2.開源：軟件開發(fā)的基本要素

（1）自由和開源軟件的基本原則。從歷史上看，開源運動源于20世紀(jì)80年代誕生于美國的“自由軟件運動”（free software movement）。相比專有軟件，自由和開源軟件在原則上沒有國籍，因此也沒有邊界。

在開源的許可模式下，用戶可以獲得軟件的源代碼，并且重新發(fā)布、修改和添加，各種限制比專利軟件要少得多。開源軟件也被廣泛用于研究機構(gòu)，因為它可以針對不同的實驗需求進(jìn)行定制和改進(jìn)。

此外，一些開源軟件和組件更是當(dāng)前數(shù)字基礎(chǔ)設(shè)施的核心，并且也存在于眾多私人企業(yè)開發(fā)的專有軟件當(dāng)中。比如Python和Perl編程語言、Linux操作系統(tǒng)、Mozilla Firefox網(wǎng)絡(luò)瀏覽器、MySQL數(shù)據(jù)庫管理系統(tǒng)、Apache HTTP服務(wù)器，以及大多數(shù)Java工具。Linux作為開源模式生命力的代表，每天新增1萬行代碼，5000行被修改。

（2）免費模式和專有模式混合共生。軟件企業(yè)長期不接受免費的自由軟件模式，因為其“違背了知識產(chǎn)權(quán)原則”。然而，從1991年Linux操作系統(tǒng)被推出以來，越來越多企業(yè)和政府將開源代碼納入其產(chǎn)品中，同時也將自己開發(fā)的程序提供給開源社區(qū)。

一個典型的案例發(fā)生在2008年，谷歌推出了基于Linux修改版的安卓手機操作系統(tǒng)。如今，這個系統(tǒng)已被安裝在至少25億臺設(shè)備上。

事實上，當(dāng)前的軟件開發(fā)已經(jīng)是開源組件和專有組件的集合體，一個現(xiàn)代軟件應(yīng)用程序往往會包含至少100個開源組件。一般來說，軟件系統(tǒng)的底層架構(gòu)往往是開放的，而應(yīng)用程序和用戶界面往往是企業(yè)專有的。在這樣的混合結(jié)構(gòu)下，往往很難梳理一個軟件的所有組件。

此外，“自由軟件”不一定意味著“非商業(yè)軟件”。紅帽公司（Red Hat，譯者注：“紅帽”Red Hat是一家開源解決方案供應(yīng)商，通過為開源社區(qū)貢獻(xiàn)力量獲得了巨大的影響力）等也在開發(fā)“商業(yè)性”的開源軟件——在開源許可下開發(fā)產(chǎn)品，并通過向客戶收取贊助、維護(hù)和安裝費用來確保其盈利。

受全球大流行的影響，各國數(shù)字化進(jìn)程加快，風(fēng)險投資基金也更多地投資于生產(chǎn)開源軟件的初創(chuàng)企業(yè)。

最后，開源生態(tài)中的許可證（licenses）類型也在不斷演變。1985年，“Copyleft”許可證（如通用公共許可證，GPL）的概念被提出，它提供了“執(zhí)行、復(fù)制、修改和分發(fā)計算機代碼”的自由，并要求在該軟件的所有衍生版本中維持這些自由。換句話說，這種類型的許可證不允許在Copyleft源代碼的基礎(chǔ)上創(chuàng)建專有軟件。

然而，大型技術(shù)企業(yè)往往偏離這些原則。例如谷歌在Linux的基礎(chǔ)上開發(fā)了安卓系統(tǒng)，但卻沒有制定商業(yè)許可證，從而避免披露對源代碼的修改。

（3）云計算和新興技術(shù)中的開源軟件。開源組件是當(dāng)前云服務(wù)的重要元素，例如，所有的云平臺都在向開源的分布式架構(gòu)解決方案Kubernetes靠攏。

反過來，大型技術(shù)企業(yè)的“云即服務(wù)”（Cloud as a service）模式也在不斷推動開源發(fā)展，因為云平臺從根本上改變了開源技術(shù)的傳播方式，其幾乎可以被視為一個“開源應(yīng)用程序商店”。

此外，開源軟件也將在物聯(lián)網(wǎng)新興技術(shù)的發(fā)展中發(fā)揮關(guān)鍵作用。如今，各種“智能”和“互聯(lián)”設(shè)備數(shù)量飛速增加，在2010年至2020年期間，物聯(lián)網(wǎng)設(shè)備數(shù)量增加了約1000%。

隨著這類設(shè)備的普及，任何類型的企業(yè)可能都有軟件開發(fā)需求，一輛汽車所需的代碼行數(shù)甚至超過了F15戰(zhàn)斗機，并且這些軟件必須是“通用的、開源的、可在異質(zhì)硬件和供應(yīng)商之間重復(fù)使用的，并且實施一套通用標(biāo)準(zhǔn)和API”。

與此同時，開源代碼也是監(jiān)督上述新興技術(shù)的重要方式。歐洲議會在2019年的一份報告中明確指出，有必要將公眾納入人工智能的發(fā)展進(jìn)程，“通過開源來公布所有由公眾資助或共同創(chuàng)立的算法、工具和技術(shù)”，進(jìn)而促進(jìn)對源代碼的審計。

