企业开源赋能计划2.0 | 如何通过“开源许可协议黑白名单”合规使用开源软件？

近年来,开源生态发展势头迅猛,在推动技术创新、促进产业协作、加快各行业数字化进程方面发挥的作用日益凸显。企业或个人在使用、参与或主导开源项目的过程中,一般都会涉及开源许可协议的相关问题。开源许可协议授予了被许可人广泛的权利,但同时也要求其应承担一定的合规义务。企业忽视开源合规中的某些细节,会为自身带来不可预知的法律风险,如被迫开放源代码的风险、许可协议的兼容性风险、违约风险及知识产权风险等。

一、企业在开源许可协议合规管理方面存在显著不足

为确保合规使用开源软件,企业应严格遵循相关许可要求,明确使用范围、权利与义务,以保障开源软件作者和权利人的权益,同时防范合规风险对企业及第三方供应商的影响。据中国信通院调研,超过六成企业缺乏严格的合规管理流程,允许开发人员随意引入AGPL、GPL类许可协议。这一缺陷会加剧法律与合规风险,对企业知识产权和商业模式造成不利影响。

表1我国近期GPL许可协议相关法律案例(部分)

二、常见开源软件许可协议义务要求

开源软件许可协议是企业复制、使用、修改对应开源软件的权利来源,企业应在开源软件许可协议授权范围内、在履行许可协议相关义务要求的前提下使用开源软件,否则企业任何基于该开源软件的利用行为都可能构成侵权。

常见的开源软件许可协议义务要求通常包括以下类型:

●保留权利声明:在分发代码时必须包含原始的版权声明,以明确该开源软件知识产权所有者;

●提供许可协议副本:应提供该软件的许可协议副本,以确保所有用户都了解并遵守该协议的使用要求;

●声明修改:需要对源代码的任何修改进行标注,以便其他用户了解哪些部分是原始的,哪些部分是修改过的;

●分发源代码:部分开源软件许可协议要求分发的修改版或衍生作品必须公开源代码;

●相同许可证发布衍生作品:某些许可协议要求基于原始代码的派生作品必须以相同的许可协议发布;

●分发构建脚本:提供编译该开源软件源代码所需的构建脚本。

三、通过“开源许可协议黑白名单”履行开源许可协议义务要求

对于如何履行开源软件许可协议,则需要根据开源代码的应用场景,细致分析对应许可协议的义务要求。

不同开源软件应用场景存在风险差异。开源代码的不同应用场景可能触发不同义务要求,主要表现在对外提供源代码的义务以及应提供源代码的范围。开源代码的应用场景一般包括三类典型场景:

●企业内部使用,指仅在企业内部部署并仅供企业内部的人员使用。

●通过提供软件副本的方式对外分发,如应用在移动应用程序、计算机应用程序、网页前端等场景中;

●通过远程网络交互程序调用等,如应用在SAAS产品中。

不同场景下,开源代码的引用方式不同,开源许可协议的风险也不同。企业可以构建完善的“开源许可协议黑白名单”,从而清晰识别不同开源软件在不同应用场景下的合规性,确保在享受开源软件带来的便利同时,也履行了相应的义务要求。

黑白名单示例如下所示:

表2开源许可协议黑白名单-以GPL-2.0为例

四、开源合规专项赋能服务—“开源许可协议黑白名单”

为解决企业缺乏开源合规专业人才、对开源许可协议认知不足等痛点问题,中国信通院现推出“开源合规专项赋能服务—开源许可协议黑白名单”,名单将清晰的展现各类开源许可协议在不同使用场景下的义务要求。订阅此项服务的企业可在订阅后即刻获得涵盖100+常用开源许可协议的义务一览表,且通过持续更新的方式,覆盖企业所使用全部开源软件及所有应用场景。通过专项赋能服务,企业可以显著提升开源合规风险防控能力,有效降低开源软件应用过程中可能遇到的风险。

“企业开源赋能计划”服务客户(部分)

现订阅服务已面向全社会开放,欢迎联系咨询!