今年來(lái)，開源的熱度持續(xù)快速上升。開源給各大企業(yè)、組織帶來(lái)了諸如迭代更快、成本更低、質(zhì)量更高的收益；然而，企業(yè)在合規(guī)使用開源軟件的過(guò)程中，也會(huì)面臨一系列知識(shí)產(chǎn)權(quán)風(fēng)險(xiǎn)，這些風(fēng)險(xiǎn)主要源于開源許可證的傳染性特征、不同開源許可之間可能存在的不兼容性，以及開源軟件使用規(guī)則中所蘊(yùn)含的不確定性等因素。

01.什么是開源許可

開源許可是一種針對(duì)開源軟件使用者的約束，目的在于規(guī)范受著作權(quán)保護(hù)的軟件的使用或者分發(fā)行為。

常見的開源許可，如下圖1中所示。這些許可證，主要分為permissive license（寬松許可）和Copyleft許可（作者保留一定的版權(quán)，在任何派生作品中繼續(xù)應(yīng)用相同的條款），它們對(duì)知識(shí)產(chǎn)權(quán)使用、修改和分發(fā)的場(chǎng)景作出相應(yīng)的約束。

這些不同的許可之間，上文已提及可能會(huì)存在不兼容、傳染性（即某個(gè)開源組件被某個(gè)應(yīng)用使用后，該應(yīng)用必須遵循該開源組件所使用的許可證或部分許可規(guī)則）差異等因素，如圖2中所示。因此，在企業(yè)或者組織中，使用開源組件或依賴時(shí)，往往會(huì)面臨各種合規(guī)性風(fēng)險(xiǎn)。那么，如何在研發(fā)過(guò)程中提前識(shí)別并規(guī)避此類許可風(fēng)險(xiǎn)呢？下文將接著展開論述。

02.怎么做來(lái)規(guī)避許可風(fēng)險(xiǎn)

對(duì)于企業(yè)、研發(fā)組織或者個(gè)人而言，為了規(guī)避上文提到的許可風(fēng)險(xiǎn)，應(yīng)該做好哪些工作呢？筆者從以下三點(diǎn)給出建議：

1. 在使用開源軟件時(shí)，選型過(guò)程需要格外謹(jǐn)慎，務(wù)必關(guān)注對(duì)應(yīng)軟件的開源許可證的內(nèi)容和條件，以規(guī)避潛在的法律風(fēng)險(xiǎn)。
2. 對(duì)于企業(yè)而言，需要對(duì)開源應(yīng)用建立好完善的管理機(jī)制，明確對(duì)應(yīng)的開源許可證及權(quán)利約束，以便及時(shí)規(guī)避潛在的合規(guī)風(fēng)險(xiǎn)。
3. 為避免開源許可證的傳染，企業(yè)可以采取隔離機(jī)制。例如，在使用某些特定許可證(如MPL)下的開源代碼時(shí)，應(yīng)將相關(guān)許可證要求的代碼單獨(dú)放置在獨(dú)立文件中，以防止許可傳染;另外，對(duì)于部分許可證，企業(yè)還可以通過(guò)動(dòng)態(tài)鏈接的方式使用該許可下的開源代碼。

對(duì)于企業(yè)或者個(gè)人而言，要做到以上三點(diǎn)，實(shí)際上都需要借助一個(gè)工具或方案來(lái)識(shí)別實(shí)際研發(fā)過(guò)程中所使用的開源軟件是否合規(guī)。接下來(lái)，我們將進(jìn)一步詳細(xì)介紹開源制品的許可掃描的處理方案。

03.制品掃描的方案

在實(shí)際生產(chǎn)中，為了應(yīng)對(duì)許可風(fēng)險(xiǎn)，我們可以借助類似Trivy、Murphysec等開源工具，來(lái)掃描項(xiàng)目中使用的依賴，這些工具能夠一鍵識(shí)別出項(xiàng)目中所有的開源組件，并且列出它們所對(duì)應(yīng)的許可證信息。

獲得掃描結(jié)果后，我們可以在許可證信息的基礎(chǔ)上，進(jìn)一步補(bǔ)充說(shuō)明許可風(fēng)險(xiǎn)信息。在這一步驟中，不同的組織或者團(tuán)隊(duì)會(huì)有兩種不同的處理方式：一種是明確標(biāo)記出許可證合規(guī)的風(fēng)險(xiǎn)等級(jí)；另外一種則是不標(biāo)記等級(jí)，而是直接標(biāo)注是否合規(guī)。這樣，在項(xiàng)目中可以通過(guò)查看許可證合規(guī)風(fēng)險(xiǎn)的提示信息，來(lái)判斷項(xiàng)目是否存在不合規(guī)的情況。

在項(xiàng)目實(shí)踐中，上述的掃描方案通常會(huì)被集成于制品庫(kù)產(chǎn)品中，與制品的安全掃描（即漏洞掃描）場(chǎng)景合為一個(gè)場(chǎng)景進(jìn)行處理。制品的掃描結(jié)果（涵蓋了漏洞安全掃描和許可證掃描）可以被整合為制品的質(zhì)量規(guī)范，依據(jù)該規(guī)范，可以指定制品的準(zhǔn)入或者準(zhǔn)出的門禁。基于這樣的門禁機(jī)制，制品的合規(guī)性在很大程度上可以通過(guò)自動(dòng)化的方式有效避免。

綜上所述，各企業(yè)和個(gè)人若能做到文中所述的幾點(diǎn)，那么在制品合規(guī)風(fēng)險(xiǎn)上就不必再如履薄冰；此外，文中提及的制品掃描解決方案和實(shí)踐方式，在一定程度上能夠提升制品合規(guī)的生產(chǎn)效率和準(zhǔn)確性。