开源发展现状与未来趋势（一）：飞速蜕变的开源

引言

在数字经济时代,数据离不开软件应用的驱动,软件的安全合规性决定了很多企业的立身之本。然而开源安全合规问题存在的技术和法律的双维度理解差异,使得很多企业虽然意识到了开源软件应“可知、可管、可控”,但受限于技术与法律的壁垒问题，开源合规项目在许多公司内部实际开展中并不顺利。

郭卫红律师带领的盈科网络数据团队基于丰富的开源软件实务经验，将围绕“把握时代机遇，共谋开源未来”的主题，分享系列文章，针对开源发展现状与未来趋势展开较为系统的法律解读。

我们总结目前开源的发展趋势呈现以下特点：

01 开源AI兴起

2023年至今，开源AI领域迎来显著发展。这首先体现在技术上，特别是在生成式AI领域，在以下几个方面突飞猛进：

Mistral、Vicuna、Yi和Llama等开源模型正在迅速赶上GPT-4和Claude等封闭源模型；
优秀的开源人工智能项目吸引大量融资。例如Mistral AI完成了4.87亿美元的交易并成为AI独角兽；
更多的开发人员和新项目持续加入。2023年Github 的贡献者数量同比增长148%，通生成式AI项目总数同比增长248%；
生成式AI的贡献者来源越来越全球化。2023 年，对生成式AI贡献最多的个人开发者来自印度和日本，预计2027年印度预计将超过美国，成为Github 上最大的开发者社区。

02 开源项目办公室崛起

开源项目办公室（Open Source Program Office，简称OSPO）在开源兴起的浪潮中扮演着至关重要的角色，它不仅引导组织智慧地利用开源资源，更确保了组织在遵循相应许可和法规的基础上，能够以最佳的方式参与和贡献于开源社区。

2024年，开源办公室的概念和实践在业界得到了进一步的发展和成熟。2024年3月，第二届开源管理办公室峰会在深圳举办，OSPO在推动开源生态发展中的重要性在会议中被探讨并认可。

现如今，OSPO不再仅仅是技术部门的一部分，而是越来越多地与公司的整体战略整合，直接参与到开源项目的监督和管理中，以帮助企业更好地达成开源目标。

03 开源许可证不断更迭

2024年3月21日，Redis项目宣布将其开源许可证从BSD 3-Clause变更为RSAL v2与SSPL v1双重许可证模式，以此防止云厂商利用开源版本支持商业Redis SaaS服务，保护Redis公司的商业利益。从Redis v7.4版本开始，这一变化将贯穿到未来所有的Redis发布版本。

此外，其他一些知名开源项目也陆续更改了自己的开源许可证，以保护自身商业利益。例如，Zabbix、Grafana、ElasticSearch和Kibana等项目也进行了类似的许可证变更。

04 政府的开源支持力度加强

2023年至今，我国各地政府相继出台相关支持政策，为我国开源技术的发展提供了强有力的支撑。这其中以深圳市为显著代表。深圳市在2024年年初发布软件产业高质量发展项目重大开源项目相关申请指南，为符合条件的开源项目提供资金支持；并出台《深圳市支持开源鸿蒙原生应用发展2024年行动计划》，提出了2024年鸿蒙原生应用发展的五大具体目标；同时还大力发展开源产业园区建设，在多个区打造鸿蒙原生应用特色产业园，吸引企业入驻。

除此之外，上海、重庆等地也纷纷出台政策措施，落实推进自由贸易试验区高水平制度型开放，建设国际开源促进机构，加快培育开源软件生态；南京市建立开源软件项目“白名单”制度，将开源贡献度纳为项目评审、职称评价、奖学金评选的重要参考项。

05安全问题的前置引发关注

开源软件的广泛使用、开源库单个漏洞引发连锁反应的高度可能性、企业和消费者应用程序对于开源库的高度依赖等诸多原因的共同作用下，开源的安全问题正在引发越来越多的关注。

随着开源软件的广泛应用，各国政府和监管机构开始加强对开源软件的监管和合规性要求。例如，美国国家网络总监办公室2023年8月就开源软件安全征求公众意见，体现了对开源代码安全、可持续性和健康发展的重视。

开源软件的发展进入新阶段，软件安全的“左移”（shift-left）方法正在开源领域引发关注。这种方法提倡在软件开发生命周期的早期阶段即做好安全性建设，从而在开发过程的早期阶段识别和处理安全漏洞，减少严重的安全破坏的风险。

为此，越来越多的企业正在组建由安全专家、软件开发人员和其他专业人员构成的专门团队，确保其开源组件的安全性，保护开源资产。

结语

目前，开源发展总体上呈现出快速增长、技术创新、政策支持和市场需求增加等积极趋势。开源AI、市场规模、政策支持、安全性和专业化等方面都取得了显著进展，展现出开源技术在未来发展中的巨大潜力。

