各国开源政策与标准
美国篇
出台支持开源发展的政府政策
早在 2002 年,美国智库就开始对开源软件的政府政策问题进行研究,并发布关于开源软件的政府政策报告,对包括政府采购和专利等在内的政策议题进行探讨,为政府政策提供支持。此后,欧美国家政府开始有意识地出台相关政策推动开源发展。据欧盟委员会“开源观测”项目 2020 年发布的分析报告,欧盟成员国(包括英国)过去 20 年来共出台了不少于 75 份政策文件(如政府计划、战略文件等)和 25 份法律文件(如议会决议、法律、法规等)以推动开源发展;其中,有 25 份政策文件和 6 份法律文件专门针对开源软件而制定,其他文件则是在其数字化议题中提到了开源。欧美国家政府促进开源发展的政策主要包括:推动政府软件开源和公共数据开放、引导业界关注开源风险等。
推动政府软件和财政资助项目成果软件开源
2016 年 8 月,美国政府发布“联邦源代码政策”,要求联邦机构每年必须将不少于 20% 的新开发源代码以开源形式公开发布,并且要求开源至少 3 年。2019 年,英国出台的《数字服务标准》及此后更新的《服务标准》中要求,政府部门应选择合适的许可证开源所有新的代码。2020 年 10 月,欧盟委员会批准了《开源战略 2020-2023》特别强调软件解决方案和专业知识的共享和重用,以及在信息技术和其他战略领域增加开源的使用,秉持开放、转型、共享、贡献、安全等原则提高欧洲数字化建设和公共服务能力。2021 年,法国发布的《国家开放科学计划(2021—2024 年)》要求,公共资金资助的研究数据、算法和源代码应通过开放许可进行传播共享。
推动政府公共数据开放
2016 年,法国《数字共和国法案》要求开放公共研究数据。2019 年 1 月,美国国会通过了《开放政府数据法案》,将开放数据作为美国法典的一部分。美国成为继法国、和德国之后,将开放政府公共数据从政府政策上升为国家法律的国家。在这些国家,政府公共数据应以机器可读的格式,在不损害隐私或安全的前提下,默认向公众开放。
引导产业关注开源风险
早在 2004 年,美国联邦金融机构审查委员会发布的《开源软件风险管理指引》要求,金融机构在采用开源软件时参照该指引加强风险管理。此外,英国政府发布了《开放代码的安全注意事项指南》;欧盟发起过开源软件审计项目改善关键开源软件的安全性。
2022 年,美国白宫与开源组织、科技巨头共同推动 1.5 亿美元开源软件保护计划。Linux 基金会和 OpenSSF 已经为 1.5 亿美元确定了 10 个投资流,将在两年内分摊。
英国开源产业政策
英国在 2004 年首次发布开源产业政策,并于 2009 年 2 月进行了更新,开源非营利组织 OpenUK 于 2021 年 2 月在 2021 年欧盟开源政策峰会发布了其三阶段报告,报告指出开源技术为英国贡献了高达 430 亿英镑(602.2 亿美元)的经济增长,这表明英国在开源开发方面领先于欧洲。并表示,英国仍是开源技术的领导者,其国内预计有 12.6 万名贡献者参与了创建、开发和维护开源的工作;这一数字将近欧盟 26 万名开源开发者中的一半。
事实上早在 2012 年 11 月,英国政府内部就已经就采用开源技术发出了 Open Standards Principles 的指引,但这次却更进一步,将采用开源技术常规化。这次在政府服务设计手册中的 When to use open source 中,就明文指出政府必须在作业系统、网路软体、网页伺服器、资料库和程式语言方面,逐步以开源技术技术取代专属或闭源的技术。
2016 年为英国政府开发的新代码现在已经开源了。在 2017 年,已经越来越多的国家,组织和公司采用开源软件。现在,英国政府也宣布采用开源公司办公套件,那就是基于 LibreOffice 的“GovOffice”。协作办公套件 GovOffice 支持超过 100 种格式,包括 Microsoft Office 和 Google Docs。GovOffice 是基于最流行的办公软件 LibreOffice,也将支持从移动设备直接跳转到 Web 浏览器打开和编辑文档。这个措施将会覆盖所有的 Govt 机构,甚至是政府机构代表。
德国的开源产业政策
自 2001 年德国慕尼黑决定推动 LiMux 计划,2005 年正式启动了相关迁移工作,但是,2017 年 11 月,慕尼黑城市委员会(Munich City Council)正式决定到 2020 前回归微软的 Windows 系统,这意味着德国开源运动遭受重大挫折,甚至于可以说是失败了。
慕尼黑启动的LiMux既包括操作系统,还涉及到了大量的应用软件。操作系统主要推出LiMux,它是Linux的一个发行版本,包括了Ubuntu、LibreOffice和WollMux等套件;应用软件主要涉及到OpenOffice,后来切换到LibreOffice。
只是非常可惜,这种技术上的独立运动,在慕尼黑的开源计划中,并没有足够的群众基础。德国是一个重视产业政策的国家,强大的政府希望推动具有自主知识产权的开源运动,借此挑战微软等“霸权”,只是事与愿违,该运动并没有得到除了跟LiMux项目利益相关者之外的支持,甚至于一些德国IT企业,例如SAP等也没有深入参与该计划。
总体来讲,德国开源产业还处于个人主义阶段(缺乏群众基础),没有进入到成熟商业模式运行阶段。
美国的限制性政策
- 1996 年成立,瓦森纳安排全称为“关于常规武器和两用物品及技术出口管制的瓦森纳安排”(The Wassenaar Arrangement on Export Controls for Conventional Arms and Dual-Use Good and Technologies,WA)
- 2013 年 12 月,出口限制技术清单进行了修订,增加包括基于互联网的监视系统。被出口管制的新技术包括“渗透软件”(旨在破坏计算机或网络保护措施以提取数据或信息的软件)以及 IP 网络监视系统。
- 2019 年,谷歌限制华为使用安卓服务(GMS)。业界开始讨论:开源软件的出口是否也会受到限制?
