炸锅了！删库跑路把“开源”推上了风口浪尖

‖开源项目遭删库跑路

“Nobody is perfect.”这是坐拥千万用户的“码神”Marak Squires 在1月20日写到的一句话。

（Marak注入恶意代码，引起众多应用程序崩溃）

‖开源还有哪些风险

根据不完全统计，全球97%的软件开发者和99%的企业使用开源软件，基础软件、工业软件、新兴平台软件大多基于开源，开源软件已经成为软件产业创新源泉和“标准件库”。

值得关注的是，企业在享受成本降低、迭代速度加速等便利的同时，开源许可证的兼容性问题、开源项目的合规问题、开源安全漏洞问题和开源知识产权的侵权等问题也日趋凸显。

以开源协议为例，通常情况下，为了维护开源 区、代码不被滥用，一般在开源时会加一份开源协议。开源的协议有上百个，目前流行的有MIT、GPL、BSD、Apache。其主要区别在于，别人修改代码后是否可以闭源（ 私藏起来 ），是否要遵循同样的开源协议。

具体来看，不同于GPL中，程序使用协议下的项目需要公开，MIT则相对宽松，开发者只需要在软件和软件的所有副本中包含著作权声明和许可声明即可。

Marak 删库跑路的Faker.js采用的正是MIT协议。因此，从法律角度看，Marak质疑其他公司拿着他的项目去赚钱而自己分文未得的行为并不受到制约。

王诗强表示，从目前看，部分开源的代码存在软件质量低下、代码可读性、可维护性差、代码安全性差等问题；另外受限于免费的模式，很多关注度少的项目，维护更新的周期慢、活跃度不高，采用这类开源项目的公司产品，也无法得到有效的支持。

在防范开源风险方面，王诗强提出了三大建议，“第一，采用开源项目的公司需要正确评估使用开源项目使用的开源协议如MIT、Apache GPL等，避免因开源协议的问题导致的商业代码被迫开源的风险；第二，选择开源项目应该看项目的活跃程度、维护更新的频率，加强选用的源码的备份，如做本地镜像；第三，对同一种开源的软件，需要有一种以上的备用软件，便于出现删库跑路的情况下，可以随时进行适配。”

“开源并不存在太大的风险，开源的协作模式已经运行了几十年，近几年也逐步进入企业级用户的视野，而且越来越成为支持数字经济的主要支撑。一个先天不足的体系很难经过时间的考验。”刘松坦言，开源的伟大之处之一在于其不断的纠错和适应能力，开源的自由开放会使类似删库跑路的事情造成的影响降到最低。

他进一步表示，“在开源 区里面，每个人、机构都可以fork 自己的副本，在发生重大分歧的时候，开源 区也依然能作出自己的选择并且坚持。在风险防范方面，开源基金会，从事开源的大中型企业也都在持续强化自己的开源治理，以系统性方式降低使用开源的风险。”

（摘自《2021年影响中国开源未来的十大热点》）

‖谁对开源代码负责
如今，应用开源是大势所趋，用开源的方式做开源风险治理，让开源用多样性拥抱不确定性，形成开源新范式。

“一个开源项目的脆弱性不取决于它的代码是否开源，而是取决于它是不是存在一个足够活跃和多样化的开源 区。”刘松坦言，“开源的开放性意味着任何有参与意愿的开发者都可以自由地参与到项目当中来。与以前以企业为主体的封闭式开发相比，开源 区的参与者的激励动机存在着多样化的特征，除了物质激励以外，在开源 区中的贡献能获得声誉和荣誉是大家更加追求的一种激励形式，这也是开源 区繁荣的根本。如果开源项目需要满足产品级或者企业级的需求，更理想的状态是这个项目的开源 区中有一个商业组织持续不断的为此努力和贡献，这样才能更好的解决‘开源脆弱性’的问题，也能在时间上更快速的响应用户的需求。”

王诗强认为，软件开源是一把双刃剑，大量使用开源代码会加速研发的整个过程，但开源软件必然会因其免费就会存在影响业务的风险。开源无过，开源的脆弱性，需要使用开源软件的公司正视相关问题，做好相关的风险防范措施。最终解决办法，是找到开源软件从免费到商业化付费模式演进的道路。

在谈到“开源代码一旦被采用，谁应该最终负责”的问题时，刘松认为“共同体”能更好诠释开源 区的意义和价值。

“开源 区中的成果，是为大家所共有的，它并不只属于任何个人。”刘松说，“可能大家会希望这个答案是项目的Maintainer，但是我认为这个是不够公平的，项目的Maintainer 也只是在开源 区里面作为和大家一样的贡献者存在。但是如果有商业公司基于开源项目，为此提供了一个企业版本，或者Managed Cloud Service，那么我们才可以认为商业实体应该为此负责。”

公开数据显示，2021年GitHub上中国开发者增长了103万，达到755万，成为仅次于美国第二大开发者群体，而Gitee 2021年注册开发者增长超180万，整体超过800万，中国开源开发者数量无论是在国际还是国内都呈现出了加速增长的趋势，成为中国开源产业的基础力量。

由开源中国和PingCAP作为技术支持发布的《2021年影响中国开源未来的十大热点》中提到，随着开源数据库部署首次超过非开源数据库，Confluent、HashCorp、GitLab三家开源软件企业IPO均超过百亿美元，全球开源企业融资进入加速上升通道，未来的开源产业趋势也将呈现新的特点和变化。

海比研究院院长、中国软件行业协会应用软件产品云服务分会秘书长曹开彬表示，未来的开源将呈现三大发展趋势。

首先，对开源生态的治理提出了更高要求。包括对开源生态的供给侧、需求侧，应该遵循什么样的规范，采用什么样的治理模式，需要业界形成更多的共识。其次，开源作为软件研发模式的改变与创新，它是未来的发展趋势，比闭源模式更为先进。虽有各种问题的出现，但开源的大趋势不会因此而改变。此外，我国正在大力发展开源生态，建立自己的开源 区，删库跑路事件会给我们带来更多的警示。

“我国的开源生态要有更多的自主可控，对开源项目要有更多的风险防范措施。” 曹开彬指出，“更进一步，我们建设开源 区、开源生态时，可以采用更全面的治理机制，以实现具有全球竞争力的、更健康的开源生态。”