随着越来越多的个人、企业和组织参与开源生态建设,开源社区的开源质量不断提升。为了节省开发时间,提升开发效率,越来越多的工程师和研发人员开始依赖开源社区的开源资源。然而,虽然开源软件好用,但使用不慎可能会带来较大的风险,包括但不限于被迫开源的风险、违约风险以及知识产权风险,本文着重介绍知识产权方面的风险。
一、著作权风险
许多用户在使用开源软件的过程中,没有留意开源软件中的开源协议要求,有可能做出违反开源协议要求的行为,导致侵犯他人的著作权,例如:在对Apache2.0协议的开源软件的源代码进行修改再发布时,由于没有对修改的部分附加修改说明,导致违反了Apache2.0协议的许可要求,进而导致该开源软件的许可终止,用户获得的授权自动终止,用户对修改后的开源软件再发布后即侵犯了在先权利人的著作权。
进一步地,用户也可能因未合规使用开源软件,导致自身的著作权丧失而无法行使权利。许多用户在使用修改开源代码时并未履行相应的开源协议要求,在将修改生成后的软件申请计算机软著权后,权利并不稳定,权利人在行使权利时,很可能遭到使用者提出的开源软件抗辩,有可能导致权利人本应获得到侵权赔偿大打折扣。
二、专利权风险
我们知道,通过著作权可以保护文学、艺术和科学领域内有独创性并能以某种有形形式复制的智力成果,通过发明专利可以保护计算机软件背后的技术构思,许多开源协议并未明示专利许可,同一个开源软件的背后可能有多个相关专利。用户在盲目使用这些开源软件后,虽然可能获得了作者著作权的许可,但还是有可能遭到其他专利权利人的专利诉讼,并收取专利许可费。
进一步地,用户可能会将开源软件修改生成后的软件背后的技术构思申请专利,然而,这样的专利的权利稳定性有待验证;一方面,该开源软件的当前版本及在先版本可能已经被人申请了专利,该部分专利公开后有可能对在后申请的专利的专利性造成一定的破坏,导致在后申请的专利权利不稳定;另一方面,用户可能难以使用申请的专利进行维权,例如,当用户使用的是开源协议为Apache2.0的开源软件时,并对其背后的技术构思申请专利后,由于Apache2.0开源协议存在专利报复条款:“如果被许可人针对任何实体提起了专利诉讼(包括诉讼中提出交叉请求或反请求)声称原始作品或者某一个已经纳入原始作品的“贡献”对被许可人构成直接侵权或帮助侵权,那么本许可证曾经给予被许可人的任何专利许可均会在被许可人提起诉讼之日被终止。”也就是说,当用户使用了这些专利发起诉讼时,获得的开源软件授权即被终止,用户无法继续合规使用这些开源软件。
三、商标权风险
与专利权一样,开源协议通常不会明示商标许可,用户违规使用商标往往是以下几种情况:第一、未经授权擅自使用他人的商标、商号、服务标记等进行软件宣传,导致商标侵权。第二、用户将他人的商标标识删除后,改用自己的商标标识进行替代,导致商标侵权。第三、用户将未经OSI认证的开源许可协议使用了OSI商标,导致商标侵权。当侵犯了他人商标的产品在进入他国海关时,有可能面临被海关扣押的风险。
四、商业秘密泄露风险
大部分企业在软件开发中要求对源代码进行闭源,但实操中往往缺乏对开源代码使用的管控措施,当用户将GPL等具有强传染型的开源代码嵌入到开发的程序中时,有可能导致开发的程序被传染,开发完成的程序面临被迫开源的风险,进而可能导致程序或者代码中的商业秘密泄露。
进一步地,开源社区中的开源代码虽然被多数开发人员筛选排查,携带病毒或者安全漏洞的概率较低,但是用户使用前未经安全检测还是有可能使用到具有安全隐患的开源代码,进而有可能导致商业秘密泄露。
五、防范措施
首先,企业可以建立开源软件代码仓,在对引入的开源软件进行安全风险扫描通过后,按照开源协议的传染能力强弱放入不同风险等级的代码仓,例如, GPL等强传染型开源协议的开源代码放入高风险等级的代码仓,LGPL等互惠性开源许可协议的开源代码放入中风险等级的代码仓,MIT、BSD等宽松型开源协议的开源代码放入低风险等级的代码仓;使用者在调用开源代码时,可以按照实际情况选择不同风险等级的开源代码。
其次,对常见开源协议下的专利、商标等知识产权条款进行截取并建立标签,使用者能够明确了解常见开源协议带有哪些知识产权许可,决策者在判断开源代码是否能够使用时能够具有更综合全面的利弊权衡考虑。
再次,企业还可以在内部建立开源软件的合规使用手册,针对不同类型的开源代码采取不同的防范手段,例如,对LGPL协议下的开源代码,建议采用动态链接的方式调用,以避免除开源代码的修改部分,其他部分也要开源的风险。
最后,企业还需要考虑不同开源协议的兼容性问题,不同开源协议下的许可要求可能是相冲突的,这种情况下的不同开源协议之间彼此无法兼容,一起使用时会导致合规风险。
六、总结
随着开源软件在各行各业中的应用程度越来越深,开源软件方面的诉讼数量也在逐年增加,开源软件是个好东西,但如何用好开源软件还有很多需要注意的事项。
开源的目的是为了鼓励传播,并保留不断创新迭代的活力,正是有这么多开发者心血的积累,才能使得人工智能等领域得到迅速发展进步,企业在索取的同时还需要积极参与开源生态建设,为后来者种下一片可以乘凉的森林。
作者介绍:
陈湘粤 德赛西威 IPR
发表评论 取消回复