隨著越來越多的個人、企業和組織參與開源生態建設,開源社區的開源質量不斷提升。為了節省開發時間,提升開發效率,越來越多的工程師和研發人員開始依賴開源社區的開源資源。然而,雖然開源軟件好用,但使用不慎可能會帶來較大的風險,包括但不限於被迫開源的風險、違約風險以及知識產權風險,本文著重介紹知識產權方面的風險。
一、著作權風險
許多用戶在使用開源軟件的過程中,沒有留意開源軟件中的開源協議要求,有可能做出違反開源協議要求的行為,導致侵犯他人的著作權,例如:在對Apache2.0協議的開源軟件的源代碼進行修改再發布時,由於沒有對修改的部分附加修改說明,導致違反了Apache2.0協議的許可要求,進而導致該開源軟件的許可終止,用戶獲得的授權自動終止,用戶對修改後的開源軟件再發布後即侵犯了在先權利人的著作權。
進一步地,用戶也可能因未合規使用開源軟件,導致自身的著作權喪失而無法行使權利。許多用戶在使用修改開源代碼時並未履行相應的開源協議要求,在將修改生成後的軟件申請計算機軟著權後,權利並不穩定,權利人在行使權利時,很可能遭到使用者提出的開源軟件抗辯,有可能導致權利人本應獲得到侵權賠償大打折扣。
二、專利權風險
我們知道,通過著作權可以保護文學、藝術和科學領域內有獨創性並能以某種有形形式複制的智力成果,通過發明專利可以保護計算機軟件背後的技術構思,許多開源協議並未明示專利許可,同一個開源軟件的背後可能有多個相關專利。用戶在盲目使用這些開源軟件後,雖然可能獲得了作者著作權的許可,但還是有可能遭到其他專利權利人的專利訴訟,並收取專利許可費。
進一步地,用戶可能會將開源軟件修改生成後的軟件背後的技術構思申請專利,然而,這樣的專利的權利穩定性有待驗證;一方面,該開源軟件的當前版本及在先版本可能已經被人申請了專利,該部分專利公開後有可能對在後申請的專利的專利性造成一定的破壞,導致在後申請的專利權利不穩定;另一方面,用戶可能難以使用申請的專利進行維權,例如,當用戶使用的是開源協議為Apache2.0的開源軟件時,並對其背後的技術構思申請專利後,由於Apache2.0開源協議存在專利報複條款:“如果被許可人針對任何實體提起了專利訴訟(包括訴訟中提出交叉請求或反請求)聲稱原始作品或者某一個已經納入原始作品的“貢獻”對被許可人構成直接侵權或幫助侵權,那麼本許可證曾經給予被許可人的任何專利許可均會在被許可人提起訴訟之日被終止。”也就是說,當用戶使用了這些專利發起訴訟時,獲得的開源軟件授權即被終止,用戶無法繼續合規使用這些開源軟件。
三、商標權風險
與專利權一樣,開源協議通常不會明示商標許可,用戶違規使用商標往往是以下幾種情況:第一、未經授權擅自使用他人的商標、商號、服務標記等進行軟件宣傳,導致商標侵權。第二、用戶將他人的商標標識刪除後,改用自己的商標標識進行替代,導致商標侵權。第三、用戶將未經OSI認證的開源許可協議使用了OSI商標,導致商標侵權。當侵犯了他人商標的產品在進入他國海關時,有可能面臨被海關扣押的風險。
四、商業秘密泄露風險
大部分企業在軟件開發中要求對源代碼進行閉源,但實操中往往缺乏對開源代碼使用的管控措施,當用戶將GPL等具有強傳染型的開源代碼嵌入到開發的程序中時,有可能導致開發的程序被傳染,開發完成的程序面臨被迫開源的風險,進而可能導致程序或者代碼中的商業秘密泄露。
進一步地,開源社區中的開源代碼雖然被多數開發人員篩選排查,攜帶病毒或者安全漏洞的概率較低,但是用戶使用前未經安全檢測還是有可能使用到具有安全隱患的開源代碼,進而有可能導致商業秘密泄露。
五、防範措施
首先,企業可以建立開源軟件代碼倉,在對引入的開源軟件進行安全風險掃描通過後,按照開源協議的傳染能力強弱放入不同風險等級的代碼倉,例如, GPL等強傳染型開源協議的開源代碼放入高風險等級的代碼倉,LGPL等互惠性開源許可協議的開源代碼放入中風險等級的代碼倉,MIT、BSD等寬松型開源協議的開源代碼放入低風險等級的代碼倉;使用者在調用開源代碼時,可以按照實際情況選擇不同風險等級的開源代碼。
其次,對常見開源協議下的專利、商標等知識產權條款進行截取並建立標簽,使用者能夠明確了解常見開源協議帶有哪些知識產權許可,決策者在判斷開源代碼是否能夠使用時能夠具有更綜合全面的利弊權衡考慮。
再次,企業還可以在內部建立開源軟件的合規使用手冊,針對不同類型的開源代碼采取不同的防範手段,例如,對LGPL協議下的開源代碼,建議采用動態鏈接的方式調用,以避免除開源代碼的修改部分,其他部分也要開源的風險。
最後,企業還需要考慮不同開源協議的兼容性問題,不同開源協議下的許可要求可能是相沖突的,這種情況下的不同開源協議之間彼此無法兼容,一起使用時會導致合規風險。
六、總結
隨著開源軟件在各行各業中的應用程度越來越深,開源軟件方面的訴訟數量也在逐年增加,開源軟件是個好東西,但如何用好開源軟件還有很多需要注意的事項。
開源的目的是為了鼓勵傳播,並保留不斷創新迭代的活力,正是有這麼多開發者心血的積累,才能使得人工智能等領域得到迅速發展進步,企業在索取的同時還需要積極參與開源生態建設,為後來者種下一片可以乘涼的森林。
作者介紹:
陳湘粵 德賽西威 IPR
發表評論 取消回複