专栏首页ThoughtWorks我们应该怎样使用开源软件 | 洞见

我们应该怎样使用开源软件 | 洞见

开源是近年来大火的词汇。自2017年7月Facebook的React开源软件被Apache基金会宣布禁止使用、百度也宣布全面停止使用以来,开源软件的合规性使用引发了大家的关注。

我们以React为例,看看开源软件的坑在哪里。

React的开源许可证

React最初的开源许可证为Facebook 在BSD许可证基础上附加了专利防御保护条款,即BSD+Patents license。

解读

原许可证在著作权授权使用(BSD)的基础上添加了防御性专利侵权条款(Patents),写明在以下三种情况下Facebook授予被许可人的专利权将被撤回:

  1. 如果被许可人对Facebook及其子公司、关联公司提出直接或间接的专利诉讼;
  2. 对其他方提起专利诉讼,且该专利诉讼全部或部分起因于Facebook、其子公司或者关联公司的任何软件、技术、产品或服务;
  3. 就React软件相关发起专利诉讼,起诉其他方。

通俗的可以理解为:只要因为你提起专利诉讼,让Facebook成为被告或者第三人,Facebook都可以撤回React的专利授权。

许可证及后续Facebook的答疑中明确专利权在以下情形下不会被撤回:

  1. 被许可人使用React创造了竞争产品;
  2. 被许可人就专利侵权之外的事项起诉Facebook;
  3. Facebook作为专利诉讼(非因BSD+Patents license授权下的软件相关)的原告,被许可人反诉的情形。

另外,Facebook也明确了专利授权的终止并不会导致著作权许可的终止。

质疑漩涡

Apache基金会在2017年7月禁止Apache 产品中使用遵循BSD+Patents License的JAR包。质疑漩涡进一步发酵,社区激烈地质疑Facebook违背了开源的精神。

虽然并没有现成的案例可以支持。然而,引起大家担忧的是从许可证文本约定来看,如果某公司强依赖性使用React,则Facebook可以自由使用该公司的所有专利。因为只要该公司发起对Facebook的专利诉讼,该公司的React的专利授权就会被撤回。

在持续发酵的情况下,Facebook承诺更换许可证,并于9月26日遵守承诺在发布React16时更换为MIT许可证。然而,对Facebook还坚持使用原许可证的开源项目,仍然应该引起关注。总体而言,React许可证的更换不仅是开源社区的一次胜利,更是提高了企业、开发者对许可证重要性的认识、起到了警示作用。


如何正确使用开源软件

关注开源软件使用的合规性

同开源软件的广泛使用相对应,开源许可证的遵守情况却不容乐观。从法律的角度来讲,使用者自引入某开源软件的时刻起,其开源许可证将自动适用。使用者如未履行许可证规定的义务(如加入版权说明),即构成侵权,或者违反契约(合同)的行为,并因此可能造成许可证的撤回并承担相应的赔偿责任。

例如Netfilter核心开发者团队的 Patrick McHardy,以违反GPL许可证为理由,在德国威胁超过80家公司,并谋利约200万欧元。事后Patrick McHardy被定义为“GPL谋利-版权谋利者”。2016年12月16日美国的软件自由法律中心(Software Freedom Law Center)起诉包含三星在内的14家厂商违反GNU许可证。在中国国内,小米公司也因屡次违反开源协议而被社区指责。从以上案例中也可以看出国内外企业对开源许可证的义务、法律责任均认识不足。

综上,未按照开源许可证约定使用开源软件会引发潜在的法律纠纷,或者给企业带来名誉损失。因此,企业在使用开源软件时应建立审查制度。依据开发软件的用途、目的、市场等情况判断是否引入某开源软件。

就软件开发服务提供者而言,应首先关注同客户的合同约定,在合同约定可以使用的前提和范围下,尽到对客户的通知义务或取得客户的书面同意。以避免因为使用开源软件导致的合同违约或者被追偿。

关注开源软件使用的安全性

开源软件由于贡献者的能力不同导致可能存在安全漏洞。因此,开发者在享受开源软件的便利时,应注意漏洞的识别,并采取相应的代码安全审计,并将已披露漏洞及修复方案及时告知客户。

制定开源软件使用政策

如果公司在业务中大量采用开源软件,则制定并执行开源使用政策就变得尤为重要。根据公司业务的不同,政策可以涵盖公司对开源的态度(是否支持,创建社区还是加入某社区)、哪些应用可以开源,哪些应用可以使用开源软件;哪些许可证类型的开源软件可以使用、审查流程等。从而最大限度的避免公司的知识产权侵权风险。

本文版权属ThoughtWorks公司所有,如需转载请在后台留言联系。

本文分享自微信公众号 - 思特沃克(TW-Insights)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-06-07

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 技术行业的宏观趋势|TW洞见

    于舟(译) ThoughtWorks 我们每半年发布一次技术雷达:它是所有我们认为横跨业界当下和将来的相关重要技术的快照。我们从世界各地召集了约20位最有资历的...

    ThoughtWorks
  • 敏捷实践Showcase的七宗罪|TW洞见

    今日洞见 文章作者/图片来自ThoughtWorks:林冰玉,部分图片来源于网络。 本文所有内容,包括文字、图片和音视频资料,版权均属ThoughtWorks公...

    ThoughtWorks
  • Software is Worthless|洞见

    于晓强 ThoughtWorks 在一个周六的晚上,同事的一段文字让我思绪万千,沉寂了十几年的写作冲动,就这样被这段文字唤醒了,虽然已经0点过半。 1 不断萦绕...

    ThoughtWorks
  • 0513-开源软件如何统治世界

    就在5年前,投资者对于开源软件这种商业模式依旧持怀疑态度。他们都认为Redhat就像一片雪花(意指看上去很美腻,但随时可能化为虚无),当时也没有其他开源公司在软...

    Fayson
  • 开源软件将吞噬世界的10个原因

    开源的软硬件一定会大方光彩,开放才能共赢 最近,文章作者参加了在旧金山举行的Facebook F8开发者大会,在那里得到了一点启示:从长远角度看,如果不深入贯彻...

    用户1605515
  • 滴滴开源在2019:十大重点项目盘点,DoKit客户端研发助手首破1万Star

    2018 年,科技企业纷纷布局开源战略后迎来的第一个“丰收年”。但对滴滴来说,2019 年才迎来其第一波开源小高潮。

    AI科技大本营
  • 崇尚开源软件的公司如何从中获益?

    专有软件和开源软件之间的对比与IT行业本身一样古老。几乎所有类别的软件都可以从开发和销售代码的供应商处获得,或者从公开代码的开发人员社区里获得。在过去十年中,对...

    Likenttt
  • 开源也要有备胎!安卓遭禁GitHub会闭源?专家:无需恐慌但要警醒

    昨日,安卓遭禁的新闻引发轩然大波。随后,开源中国在其博客中指出:Apache 许可证分发的软件也受美国出口管制。

    新智元
  • TODO指南:开源阅读清单

    牛津大学出版社 作者:Henry William Ches- brough(2014)

    CNCF
  • 开源, 一种全新的创业模式,正在悄然袭来

    开源是一种新的开发模式,在源头上的确为不少创业公司解决了技术与产品原型的启动、成本、质量、更新迭代时间、早期用户拓展的一些问题。

    开源社

作者介绍

精选专题

活动推荐

扫码关注云+社区

领取腾讯云代金券