- 2019 年 5 月 22 日,Apache 回应:参与开源不受美国出口管理条例约束
- 2020 年 7 月 8 日,Linux 基金会发布了一份中英文版的《了解开源科技和美国出口管制》的白皮书。当中提到,开源技术不受制于《美国出口管制条例》(EAR)
- 2019-05-29:全球最大的技术专业组织 IEEE(电气电子工程师学会)宣布暂时禁止华为担任旗下期刊编辑或同行评议审稿人
- 2019-06-03:IEEE 发布合规性声明,声称在向商务部咨询后宣布解除对华为的管制,华为员工可以正常参与期刊编辑和同行评审工作。
- 2021-10-21:突发!美国政府将禁止向中国和俄罗斯出口黑客工具
- 2022-06-04:美商务部新规:未经审批禁止向中国分享安全漏洞,微软反对无效
简单总结
- 目前始终没有真正涉及开源供应链
- 周边有很多小动作
- 限制个人
- 限制贡献
- 限制加密软件、黑客工具
- 限制(商业)漏洞披露
- 不能掉以轻心
中国的政策
2019 年,华经情报网在《2018 年中国开源软件行业发展现状,开源软件整体发展形势向好》文章中,对国内开源政策做了详细说明,以下是部分段落的节选。
2017 年,我国政府对开源的认识进一步提升,对开源软件发展的政策支持力度在不断加强。《信息产业发展指南》明确提出:"支持企业联合高校、科研机构等建设重点领域产学研用联盟,积极参与和组建开源社区","支持开源、开放的开发模式",重点推进云操作系统等基础软件产品的研发和应用。 《软件和信息技术服务业发展规划(2016-2020 年)》中提到:"发挥开源社区对创新的支撑促进作用,强化开源技术成果在创新中的应用,构建有利于创新的开放式、协作化、国际化开源生态","支持建设创客空间、开源社区等新型众创空间",要实施软件"铸魂"工程,重点"构筑开源开放的技术产品创新和应用生态"。
中国的开源规划
2021 年 3 月 12 日,新华社受权全文播发《中华人民共和国国民经济和社会发展第十四个五年规划和 2035 年远景目标纲要》,「开源」首次被明确列入国民经济和社会发展五年规划纲要,相关内容摘录如下:
聚焦高端芯片、操作系统、人工智能关键算法、传感器等关键领域,加快推进基础理论、基础算法、装备材料等研发突破与迭代应用。加强通用处理器、云计算系统和软件核心技术一体化研发。加快布局量子计算、量子通信、神经芯片、DNA 存储等前沿技术,加强信息科学与生命科学、材料等基础学科的交叉创新,支持数字技术开源社区等创新联合体发展,完善开源知识产权和法律体系,鼓励企业开放软件源代码、硬件设计和应用服务。
开源标准——供应链相关标准
- 供应链安全相关标准:
- ISO/IEC 27036-3/4 —— ICT 供应链安全指南/云服务安全指南
- NIST SP 800-161 —— 联邦信息系统和组织供应链风险管理方法
- GB/T 36637-2018 —— 信息安全技术 ICT 供应链安全风险管理指南
- 代码安全相关标准:
- ISO/IEC 25000 系列标准 —— 系统和软件质量需求和评估(SQuaRE)
- GB/T 38674-2020 ——信息安全技术 应用软件安全编程指南
- GB/T 39412-2020 —— 信息安全技术 代码安全审计规范
- 代码安全相关认证:
- 网络安全等级保护认证 —— GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求
- 数据安全认证 —— GB/T 35273-2020 信息安全技术 个人信息安全规范
- 信息安全管理体系认证 —— ISO/IEC 27001:2013 Information security management systems
- 隐私信息管理体系认证 —— ISO/IEC 27701:2018 Privacy Information Management
开源标准——开源治理相关标准
- OpenChain Specification - ISO/IEC 5230:2020
- https://www.openchainproject.org/
- The Specification outlines elements of a successful open source license compliance program.
- SPDX - ISO/IEC 5962:2021
- https://spdx.dev/
- This Software Package Data Exchange® (SPDX®) specification defines a standard data format for communicating the component and metadata information associated with software packages.
- CHAOSS - Community Health Analytics Open Source Software
- https://chaoss.community/
- CHAOSS is a Linux Foundation project focused on creating analytics and metrics to help define community health
- SBOM - Software Bill of Materials
- https://www.ntia.gov/SBOM
- A “Software Bill of Materials” (SBOM) is effectively a nested inventory, a list of ingredients that make up software components.
信通院:可信开源标准体系
标准院:开源标准体系
- 《信息技术 开源 开源概览与术语》
- 《信息技术 开源 元数据通用要求》
- 《信息技术 开源 开源许可证框架》
- ...