聊聊自主可控和开源

最近和客户交流的时候，听到一些的关于开源可控与开源软件使用的声音。正直华为被制裁，多个中国企业上榜美国商务部进出口管制实体名单，又有一些自媒体在带节奏，描绘开源软件同样受到实体名单限制的影响，似乎一时间，加强自主可控的声音、避免被卡脖子的声音似乎等同于拒绝采购，拒绝开源厂商的服务。

我认为自主可控是必须的，但到底如何实现真正的自主可控，可能还需要探讨。

什么是自主可控？

如果涉及到软件的使用，用一句话来形容“自主可控”，其实很简单，就是自己拥有源代码，可自主根据需求对源码进行修改，并且可以用在生产和业务场景上，而不受到任何的约束和管制。（作为商用产品售卖除外，自主可控需与白嫖，盗版区分开来）
因此，自主可控的首要前提是有源码，能自由改动，这是大多数开源协议支持的。

另外一个需要搞明白的对象是“自主”的含义，我们可以大致有两种理解，一个“自主”指的是用国内厂商具有完全自主知识产权的软件，不受国外法律的限制，因此这里的“主”是指的国家主体；另一个理解是指的企业本身，企业可根据自主意志，按自己的需求，想法在不违反的情况下自由地修改和使用软件。

那在这里，我觉得后者的理解是更加准确的。因为如果用国内国外去区分的话，我们可以看到国内很多具有完全自主知识产权厂商的软件并不是Open Source，一个黑盒软件是无法可控的

什么是自主可控的对立面？

我们在谈论自主可控的时候，对象应该是通常情况下无法掌控的对象，特别是我们很容易被所谓"卡脖子"的对象。这里不应该是指的国外开源软件，更加准确的，应该是不开放源码和技术的黑盒厂商，毕竟众多的开源项目的源码是开放的，我们完全有能力通过各种方式获得代码，自己编译代码软件，获得最新的开源软件和功能，在此前提下，也完全不存在进出口管理限制的问题，可以做到自主可控。而黑盒厂商的技术或软件，因为没有源码，也没有开源协议，完全依赖商业授权，倘若暴露在断供的风险之下，则抵抗风险的能力是非常之弱的。

自主可控的大背景下，该如何使用开源？

对于开源协议，想必大家都是了解的，如上所述，一个开源软件的使用，在有源码，可自主编译，修改的情况下，是完全不会存在进出口管制的问题的，这里引发争议之处，或者说焦虑点的地方是开源软件的商用版本，在“实体名单”的风险之下，商业软件可能会存在被断供的情况。

因此，对于开源软件基于我们原先架构选型/评审时的原因，该用的还是应该继续使用的，这里讨论的重点应该是我们该如何获取对开源软件的主动权，即便在商业软件断供的时候，也可以做到不受影响，或者说，尽量把影响降到最低。任何的未雨绸缪，防患于未然都是值得的，从现在开始，就要做好最坏的打算。我们姑且不讨论中