删库跑路、“投毒”、改协议，开源有哪几大红线千万不能踩？作者|彭慧中责编|屠敏出品|C

文章图片
作者|彭慧中责编|屠敏出品|CSDN（ID：CSDNnews）开源协议是开源世界里的根基。根据CSDN《2021-2022中国开发者调查报告》数据显示，尽管目前已有94%的开发者使用开源软件，但近30%开发者并不了解开源协议， 60%对于主流开源协议MIT、GPL与Apache开源协议的区别并不清楚。

文章图片
随着开源近些年来急速发展，国内外开源违规事件也层出不穷：；种种案件均让我们愈发感受到加速推动开源合法合规的形势严峻。开源软件在追求“自由”的同时，不能牺牲开源工作者的利益，否则将会影响他们的创造激情。
那么，开源协议的法律边界究竟在哪，如何避免踩雷？面对市面上层出不穷的开源协议开源开发者应当如何选择？企业使用开源软件合规风险如何规避？
本期CSDN重磅打造开源直播栏目《开源圆桌派》以“改协议、删库、投毒，开源有哪几大红线千万不能踩？”为主题，邀请到了开源社2021理事长庄表伟、ASFMember,Apache孵化器导师郭炜、资深知识产权律师邓超，在CSDN《新程序员》执行总编唐小引的主持之下，带大家了解开源的红线究竟在哪，以及应当如何规避开源风险。
眼花缭乱的开源协议从何下手？唐小引：目前市面上主流开源协议有哪些，有什么样的特点？
【删库跑路、“投毒”、改协议，开源有哪几大红线千万不能踩？】郭炜：对于哪些是真的开源协议，近期也有很多争议，特别是美国法院判决“未获OSI（开放源代码促进会， OpenSourceInitiative ，简称OSI）许可的开源是「假开源」”一事引发了热议。但通常意义上来讲，主流开源协议一般都经过OSI认可。
主流的开源协议包括：GPL、BSD、MIT、ApacheLicense等，协议中有几个重要的要素：
第一是开源时需要负哪些责任；
第二是涉及二次传播时是否也必须开源，以及应该用什么样的名字去开源？
目前，我们中国的木兰宽松许可证也是被OSI认可的，因此，大家可以在OSI标准的网站上去选择与自己相关的开源协议。
邓超：从法律的角度，中文的“开源”和英文的“OpenSource”是一个公用词汇，谁都可以用，不能被任何人所垄断。而只有OSI认证的，才可拥有OSI的商标。 OSI可以列出10个标准，并按标准认证一些许可证，大家可以说这些许可证是OSI认证的，但是OSI不能垄断“开源”这个词。因为“开源”就像“可乐”一词一样，谁都可以使用，只有涉及“可口可乐”时才算是用了其商标。
我个人不认为“开源”和“OSI”能够画等号，如果大家都认为只有OSI认证的协议才能叫开源，事实上相当于把“开源”这个词专有化了。
唐小引：主流的开源协议有哪些区别，以及在使用这些License时，有哪些注意事项？
郭炜：这是我画的一个图，对常见的许可进行了分类，主要从两个维度进行切入：一是从修改代码是否遵循开源的角度；二是使用服务是否遵循开源的角度。

文章图片
从这两个角度看，不同的协议要求各不相同。
总体来说，开源协议众多，但在选用时可以根据自身的目的来考虑。如果开发者要想实现商业化，那么可以选择在右侧的BSD、MIT、Apache等协议，你可以基于这些开源软件做自己的商业软件，而不需要把你的商业软件再次开源出来。但值得注意的是，像Apache协议，是需要在修改前放置版权说明的。例如之前某大厂用了ApacheSkyWalking ，并未说明使用了Apache协议，结果就被警告了。