-
-
[原创]盘点|2021年开源协议热门事件
-
发表于: 2022-2-9 11:20 5768
-
近年来,开源软件在国内外发展迅速,正在走向成熟,开始与传统私有软件形成并存的态势,甚至在某些领域内逐渐成为主流。但开源软件并不等于无限制的自由使用,必须在遵循相关开源协议的基础上注重知识产权保护。
目前国际上开源许可协议有80多种,总体上可分为宽松式(Permissive)和著佐权(Copyleft)两种。这些开源许可协议在具体开源条款上存在较大差异甚至冲突,如果不认真分析和甄别,很容易陷入许可协议条款冲突引发知识产权风险。
在过去的2021年,开源协议热门事件有哪些?跟随棱镜七彩一起来看看吧!
一、Elastic更改开源协议遭吐槽
2021年1月15日,全球著名的大数据搜索与实时处理公司Elastic公司CEO Shay Banon突然发文宣布, Elasticsearch和Kibana的其中一项开源许可协议将发生变更。从 Apache 2.0 许可源代码协议修改成服务器端公共许可(Server Side Public License,SSPL)和 Elastic 许可的双重许可,由此可以让用户可以选择要应用的许可。
SSPL 是 MongoDB 设计的许可证,它基于 GPLv3,被认为是 Copyleft License,其核心条款是“如果将程序的功能或修改后的版本作为服务提供给第三方,那么必须免费公开提供服务源代码”。
Elastic License 是非商业许可证,核心条款是如果将产品作为 SaaS 使用则需要获得商业授权。根据 FAQ ,使用 Elasticsearch 作为后端的项目不受到此次许可证变更的影响。
同时,根据 Elastic 官方信息,从 7.11 版本开始,两个产品的所有维护分支,默认发行版将继续使用 Elastic 协议。
据悉,此次许可协议变更对大部分免费使用默认发行版的社区用户没有影响,主要限制的是云服务提供商。
此次Elastic修改开源软件许可协议,必然会对使用Elasticsearch和Kibana的大量用户生产重大影响,尤其会对公有云上的用户造成冲击。如何规避影响,保证应用稳定持续运营是大量的中国用户面临的一个主要问题。
另外,在开源软件得到大量应用的情况中,用户不得不面对开源软件协议修改带来的巨大风险。
有开发者吐槽表示:“Elasticsearch 属于社区中的 1573 位贡献者,这些贡献者保留其版权,并授予 Elastic 不受限制地分发其作品的许可。开源是社区的工作......Elastic 更改协议是为了获得更多的钱,是为了建立对 Elasticsearch 的垄断...... 这是反开源的举动。Elastic 的行为辜负了社区,辜负了大家的信任。"
二、知名科技博主Naomi Wu(机械妖姬)上门讨要源码
2021年8月,国内智能设备制造商 UMIDIGI 因违反 GPLv2 协议引发争议,并告知开发者“想要源码上门自取”。
而后,知名科技博主 Naomi Wu(机械妖姬)表示愿意提供帮助,并真的跑到了 UMIDIGI 的办公室帮 Patrycja 索取内核源码,并把这个过程拍成了视频放在网上。
机械妖姬表示,Android 内核基于开源协议,而 Umidigi 的业务也与之密切相关,因此需要提供相关源代码。如果不提供的话,会引起外国友人们的误会,会认为中国人在窃取他们的 IP。
经过后续的沟通,机械妖姬拿到了源代码。目前源代码可从 Umidigi 官网或 GitHub 上获得,有条件的开发者可以亲自审查一下代码是否有问题。
三、国内首次明确GPL3.0协议的法律效力
福建风灵公司使用了罗盒网络科技有限公司附带GPL v3协议的开源代码,却没有遵守GPL v3协议规定的使用条件,罗盒网络科技有限公司随即提起诉讼。
