2.开源：软件开发的基本要素

（1）自由和开源软件的基本原则。从历史上看，开源运动源于20世纪80年代诞生于美国的“自由软件运动”（free software movement）。相比专有软件，自由和开源软件在原则上没有国籍，因此也没有边界。

在开源的许可模式下，用户可以获得软件的源代码，并且重新发布、修改和添加，各种限制比专利软件要少得多。开源软件也被广泛用于研究机构，因为它可以针对不同的实验需求进行定制和改进。

此外，一些开源软件和组件更是当前数字基础设施的核心，并且也存在于众多私人企业开发的专有软件当中。比如Python和Perl编程语言、Linux操作系统、Mozilla Firefox网络浏览器、MySQL数据库管理系统、Apache HTTP服务器，以及大多数Java工具。Linux作为开源模式生命力的代表，每天新增1万行代码，5000行被修改。

（2）免费模式和专有模式混合共生。软件企业长期不接受免费的自由软件模式，因为其“违背了知识产权原则”。然而，从1991年Linux操作系统被推出以来，越来越多企业和政府将开源代码纳入其产品中，同时也将自己开发的程序提供给开源社区。

一个典型的案例发生在2008年，谷歌推出了基于Linux修改版的安卓手机操作系统。如今，这个系统已被安装在至少25亿台设备上。

事实上，当前的软件开发已经是开源组件和专有组件的集合体，一个现代软件应用程序往往会包含至少100个开源组件。一般来说，软件系统的底层架构往往是开放的，而应用程序和用户界面往往是企业专有的。在这样的混合结构下，往往很难梳理一个软件的所有组件。

此外，“自由软件”不一定意味着“非商业软件”。红帽公司（Red Hat，译者注：“红帽”Red Hat是一家开源解决方案供应商，通过为开源社区贡献力量获得了巨大的影响力）等也在开发“商业性”的开源软件——在开源许可下开发产品，并通过向客户收取赞助、维护和安装费用来确保其盈利。

受全球大流行的影响，各国数字化进程加快，风险投资基金也更多地投资于生产开源软件的初创企业。

最后，开源生态中的许可证（licenses）类型也在不断演变。1985年，“Copyleft”许可证（如通用公共许可证，GPL）的概念被提出，它提供了“执行、复制、修改和分发计算机代码”的自由，并要求在该软件的所有衍生版本中维持这些自由。换句话说，这种类型的许可证不允许在Copyleft源代码的基础上创建专有软件。

然而，大型技术企业往往偏离这些原则。例如谷歌在Linux的基础上开发了安卓系统，但却没有制定商业许可证，从而避免披露对源代码的修改。

（3）云计算和新兴技术中的开源软件。开源组件是当前云服务的重要元素，例如，所有的云平台都在向开源的分布式架构解决方案Kubernetes靠拢。

反过来，大型技术企业的“云即服务”（Cloud as a service）模式也在不断推动开源发展，因为云平台从根本上改变了开源技术的传播方式，其几乎可以被视为一个“开源应用程序商店”。

此外，开源软件也将在物联网新兴技术的发展中发挥关键作用。如今，各种“智能”和“互联”设备数量飞速增加，在2010年至2020年期间，物联网设备数量增加了约1000%。

随着这类设备的普及，任何类型的企业可能都有软件开发需求，一辆汽车所需的代码行数甚至超过了F15战斗机，并且这些软件必须是“通用的、开源的、可在异质硬件和供应商之间重复使用的，并且实施一套通用标准和API”。

与此同时，开源代码也是监督上述新兴技术的重要方式。欧洲议会在2019年的一份报告中明确指出，有必要将公众纳入人工智能的发展进程，“通过开源来公布所有由公众资助或共同创立的算法、工具和技术”，进而促进对源代码的审计。

（二）“成也开源，败也开源”？

1.网络安全问题

两个重大的安全漏洞凸显了开源组件的网络安全问题：2014年的“Heartbleed漏洞”，以及2021年12月的“Log4Shell漏洞”。

Heartbleed漏洞来自加密工具库OpenSSL代码中的一个错误。这个错误自2012年以来一直存在，直到2014年3月被谷歌的安全团队和芬兰工程师发现。基于这个漏洞，用户名、密码、私钥和通过这些证书交换的数据等加密内容都将暴露。

约有三分之二的网站使用OpenSSL，其中包括各大银行官网、电商、社交网络等。作为互联网历史上最严重的漏洞之一，各界都很难评估这个漏洞被恶意行为者利用的程度。

在2021年12月，一个漏洞影响了Log4J日志软件组件。该组件被许多基于Java语言的应用程序和网站用于记录设备上的活动，而这个Log4Shell漏洞将允许网络攻击者控制整个应用程序甚至是设备系统。整个Log4Shell漏洞被称为“有史以来最严重和最广泛的网络安全风险之一”。

虽然项目开发者在发现漏洞后的两周内修复了代码错误，但修复该漏洞前必须更新当前的Log4J版本，而很多用户正是在此时才意识到自己的软件和设备存在该代码问题。

译者注：Log4Shell漏洞存在于广泛使用的Apache Log4j日志库中。该漏洞允许攻击者远程执行代码，而无需进行身份验证。攻击者可以通过各种攻击向量利用此漏洞，包括HTTP请求、电子邮件消息和其他形式的数据输入。该漏洞对全球各种规模和行业的组织造成了安全威胁。一些重要的公司和应用程序都受到了影响，例如Microsoft、Apple、Google、Amazon、阿里巴巴、网易等。

如今，针对开源软件的攻击正在不断发展。相比2020年，2021年的攻击增幅高达650%。并且新一代攻击的模式有所变化，其目的是让软件开发者上传冒用合法文件名称的恶意软件，从而渗透到上游的软件供应链中。

2.经济可行性问题

只要是软件就可能有漏洞，Log4Shell和Heartbleed并不代表开源模式本身的失败。然而，这些时间也凸显了开源模式背后经济模型的不稳定性：尽管一些代码、组件、软件产品非常流行，甚至已经是全球数字架构的骨干，但这些内容在很大程度上依赖于开发者的自愿贡献——从编写、维护到纠错。

OpenSSL的开发团队非常小，捐款也越来越少。在Heartbleed事件之后，Linux基金会承诺对OpenSSL提供财务支持。此外，Log4J早在2014年就暴露出的资金不足问题，也在Log4Shell漏洞后被推到了风口浪尖。2022年1月，一位程序员甚至自发破坏了他正在进行的项目代码，以谴责开源世界的不稳定性。

换言之，目前开源模式并没有反映出开源软件所产生的经济价值。欧盟估计，开源对经济的积极影响在650-950亿欧元之间，2018年的年度投资为10亿欧元；如果开源的贡献增加10%，就会使GDP增加0.4%到0.6%。

因此，更多人呼吁为开源代码项目找到可持续的资助模式。例如，大型软件项目的托管平台GitHub已经推出了“赞助”功能，允许开发者为他们的工作接受经常性的捐赠。然而，而目前的整体趋势依然是大型科技企业在介入开源项目，包括收购资源库平台。

如前所述，这种私有化趋势可能违背了开源的基本原则的运作模式。一方面，大企业直接参与开源项目，会消除贡献者的多样性，而一旦企业放弃项目，整个开源社区都会受到损失。

另一方面，如果围绕企业建立集中化的开源项目，很容易招致国家的更多参与，进而导致其他国家的用户无法访问存储库、代码或许可证。例如，当前俄罗斯用户因为国际制裁就被暂停了GitHub账户。