删库跑路、“投毒”、改协议，开源有哪几大红线千万不能踩？( 四 ) 作者|彭慧中责编|屠敏出品|C

邓超：一方面，正如郭大侠所说，开源软件同时在严的协议和宽松的协议下，肯定得以严的协议要求为准。
另外一方面，在符合要求之外，具体选择什么样的许可证还是要具体分析的。比如说一些内核性的软件，可能选GPL会好一些，例如像Linux内核。但是如果是业务端的软件或者库可能选LGPL会更好。在满足兼容性的前提下，是可以根据商业目的来修改许可证的。因为许可证是一个合同，当你觉得这份合同不满足你的商业需求时，也可以自己写这个合同，或委托外部律师来写。
如何严防掉进开源的陷阱？
唐小引：前段时间， color.js作者删库跑路被GitHub封号的事件，以及node-ipc作者以反战之名往开源代码里投毒事件都引发了大家的热议。那么各位对“删库”、“投毒”此类事件怎么看呢？
庄表伟：首先无论是“删库”还是“投毒” ，在社区里都是非常恶劣的行为，但是目前现在好像还没有特定的法律去制约它，除非“删库”或“投毒”真正造成了人员或者是经济的损失，那么就可以直接去起诉，但在此之前确实拿他没办法。
我们能够看到的例子通常停留在谴责层面，如删库开发者被GitHub封号。 node-ipc作者的账号到目前为止尽管还没有被封，但是他私生活已被全部曝光。原因就在于他激起了众怒，使得他在整个社交网络和开源圈子里“社会性死亡” ，这是非常可悲的一件事情，虽然在现实生活中大家没办法拿他怎么样，但是在社交网络里面他已经无地自容了。
郭炜：大部分的开源Licence中都有一条免责条款，即：使用该代码如果造成了任何损失，跟开源原作者没关系。因此从法律上来讲，我们没有办法对这个作者追责。从道德层面，这个作者肯定是不对的。使用者应当如何避免出现这种问题，我还是提倡用基金会的顶级项目，或者找贡献者较多的、且有知名贡献者参与的项目，最好它的项目运行时间也比较长。谨慎选择少数一两人控制的项目，那是具有较大风险的。如果你懒得做功课，可以直接找基金会项目，但如果你有一些鉴别能力，就要仔细去研究项目贡献者的背景。
邓超：“投毒”行为可能需要负刑事责任，因其可能存在非法获取个人信息，或是破坏计算机系统罪。目前，可能公安系统在开源领域还涉足不深，但是随着公安技术侦查科的逐渐强大，我觉得这是有判定其需负刑事责任的可能的。尽管现在虽然没有类似的案子，但如果将来有影响比较大的事件发生，还是有承担刑事责任的风险的。
郭炜：我想请教邓律师一个问题，因为开源Licence当中有免责条款来保护作者，那么以之前特别火的Log4j的漏洞为例，这个漏洞并非有人故意为之，但假设其造成了某家公司被攻击，从而产生了巨大损失，倘若这个开源软件的作者也是中国人，那么会因为在Licence里面有保护条款而免责吗？
邓超：开源Licence当中的免责条款只是一个民法上的概念。作为一个合同，它只对于相对人，即作者和使用者有约束力，与其他人无关。可一旦该行为危害社会造成严重损失则可能涉及刑法犯罪，那么合同里的约定则不能在刑法上构成免责。但是刑法需满足主客观一致的条件。比如“走私”毒品则需要本人具有“走私”毒品的意愿。倘若是我在飞机上被别人把毒品塞到我的包里，本人根本不知情，哪怕客观上是由我走私的毒品，在刑法上也不能追责。所以说该漏洞如果不是作者本意，就只是一个Bug ，即使造成严重损失，也没有刑法上的责任。