2021年9 月,一起关于GPL版权纠纷案裁判文书公示。在一审中,法院指出GPL 3.0协议是一种民事法律行为,具有合同性质,可认定为授权人与用户间订立的著作权协议,属于我国《合同法》调整的范围。
法院称,被告使用了附带GPL 3.0协议的开源代码,却拒不履行GPL 3.0协议规定的使用条件,根据GPL 3.0协议第8条自动终止授权的约定及《民法总则》第一百五十八条的规定,被告通过该协议获得的授权已因违反协议而自动终止,被告因失去权利来源而构成侵权。
一审判定两侵权被告公司赔偿原告公司经济损失及维权合理费用共计50万元,并停止侵权行为。
此判例称得上是国内首个明确GPL 3.0协议的法律效力的案例。广东省深圳市中级人民法院认为,明确违反开源软件许可证的侵权法律责任,一方面可以及时制止侵权行为,防止他人对开源软件的不正当利用,另一方面能够有效保护授权人的利益,使他们保有继续创作的动力,促进源代码共享和知识的传播。
四、Vizio违反 GPL,软件自由保护协会提起诉讼
2021 年 10 月 19 日,软件自由保护协会(Software Freedom Conservancy )宣布,Vizio 不符合通用公共许可证 (GPL) 的基本合规要求,将对电视制造商 Vizio 提起诉讼。
该诉讼称,Vizio 电视产品基于其 SmartCast 系统,由于 SmartCast OS 本身是基于 Linux 开发而来的,而且 Linux 又受到了 GPLv2 的保护。因此根据 GPL 协议,任何开发者对源码的任何修改都需要开源。所以 Vizio 应该公开 SmartCast OS 的源代码,但是 Vizio 却拒绝遵守该协议要求。
软件自由保护协会表示,他们早在 2018 年 8 月就已告知 Vizio 因没有公布 SmartCast OS 的源代码而违反了 GPLv2 的规定。然而经过长时间的交涉,Vizio 不仅拒绝遵守该协议,而且从 2020 年 1 月起就完全停止对他们的询问做出回应。
软件自由保护协会执行董事凯伦·桑德勒(Karen Sandler)表示,该诉讼案不寻求金钱赔偿。他们此次以消费者的角度发起诉讼,只是为了捍卫GPL协议的尊严。
Sandler认为,Vizio 公司如果不公开源代码,软件一旦出现问题或 Vizio 停止维护SmartCast 系统,无论消费者是否拥有技术背景,都将丧失软件的修复权。
Sandler 还强调:“这次诉讼突显了维护消费者权利方面所具有的独特性和历史性。我们请求法院要求 Vizio 履行其在版权合规要求下的义务。在过去的诉讼中,原告一直是特定 GPL 代码的版权所有者,SFC 希望通过此次诉讼证明,不仅是版权所有人具有权利,消费者/用户也同样享有该权利。”
五、TikTok Live Studio 使用OBS源代码,违反GPL协议
2021年12月,有推特用户称TikTok最新上线的软件TikTok Live Studio疑似使用了OBS (Open broadcasting Software)的源代码,但是却没有遵守相关的开源许可条款。
OBS Studio是一款流媒体推送工具软件,能够完成直播的各种操作。根据GitHub显示,OBS是基于GNU通用公共许可证v2(简称GPLv2)分发的。
据了解,OBS使用的GPLv2开源许可证具有很强的传染性。GPLv2许可证协议支持获取源码的自由,要求二次分发项目也必须开源。包括Reddit在内的许多公司也使用OBS Studio代码来构建自己的直播流媒体软件,而根据OBS Studio发布的GPL条款,这些公司都必须公开任何修改后的源代码。
然而,TikTok最新推出的「TikTok Live Studio」似乎没有遵守GPLv2开源协议。从技术上讲,TikTok可能只是在底层使用了OBS代码,而不是一个完整的分支,但无论如何GPL都适用。
