源许可协议。开源许可协议作为外来之
物,域外相关法律规定在国内能否直接适用,我国法律和司法实践并未给予正面回答;而且受软件嵌套
、组合等复杂结构的影响,开源许可协议在使用中容易出现继承和兼容等问题,需要权威的司法解释[8]。鉴于开源许可对开源生态的重要性,我国亟待完善与开源许可协议等相关的法律制度,在立法中明确开源许可协议的法律属性,在知识产权内容中增加开源软件、开源硬件、知识共享等内容,并在知识产权许可中规定开源许可协议。
(2)开源产品。开源产品的安全风险也是一个被长期关注的话题。根据新思科技(Synopsys )《2021年开源安全和风险分析报告》17
,开源组件的安全风险在增加:① 未妥善管理的开源代码带来的安全风险日益增加。在所审计的代码库中,84% 具有已知安全漏洞的开源组件,超过一半(60%)的代码库包含高风险漏洞。② 过期和“废弃”的开源组件非常普遍。所审计的代码库中,有 85% 包含已经过期 4 年及以上的开源组件,91% 包含近 2 年没有开发活动的组件。使用过期的开源组件一方面会带来不必要的功能和兼容性问题,另一方面还增加了安全漏洞风险。
2.3 开源人才供给严重不足
开源创新体系的活力来自高素质的开源人才队伍。我国虽已成为软件开发人员数量大国,但其中了解开源、具备开源开发技能、熟悉开源开发流程的人才相对较少。一个重要原因是我国高校利用开源项目进行教学的普及度不高。根据 GitHub 2020 年的调查数据18
,GitHub 学生用户中美国学生占比 32%,而中国高校学生参与较少,仅 2%。2021 年 4 月,开放原子开源基金会通过开源中国网和中国软件开发者网等国内顶级开发者社区向全国开发者发放开源人才调查问卷。但回收的有效问卷数量并不乐观,且在这为数不
17 2021 open source security and risk analysis report. (2021-04-30)[2021-08-25]. www.synopsys/software-integrity/resources/
analyst-reports/open-source-security-risk-analysis.html.
18 2020 GitHub Education Classroom Report. (2020-11-30)[2021-11-23]. education.github/classroom-report#wherethedevelopersare.

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。