根据美(mei)国Apache软件基金会(hui)负责人David Nalley的(de)说法，“开源不(bu)仅是软件行业(ye)的(de)重要组成部分，而且是现代全球经济的(de)基础之一”。此外，所(suo)有新兴(xing)技术(shu)，如人工智能和(he)物(wu)联网，都在广泛应用开源的(de)资源。因此，“开源”这一现象的(de)战(zhan)略重要性将持续增加。

（译者(zhe)注：开源软件是指可以公开访问其源代码(ma)的(de)软件，这意味着任(ren)何人都可以查看、修改和(he)共享它。它通常由社(she)区开发(fa)，并遵循自由和(he)开放的(de)协议。开源代码(ma)和(he)组件是开源软件的(de)基础，因为软件是由这些组件和(he)代码(ma)组合构建而成的(de)。开源组件也是开源代码(ma)的(de)一种形式，因为组件通常包含(han)开源代码(ma)。）

这一事实(shi)提出(chu)了几个问题。为什么开源软件能够成为全球数字基础设施和(he)经济的(de)一个结构性元素？如今的(de)全球开源生态系统是如何运作的(de)？开源生态和(he)占主导地位的(de)私(si)营企业(ye)之间存在哪些合作和(he)紧张关系？政府是如何处理上述(shu)问题的(de)，及其做法会(hui)对开源生态系统带来(lai)什么影响(xiang)？

如今，开源软件相(xiang)关的(de)网络安全、经济与(yu)创新问题已不(bu)言而喻。开源模式为软件开发(fa)带来(lai)了巨(ju)大利好，涉及速度、质(zhi)量、组件的(de)透(tou)明度、可能的(de)漏洞、交互性、使用自主性等各个方面。

也正是因为如此，开源具有众(zhong)所(suo)周知的(de)弱点(dian)：即便是在很多关键性、基础性的(de)开源项目中，其主要贡献者(zhe)和(he)维护者(zhe)都是自发(fa)的(de)志愿者(zhe)。

因此，私(si)营企业(ye)越(yue)来(lai)越(yue)关注开源项目，并为充分利用这一资源做出(chu)了具体战(zhan)略。出(chu)于实(shi)际和(he)经济的(de)原因，大型(xing)科技企业(ye)率(lu)先介入了开源生态系统的(de)构建和(he)治理，如今已经成为其中的(de)支柱。事实(shi)上，如今的(de)全球开源生态系统正是围绕着（私(si)营企业(ye)相(xiang)关的(de)）大型(xing)基金会(hui)和(he)代码(ma)库而组织的(de)。

各数字大国政府长期关注开源问题，但也是近期才逐步意识(shi)到开源软件的(de)战(zhan)略地位。通过分析美(mei)国、中国和(he)欧洲的(de)案例表明，政府对开源生态系统的(de)参与(yu)不(bu)仅是被动地应对现实(shi)问题，而且越(yue)发(fa)政治化(hua)，表露(lu)出(chu)维护政府对国家安全、国际影响(xiang)或数字主权的(de)雄心。

然而，对于公共部门而言，在“确保关键开源组件的(de)普及”、“开发(fa)‘主权’技术(shu)”、“防范开源软件的(de)去(qu)中心化(hua)风险”三者(zhe)之间，依然存在明显的(de)矛盾。

开源软件的(de)崛(jue)起、机遇与(yu)挑战(zhan)

关于软件的(de)开发(fa)和(he)分配有着两(liang)种主要的(de)许可模式：专有软件（proprietary software）和(he)开源软件。基于此也诞生了相(xiang)应的(de)经济和(he)政治制度。

起初，专有软件占据主导地位，但因为其明显的(de)局(ju)限性（如经济成本高(gao)、风险大），开源软件在过去(qu)的(de)二十(shi)年里迅速崛(jue)起。

如今，很多开源代码(ma)和(he)组件已经成为全球数字基础设施的(de)核心。在现实(shi)的(de)软件开发(fa)过程中，两(liang)种模式也逐渐(jian)混合化(hua)，已经很难直接将这两(liang)种模式区分开来(lai)。

然而，开源生态系统时常发(fa)生巨(ju)大的(de)网络安全漏洞事件，并且对某些关键组件也缺乏相(xiang)关维护资源，这些都导致了企业(ye)和(he)政府对该系统的(de)关注与(yu)日俱增。