OBS的业务开发经理Ben Torell称,从TikTok流媒体应用程序的完整反编译可以看出,它在实际构建中使用了OBS代码的几个实例,例如游戏捕获。他表示,还有一些功能也疑似参考了OBS的代码。此外,Ben Torell认为,TikTok Live Studio似乎还使用了其他GPL的产品。
Ben Torell称已经联系了TikTok,但尚未得到回应。
对于TikTok疑似违反开源协议的行为,OBS业务开发经理Ben Torell发文称:“我们承诺真诚地处理违反GPL的行为,对于TikTok/Bytedance,只要他们遵守许可,我们很乐意与他们建立友好的工作关系。”
六、意大利法院认可GPL协议的法律效力
2021年12月13日,意大利威尼斯法院在一起涉及GNU通用公共许可证(简称GPL)的案件中,确认了开放源码软件许可协议的法律效力。GPL是最著名的开放源码许可协议之一,该案件也成为了这个国家的一个标志性判例。
这起案件的原告是总部设在意大利的有限责任公司Ovation,其开源的Dynamic.oo是用于构建WordPress网站的开源 Elementor平台的插件。该公司基于GPL v3许可证分发了该软件。
根据GPL v3协议,被授权人可以基于程序源码进行修改,但是如果想要分发修改后的软件,就必须带有醒目的修改声明以及相应的日期。
而根据原告公司的说法,两名前雇员在重新分发该软件的时候,并没有遵守GPL开源许可协议:被告方重新分发该软件时,没有包括对原始作品的确认,没有提供有关被告对软件所做更改的信息,也没有提及该软件的版权所有者。Ovation补充说:“被告还无视法院发出的正式终止通知。”
经过审判,法院除了命令被告在软件符合许可协议要求之前停止分发软件外,还规定了被告延迟执行判决结果的罚款:在最初的15天内,被告每拖延一天,就会被罚款100欧元(约人民币720元),超出15天的期限后,罚款将增加到每天300欧元(约人民币2165元)。最后,法院还命令被告支付原告的诉讼费用,金额超过5000欧元(约人民币36,070元)。
这意味着,威尼斯法院认可了GPL许可证的法律价值,这是朝着保护自由软件(Free Software)迈出的重要一步,“自由”并不意味着不受任何限制。
违反GPL开源协议的事件已经屡见不鲜,知识产权带来的风险应该引起高度重视。我们应当清醒地意识到,开源软件≠公共软件,使用开源软件应当严格遵守其许可证的条款,否则会面临严重的法律风险。由此,业界对开源许可证的治理需求愈加显著。
目前开源许可证治理中存在开源许可证条款晦涩难懂、开源许可证声明方式不规范、不同使用场景/业务逻辑下的许可证解读差异、混淆代码检测能力不够强、开源项目众多且相互引用,溯源困难、开源许可证问责难、开源许可证解决方案匮乏、国内暂无对软件版权进行检测的工具等问题。考虑到上述痛点,棱镜七彩开发了开源合规治理工具FossLicense。
FossLicense 基于棱镜七彩收录的开源软件知识库、许可证知识库、以及大数据技术和独有的检测引擎技术对检测项目进行静扫分析,得到检测项目的许可证、版权信息、分析其许可证兼容性问题,通过同源分析对许可证、版权篡改进行分析,确保开源软件的合规使用。
棱镜七彩专注开源软件治理,牢牢抓住软件源代码安全的根源问题,以源代码安全为核心基础立足网络安全行业,同时以开源安全与合规治理、信创代码自主率测评鉴定等业务,全面深耕于开源生态。除上述提及的开源合规治理工具FossLicense外,棱镜七彩还开发了开源成分与安全检测工具FossCheck,主要功能包括软件成分分析、开源项目溯源、开源安全漏洞检测、开源许可证检测,适用于软件供应链安全检测、信创自主可控测评、项目审计;以及左移开发安全工具FossEye,秉承了DevSecOps安全理念,实现软件全生命周期的开源软件安全、合规管理,可与代码仓库联动,识别开发过程中使用到的第三方开源组件、形成组件资产清单、发现组件安全风险与许可证风险并自动化修复。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)