開源是近年來大火的詞匯。自2017年7月Facebook的React開源軟件被Apache基金會(huì)宣布禁止使用、百度也宣布全面停止使用以來，開源軟件的合規(guī)性使用引發(fā)了大家的關(guān)注。

我們以React為例，看看開源軟件的坑在哪里。

一、React的開源許可證

React最初的開源許可證為Facebook 在BSD許可證基礎(chǔ)上附加了專利防御保護(hù)條款，即BSD+Patents license。

1. 解讀

原許可證在著作權(quán)授權(quán)使用(BSD)的基礎(chǔ)上添加了防御性專利侵權(quán)條款(Patents)，寫明在以下三種情況下Facebook授予被許可人的專利權(quán)將被撤回：

如果被許可人對Facebook及其子公司、關(guān)聯(lián)公司提出直接或間接的專利訴訟;

對其他方提起專利訴訟，且該專利訴訟全部或部分起因于Facebook、其子公司或者關(guān)聯(lián)公司的任何軟件、技術(shù)、產(chǎn)品或服務(wù);

就React軟件相關(guān)發(fā)起專利訴訟，起訴其他方。

通俗的可以理解為：只要因?yàn)槟闾崞饘＠V訟，讓Facebook成為被告或者第三人，F(xiàn)acebook都可以撤回React的專利授權(quán)。

許可證及后續(xù)Facebook的答疑中明確專利權(quán)在以下情形下不會(huì)被撤回：

被許可人使用React創(chuàng)造了競爭產(chǎn)品;

被許可人就專利侵權(quán)之外的事項(xiàng)起訴Facebook;

Facebook作為專利訴訟(非因BSD+Patents license授權(quán)下的軟件相關(guān))的原告，被許可人反訴的情形。

另外，F(xiàn)acebook也明確了專利授權(quán)的終止并不會(huì)導(dǎo)致著作權(quán)許可的終止。

2. 質(zhì)疑漩渦

Apache基金會(huì)在2017年7月禁止Apache 產(chǎn)品中使用遵循BSD+Patents License的JAR包。質(zhì)疑漩渦進(jìn)一步發(fā)酵，社區(qū)激烈地質(zhì)疑Facebook違背了開源的精神。

雖然并沒有現(xiàn)成的案例可以支持。然而，引起大家擔(dān)憂的是從許可證文本約定來看，如果某公司強(qiáng)依賴性使用React，則Facebook可以自由使用該公司的所有專利。因?yàn)橹灰摴景l(fā)起對Facebook的專利訴訟，該公司的React的專利授權(quán)就會(huì)被撤回。

在持續(xù)發(fā)酵的情況下，F(xiàn)acebook承諾更換許可證，并于9月26日遵守承諾在發(fā)布React16時(shí)更換為MIT許可證。然而，對Facebook還堅(jiān)持使用原許可證的開源項(xiàng)目，仍然應(yīng)該引起關(guān)注?？傮w而言，React許可證的更換不僅是開源社區(qū)的一次勝利，更是提高了企業(yè)、開發(fā)者對許可證重要性的認(rèn)識(shí)、起到了警示作用。

二、如何正確使用開源軟件

1. 關(guān)注開源軟件使用的合規(guī)性

同開源軟件的廣泛使用相對應(yīng)，開源許可證的遵守情況卻不容樂觀。從法律的角度來講，使用者自引入某開源軟件的時(shí)刻起，其開源許可證將自動(dòng)適用。使用者如未履行許可證規(guī)定的義務(wù)(如加入版權(quán)說明)，即構(gòu)成侵權(quán)，或者違反契約(合同)的行為，并因此可能造成許可證的撤回并承擔(dān)相應(yīng)的賠償責(zé)任。

例如Netfilter核心開發(fā)者團(tuán)隊(duì)的 Patrick McHardy，以違反GPL許可證為理由，在德國威脅超過80家公司，并謀利約200萬歐元。事后Patrick McHardy被定義為“GPL謀利-版權(quán)謀利者”。2016年12月16日美國的軟件自由法律中心(Software Freedom Law Center)起訴包含三星在內(nèi)的14家廠商違反GNU許可證。在中國國內(nèi)，小米公司也因?qū)掖芜`反開源協(xié)議而被社區(qū)指責(zé)。從以上案例中也可以看出國內(nèi)外企業(yè)對開源許可證的義務(wù)、法律責(zé)任均認(rèn)識(shí)不足。

綜上，未按照開源許可證約定使用開源軟件會(huì)引發(fā)潛在的法律糾紛，或者給企業(yè)帶來名譽(yù)損失。因此，企業(yè)在使用開源軟件時(shí)應(yīng)建立審查制度。依據(jù)開發(fā)軟件的用途、目的、市場等情況判斷是否引入某開源軟件。

就軟件開發(fā)服務(wù)提供者而言，應(yīng)首先關(guān)注同客戶的合同約定，在合同約定可以使用的前提和范圍下，盡到對客戶的通知義務(wù)或取得客戶的書面同意。以避免因?yàn)槭褂瞄_源軟件導(dǎo)致的合同違約或者被追償。

2. 關(guān)注開源軟件使用的安全性

開源軟件由于貢獻(xiàn)者的能力不同導(dǎo)致可能存在安全漏洞。因此，開發(fā)者在享受開源軟件的便利時(shí)，應(yīng)注意漏洞的識(shí)別，并采取相應(yīng)的代碼安全審計(jì)，并將已披露漏洞及修復(fù)方案及時(shí)告知客戶。

3. 制定開源軟件使用政策

如果公司在業(yè)務(wù)中大量采用開源軟件，則制定并執(zhí)行開源使用政策就變得尤為重要。根據(jù)公司業(yè)務(wù)的不同，政策可以涵蓋公司對開源的態(tài)度(是否支持，創(chuàng)建社區(qū)還是加入某社區(qū))、哪些應(yīng)用可以開源，哪些應(yīng)用可以使用開源軟件;哪些許可證類型的開源軟件可以使用、審查流程等。從而最大限度的避免公司的知識(shí)產(chǎn)權(quán)侵權(quán)風(fēng)險(xiǎn)。