适用场景
所有在业务中(尤其是产品研发、SaaS服务、云服务)使用或计划使用开源软件的中国出海企业,特别是在产品开发、测试、发布及迭代阶段。
核心要点
1. 开源许可证是法律合同,违约即侵权
开源许可证(如GPL)具有法律约束力,用户在使用、修改或分发开源代码时,即与权利人成立合同关系。若违反许可证义务(如未按要求开源衍生代码),将构成侵权,面临产品下架、巨额赔偿等风险。
2. 风险远超著作权,涵盖专利、商标与商业秘密
开源合规风险不限于著作权。使用包含专利的开源代码可能引发专利侵权;未剔除原商标可能构成商标侵权;不当使用‘传染性’协议(如GPL)或员工不当贡献,可能导致自有核心代码被迫开源,造成商业秘密泄露。
3. 安全漏洞与供应链风险不容忽视
开源软件可能存在未披露的安全漏洞,企业需自行承担筛查责任。此外,根据中国《网络产品安全漏洞管理规定》,企业发现漏洞后负有2日内向主管部门报送的义务。使用来源不明、权属不清的开源代码会引入供应链风险。
4. 合规需覆盖软件全生命周期
开源风险管理必须贯穿软件的选型、引入、使用、维护到退出的全过程。不能仅在引入时评估,在产品更新、发布及使用场景变更时都必须重新进行合规审核,建立‘一事一议’的审批机制。
实务建议
- 设立专门的开源管理办公室或指定负责人,统一协调技术、法务与外部律师,构建跨部门沟通与审批流程。
- 制定内部开源软件使用审批制度,要求技术人员在使用任何开源组件前必须经过法务或合规团队评估,并确保每次产品发布前完成最终合规审核。
- 为内部法务和技术团队编制‘开源许可证核心义务速查表’,并定期开展开源合规与安全漏洞意识培训。
- 引入Black Duck等软件成分分析(SCA)工具,定期扫描代码库,识别开源组件、关联许可证及已知安全漏洞,并设定可接受的风险等级。
- 在供应商管理合同中加入开源合规条款,要求供应商承诺其提供的软件或代码遵守开源许可证,并承担由此引发的侵权责任。
风险提示
- 误区:认为开源等于免费可随意使用。正解:开源受许可证严格约束,义务随使用方式(如分发、SaaS提供)而变化,必须仔细审查。
- 误区:一次审核,终身无忧。正解:开源合规需‘一事一议’,软件迭代、使用场景变化(如从内部使用转为对外分发)必须重新评估。
- 注意事项:准确理解技术细节的法律定性,例如,云服务是否构成许可证意义上的‘分发’,是判断义务的关键,需技术与法律团队共同确认。
- 注意事项:避免使用来源不明、权属有瑕疵的开源项目,这类代码本身可能侵权,导致后续所有使用行为均不合法。