在下一篇文章中，我们将为大家详细介绍开源发展趋势中值得重点关注的几个方面。欢迎您持续关注。

本文作者

郭卫红 Davey

盈科全球数据合规服务中心主任

盈科股权高级合伙人

管委会委员（上海）

社会职务：

国家市场监管总局发展研究中心特聘专家

国家互联网应急中心网安导师

复旦大学研究生院实务导师

中国信通院DSI智库与“个人信息保护合规审计领航计划”专家

中国网络空间安全协会个人信息专家

上海市电子商务行业协会法律顾问

中国网络安全审查技术与认证中心数据安全官培训导师

个人履历：

郭卫红律师毕业于西南政法大学，曾于日本国立九州大学留学。郭律师原任上市集团数据安全法务专家，持有CCRC-DSO数据安全官证书，主导多个项目合规体系搭建，帮助企业有效降低经营风险及客诉，提高经营收益。甲方工作履历使其“懂行业、懂法律”的优势得到客户的高度认可。郭律师担任律师期间为超百家企业提供全球数据合规、网络安全、平台合规的法律服务及安全技术综合解决方案，拥有丰富的全球视野合规经验。此外，郭律师至今为近200家企业的管理层及员工提供法律合规专业培训。

郭律师还多次参与国家标准、行业指引、监管办法的起草和研讨工作，受邀参加新华社内参调研、网信办推荐教材撰写、上海市互联网企业合规经营指南撰写。并发表过数十篇行业报告、合规指引、专业文献、白皮书，经常接受央视、上海电视台、东方卫视、澎湃新闻、南方都市报等权威媒体的采访。

代表案例：

（*保护客户信息，脱敏展示）

1.为某 500强集团的信息系统提供开源合规治理专项服务，包括开源软件风险尽职调查、制定开源许可证使用对照表、建立集团开源软件管理制度、建立集团开源软件使用指南。

2.为某信息技术公司提供开源合规治理日常法律服务，包括梳理开源软件许可证台账、分析许可证特点和提示风险、提供开源软件相关法律咨询、针对具体合规案例进行研判。

3.为某大型通信央企承办海外数据合规专项法律服务，该服务主要涉及数十条产品业务线的数据合规审视及整改。主要包括欧盟地区、美国、新加坡的隐私政策、数据安全管理办法、数据安全保密协议等数据合规管理体系搭建服务、境外业务数据合规调研与出具法律意见，以及GDPR认证服务。

4.为某知名数字物流公司提供SaaS服务产品数据合规专项服务，梳理客户与国内外供应商数据出境场景，协助其完成数据出境方案论证、并帮助客户完成数据出境安全自评估、相关风险事项整改落地、完成数据出境安全评估申报工作。

5.为某大型汽车制造企业在欧盟的车联网业务提供全面合规服务：某汽车集团作为国内领先的自主汽车品牌，近几年来不断开拓海外市场，落实全球化战略布局。我们为其“车联网”智能化产品提供全方位法律服务：（1）梳理欧盟GDPR、德国、俄罗斯、匈牙利、意大利等国家数据合规领域的法律法规、行业要求，分析个人信息保护及网络安全的最新立法和监管动态；（2）汇总各国数据合规司法实践案例，提炼跨境数据合规实务执法要点；（3）为集团“车联网”服务团队即全球智能化团队、产品数字化团队的产品研发提供境内外数据合规法律意见，设计合规路径；（4）统筹协调各国技术等领域规范，保持集团各大数据合规方案的合法性、及时性、可操作性。

工作邮箱：[email protected]

工作微信：daveylawyer

添加郭律师工作微信

姜斯勇 Scott

盈科全球数据合规团队管理负责人

社会职务：

上海律协数字科技与人工智能专委会委员

上海市电子商务协会法律顾问

腾讯研究院腾研识者

中国法学会成员

个人履历：

姜律师擅长帮助企业实现数字化商业目标，助力企业在数字时代充分发挥数据生产要素，提高生产力，以便客户能够在高速发展与竞争的市场中取得优势。

姜律师在网络数据合规领域有着深入的研究和丰富的项目实战经验，能够立足法律，并围绕客户商业诉求提供可落地的合规方案，尤其擅长为互联网、大数据、内容电商等数字经济领域的公司提供前瞻性法律服务，特别是提供数据要素合规、商业模式与平台业务合规服务，通过专业服务能力帮助客户合规实现其商业目标，让企业感受到法律安全感，并走得更稳、更快。

葛若芸 Alicia

主办律师
个人履历：

英国伦敦大学学院LLM、华东理工大学法学学士。葛律师参与过众多大型国央企、外资企业数据合规项目，擅长全球数据合规、开源合规治理、新经济公司法律顾问，以及涉网络数据诉讼。葛律师具备出色的客户服务思维，能够站在实际解决客户问题的角度推进项目工作。

* 实习生李宣瑶对于本文亦有贡献。