2021年,由中国人民银行、中央网信办等五部门印发的《关于规范金融业开源技术应用与发展的意见》中的第十条,就开源合规单独作出了如下说明:
“支持金融机构对开源技术版权、专利、商标、声明等进行事前合规审查,通过审查开源许可证遵从性和兼容性、梳理开源技术间依赖性等,避免法律纠纷。可根据需要引入第三方合规审查服务”
随着国内外因开源许可证条款印发的法律案件增多,知识产权和合规问题逐渐成为开源安全领域的主要关注点之一。“金融机构需充分了解引入开源项目的许可证情况,结合本企业使用场景和分发情况判断开源许可证传染性、合规性及兼容性风险。”以上是信通院对于本条意见的解读,同时也指明了开源许可证可能引发的几类风险问题:
一、传染性风险:以GPL许可证为例,只要开发项目中包含了遵循GPL协议的代码,那么整个开发项目就必须使用GPL许可协议——开源免费。也就是说,一旦使用了包含GPL协议的代码,那么整个项目就会被“传染”成GPL的软件。
二、合规性风险:
在使用开源代码时必须严格遵守许可证条款,按照规定保留版权信息、许可信息、不得使用被许可者的商标信息等,如果违反了这些条款,则会造成合规性风险,面临法律诉讼等问题。
三、兼容性风险:
因为每个许可证的条款要求不同,如果一个项目包含使用不同许可证的代码,就有可能出现条款上的冲突。比如 GPL 要求项目中使用其源码,则整个项目都必须开源。而 使用MPL 许可证的代码如果在单独的文件内,其他文件内的代码就不必开源。如果同时涉及到这两个许可证,就可能引发条款冲突,即兼容性风险。
以上几类许可证风险问题都是金融机构在引入开源技术时需结合许可证的条款要求及自身的业务情况进行判断分析的,《意见》中也提到金融机构可适当引入 “第三方合规审查服务”,帮助自身合理规避法律风险。例如信易盾SCA工具,具有许可证条款分析、兼容性风险识别等功能,可以协助金融机构全方位防范许可证风险:
1.防范传染性风险:识别高危许可证
信易盾能够识别出项目中的代码都遵循了哪些许可证,并提供许可证清单,帮助金融机构快速了解项目中是否存在如GPL等高危许可证。
2.防范合规性风险:解读许可证条款
信易盾对识别出来的每个许可证都提炼了关键性条款,包括必须做、可以做、不能做。帮助金融机构快速掌握许可证的规定,明确应如何遵守此许可证,从而避免出现合规问题。
3.防范兼容性风险:识别冲突许可证
信易盾还识别了项目是否存在许可证条款冲突风险,识别互不兼容的许可证,并提供许可证兼容性使用指南。
近年来,因违反许可证条款而引起知识产权及法律纠纷的案例屡见不鲜,许可证合规风险也成为了使用开源软件时需重点关注的风险问题。利用信易盾可以帮助金融机构明确条款要求并加以遵循,建立起许可证合规风险审查及处理机制,有效防范合规风险。