（二）“成也開源，敗也開源”？

1.網(wǎng)絡(luò)安全問題

兩個重大的安全漏洞凸顯了開源組件的網(wǎng)絡(luò)安全問題：2014年的“Heartbleed漏洞”，以及2021年12月的“Log4Shell漏洞”。

Heartbleed漏洞來自加密工具庫OpenSSL代碼中的一個錯誤。這個錯誤自2012年以來一直存在，直到2014年3月被谷歌的安全團(tuán)隊和芬蘭工程師發(fā)現(xiàn)?；谶@個漏洞，用戶名、密碼、私鑰和通過這些證書交換的數(shù)據(jù)等加密內(nèi)容都將暴露。

約有三分之二的網(wǎng)站使用OpenSSL，其中包括各大銀行官網(wǎng)、電商、社交網(wǎng)絡(luò)等。作為互聯(lián)網(wǎng)歷史上最嚴(yán)重的漏洞之一，各界都很難評估這個漏洞被惡意行為者利用的程度。

在2021年12月，一個漏洞影響了Log4J日志軟件組件。該組件被許多基于Java語言的應(yīng)用程序和網(wǎng)站用于記錄設(shè)備上的活動，而這個Log4Shell漏洞將允許網(wǎng)絡(luò)攻擊者控制整個應(yīng)用程序甚至是設(shè)備系統(tǒng)。整個Log4Shell漏洞被稱為“有史以來最嚴(yán)重和最廣泛的網(wǎng)絡(luò)安全風(fēng)險之一”。

雖然項目開發(fā)者在發(fā)現(xiàn)漏洞后的兩周內(nèi)修復(fù)了代碼錯誤，但修復(fù)該漏洞前必須更新當(dāng)前的Log4J版本，而很多用戶正是在此時才意識到自己的軟件和設(shè)備存在該代碼問題。

譯者注：Log4Shell漏洞存在于廣泛使用的Apache Log4j日志庫中。該漏洞允許攻擊者遠(yuǎn)程執(zhí)行代碼，而無需進(jìn)行身份驗證。攻擊者可以通過各種攻擊向量利用此漏洞，包括HTTP請求、電子郵件消息和其他形式的數(shù)據(jù)輸入。該漏洞對全球各種規(guī)模和行業(yè)的組織造成了安全威脅。一些重要的公司和應(yīng)用程序都受到了影響，例如Microsoft、Apple、Google、Amazon、阿里巴巴、網(wǎng)易等。

如今，針對開源軟件的攻擊正在不斷發(fā)展。相比2020年，2021年的攻擊增幅高達(dá)650%。并且新一代攻擊的模式有所變化，其目的是讓軟件開發(fā)者上傳冒用合法文件名稱的惡意軟件，從而滲透到上游的軟件供應(yīng)鏈中。

2.經(jīng)濟(jì)可行性問題

只要是軟件就可能有漏洞，Log4Shell和Heartbleed并不代表開源模式本身的失敗。然而，這些時間也凸顯了開源模式背后經(jīng)濟(jì)模型的不穩(wěn)定性：盡管一些代碼、組件、軟件產(chǎn)品非常流行，甚至已經(jīng)是全球數(shù)字架構(gòu)的骨干，但這些內(nèi)容在很大程度上依賴于開發(fā)者的自愿貢獻(xiàn)——從編寫、維護(hù)到糾錯。

OpenSSL的開發(fā)團(tuán)隊非常小，捐款也越來越少。在Heartbleed事件之后，Linux基金會承諾對OpenSSL提供財務(wù)支持。此外，Log4J早在2014年就暴露出的資金不足問題，也在Log4Shell漏洞后被推到了風(fēng)口浪尖。2022年1月，一位程序員甚至自發(fā)破壞了他正在進(jìn)行的項目代碼，以譴責(zé)開源世界的不穩(wěn)定性。

換言之，目前開源模式并沒有反映出開源軟件所產(chǎn)生的經(jīng)濟(jì)價值。歐盟估計，開源對經(jīng)濟(jì)的積極影響在650-950億歐元之間，2018年的年度投資為10億歐元；如果開源的貢獻(xiàn)增加10%，就會使GDP增加0.4%到0.6%。

因此，更多人呼吁為開源代碼項目找到可持續(xù)的資助模式。例如，大型軟件項目的托管平臺GitHub已經(jīng)推出了“贊助”功能，允許開發(fā)者為他們的工作接受經(jīng)常性的捐贈。然而，而目前的整體趨勢依然是大型科技企業(yè)在介入開源項目，包括收購資源庫平臺。

如前所述，這種私有化趨勢可能違背了開源的基本原則的運作模式。一方面，大企業(yè)直接參與開源項目，會消除貢獻(xiàn)者的多樣性，而一旦企業(yè)放棄項目，整個開源社區(qū)都會受到損失。

另一方面，如果圍繞企業(yè)建立集中化的開源項目，很容易招致國家的更多參與，進(jìn)而導(dǎo)致其他國家的用戶無法訪問存儲庫、代碼或許可證。例如，當(dāng)前俄羅斯用戶因為國際制裁就被暫停了GitHub賬戶。