（一）“开源”成为数字经济的(de)核心基础设施

1.为何要寻求专有软件模式的(de)替代方案？

从(cong)20世纪70年代互联网时代的(de)到来(lai)，到20世纪90年代末，专有软件大量涌现并成为主导。专有软件通常由私(si)人实(shi)体开发(fa)，以获取商业(ye)利益。

软件（尤其是通过云计算提供(gong)的(de)软件）通过许可制度（licensing），以付费订阅的(de)方式被提供(gong)给客户。软件出(chu)版(ban)商的(de)其他收入来(lai)源还(hai)有维护合同，以及销售相(xiang)关服务、“高(gao)级”功能和(he)广告(gao)等。在该模式中，用户一般无法获得(de)软件的(de)源代码(ma)，因此不(bu)能检查或修改软件。

此后，专有软件的(de)主导地位受(shou)到了挑战(zhan)。对用户来(lai)说，专有软件模式带来(lai)了一系列问题和(he)风险，而全球地缘政治竞争更是增加了依赖专有软件的(de)风险。

当某些专有软件是由外国公司(si)生产的(de)时候(hou)，问题更加突出(chu)：网络安全风险的(de)能见度相(xiang)对更低(di)（因为不(bu)开放代码(ma)和(he)后台运营详(xiang)情），用户权益保护和(he)争端解(jie)决依赖域外立法（特别(bie)是关于软件使用产生的(de)数据处理），专有软件的(de)交易和(he)使用受(shou)到地区限制（出(chu)于数据保护、政治、国家安全等原因）。

（1）激增的(de)网络和(he)物(wu)理风险。专有软件和(he)开源软件在安全方面各有优劣，使用范围是影响(xiang)安全性的(de)首要因素。

很多专有软件往往拥(yong)有特殊权限，甚至(zhi)能够直接进入网络和(he)设备。例如，由SolarWinds公司(si)开发(fa)的(de)Orion软件是对信息系统进行性能监(jian)控的(de)平(ping)台，安装在美(mei)国成千(qian)上万的(de)组织中，其中包括美(mei)国政府。在2020年12月一个针对Orion的(de)恶意软件被曝光时，网络攻击者(zhe)早已通过该平(ping)台接入各大组织的(de)网络和(he)系统，并且获取相(xiang)关数据长达数月之久。

在物(wu)联网兴(xing)起的(de)背景下，嵌入式软件的(de)风险也随之上升。例如，在2018和(he)2019年波音737 MAX的(de)一系列飞机的(de)事故中，部分就是由飞机软件的(de)错误造成的(de)。

随着智能家居、自动驾驶(shi)的(de)领(ling)域的(de)快速发(fa)展，相(xiang)关物(wu)理层面的(de)网络安全问题也会(hui)越(yue)来(lai)越(yue)多。

（2）用户与(yu)政府加强数据保护。专有软件还(hai)涉及数据保护的(de)相(xiang)关问题，因为这些数据往往容易被轻易流出(chu)，甚至(zhi)未经许可就被其他人利用。

此外，专有软件还(hai)可能存在后门，能够接入各种硬件设备，并且难以被检查出(chu)来(lai)。欧洲监(jian)管当局(ju)此前对基于云计算平(ping)台提供(gong)的(de)“软件即服务”（Software as a service, SaaS）模式进行了摸排，发(fa)现很多软件供(gong)应商受(shou)到本国法律规定，会(hui)强制将用户数据传(chuan)送给其所(suo)在国当局(ju)。例如，美(mei)国的(de)谷歌(ge)、亚马逊和(he)微软等大型(xing)云服务提供(gong)商都有类似(si)问题。

此外，一般的(de)手机应用程序的(de)后台数据往往也会(hui)受(shou)到开发(fa)商政府的(de)监(jian)管和(he)审查。

（3）贸易和(he)使用限制在增加。随着全球地缘政治局(ju)面的(de)变化(hua)，来(lai)自某些国家的(de)专有软件的(de)贸易和(he)使用限制在增加。例如，美(mei)国的(de)出(chu)口管制政策已经从(cong)“军事领(ling)域”拓展到更多用于工程和(he)技术(shu)发(fa)展的(de)领(ling)域，软件领(ling)域也受(shou)到其波及。

根据美(mei)国《外国直接产品规则(ze)》（FDPR），向中国和(he)其他国家（重新）出(chu)口某些使用美(mei)国机器或软件开发(fa)的(de)产品需要美(mei)国的(de)许可证。此外，根据技术(shu)转让限制，如果用户使用在线服务时在不(bu)知情的(de)情况下向外国传(chuan)输了数据，该用户也可能在无意中违反(fan)了某些限制。