开源许可协议--open source license

开源的定义

开源不仅仅表示源码可见性,开源软件的分发条款必须符合以下标准:

1 . 自由的再次发行

许可证不得限制任何一方将此软件作为含有若干不同来源的程序的一套软件集合中的一个组件 用于销售或者捐赠。该许可证不得向诸如此类销售行为的销售方索取专利费或者其它费用。

2 . 源代码

程序必须包括源代码,而且必须允许以源代码以及预先编译好的形式发行 。

3 . 作品的衍生

许可证必须允许对其所属作品的修改以及衍生,而且必须允许这些作品在原始软件的许可证条款下发行。

4 . 作者源代码的完整性

许可证只有在允许“补丁文件”随其所属作品的源代码一同发行,以便在编译时修改程序的情况之下,方可限制对其所属作品的源代码在发行时的修改行为。 许可证必须清楚表明用已修改的源代码编译而成的软件,是允许发行的。 许可证可要求衍生软件使用有别于原来软件的名称或者版本号。

5 . 禁止歧视人士或者组织

许可证不能歧视任何人士或者由多人组成的组织。

6 . 禁止歧视用途

许可证不能歧视程序可以被用于的任何特定领域。例如, 许可证不得限制程序用于商业或者基因研究。

7 . 许可证的发行

程序附带的权利必须适用于程序再次发行的每一个受众,无需他们再执行一个附加的许可证。

8 . 许可证不能特定于产品

程序附带的权利不能由该程序是否为特定软件发行版的一部分来决定。如果这个程序从该发行版中摘取出来,即使在该发行版之外但仍然在该程序的许可证条款下使用或者发行,那么它再次发行的每一个受众都将拥有和那些在该程序与软件发行版结合时被授予的完全相同的权利。

9 . 许可证的规定不得污染其他软件

许可证不得对其他与此软件一同分发的软件作出任何限制的规定。例如,许可证不得要求所有与它在同一媒体中一同分发的软件都是自由软件。

10 . 许可证必须技术中立

许可证的任何规定不得以任何个人技术或接口风格为依据。

许可证的选择实际上是为自身选择一个与其他开发者以及用户之间的社会契约。给软件附加版权说明实际上是使得给您创作的软件和其衍生产品加上许可证的行为合法化。

  1. 许可证持有者,不管出于何种目的,都可以免费使用开源软件;
  2. 许可证持有者,可以自由制作开源的软件副本并分发,无需支付许可费给许可人
  3. 许可证持有者,可以自由创作开源软件的衍生作品并在分发给他人时无需支付许可费给许可人。
  4. 许可证持有者,可以自由地访问和使用开源软件源代码
  5. 许可证持有者,可以自由地将开源软件和其他软件组合。

常见开源许可

  1. copyleft强约束力 GPL系
  2. 商业与自由的平衡 CDDL,MPL
  3. 商业友好 MIT, Apache

首先借用有心人士的一张相当直观清晰的图来划分各种协议:开源许可证GPL、BSD、MIT、Mozilla、Apache和LGPL的区别

open-source-license

BSD开源协议

BSD开源协议是一个给于使用者很大自由的协议。基本上使用者可以”为所欲为”,可以自由的使用,修改源代码,也可以将修改后的代码作为开源或者专有软件再发布。

但”为所欲为”的前提当你发布使用了BSD协议的代码,或则以BSD协议代码为基础做二次开发自己的产品时,需要满足三个条件:

  • 如果再发布的产品中包含源代码,则在源代码中必须带有原来代码中的BSD协议。
  • 如果再发布的只是二进制类库/软件,则需要在类库/软件的文档和版权声明中包含原来代码中的BSD协议。
  • 不可以用开源代码的作者/机构名字和原来产品的名字做市场推广。

BSD 代码鼓励代码共享,但需要尊重代码作者的著作权。BSD由于允许使用者修改和重新发布代码,也允许使用或在BSD代码上开发商业软件发布和销售,因此是对商业集成很友好的协议。而很多的公司企业在选用开源产品的时候都首选BSD协议,因为可以完全控制这些第三方的代码,在必要的时候可以修改或者二次开发。

Apache Licence 2.0

Apache Licence是著名的非盈利开源组织Apache采用的协议。该协议和BSD类似,同样鼓励代码共享和尊重原作者的著作权,同样允许代码修改,再发布(作为开源或商业软件)。需要满足的条件也和BSD类似:

  • 需要给代码的用户一份Apache Licence
  • 如果你修改了代码,需要再被修改的文件中说明。
  • 在延伸的代码中(修改和有源代码衍生的代码中)需要带有原来代码中的协议,商标,专利声明和其他原来作者规定需要包含的说明。
  • 如果再发布的产品中包含一个Notice文件,则在Notice文件中需要带有Apache Licence。你可以在Notice中增加自己的许可,但不可以表现为对Apache Licence构成更改。

Apache Licence也是对商业应用友好的许可。使用者也可以在需要的时候修改代码来满足需要并作为开源或商业产品发布/销售。

GPL

我们很熟悉的Linux就是采用了GPL。GPL协议和BSD, Apache Licence等鼓励代码重用的许可很不一样。GPL的出发点是代码的开源/免费使用和引用/修改/衍生代码的开源/免费使用,但不允许修改后和衍生的代码做为闭源的商业软件发布和销售。这也就是为什么我们能用免费的各种linux,包括商业公司的linux和linux上各种各样的由个人,组织,以及商业软件公司开发的免费软件了。

GPL协议的主要内容是只要在一个软件中使用(”使用”指类库引用,修改后的代码或者衍生代码)GPL 协议的产品,则该软件产品必须也采用GPL协议,既必须也是开源和免费。这就是所谓的”传染性”。GPL协议的产品作为一个单独的产品使用没有任何问题,还可以享受免费的优势。

由于GPL严格要求使用了GPL类库的软件产品必须使用GPL协议,对于使用GPL协议的开源代码,商业软件或者对代码有保密要求的部门就不适合集成/采用作为类库和二次开发的基础。

其它细节如再发布的时候需要伴随GPL协议等和BSD/Apache等类似。

LGPL

LGPL是GPL的一个为主要为类库使用设计的开源协议。和GPL要求任何使用/修改/衍生之GPL类库的的软件必须采用GPL协议不同。LGPL 允许商业软件通过类库引用(link)方式使用LGPL类库而不需要开源商业软件的代码。这使得采用LGPL协议的开源代码可以被商业软件作为类库引用并发布和销售。

但是如果修改LGPL协议的代码或者衍生,则所有修改的代码,涉及修改部分的额外代码和衍生的代码都必须采用LGPL协议。因此LGPL协议的开源代码很适合作为第三方类库被商业软件引用,但不适合希望以LGPL协议代码为基础,通过修改和衍生的方式做二次开发的商业软件采用。

GPL/LGPL都保障原作者的知识产权,避免有人利用开源代码复制并开发类似的产品

MIT

MIT是和BSD一样宽范的许可协议,作者只想保留版权,而无任何其他了限制.也就是说,你必须在你的发行版里包含原许可协议的声明,无论你是以二进制发布的还是以源代码发布的.

MPL

MPL是The Mozilla Public License的简写,是1998年初Netscape的 Mozilla小组为其开源软件项目设计的软件许可证。MPL许可证出现的最重要原因就是,Netscape公司认为GPL许可证没有很好地平衡开发者对源代码的需求和他们利用源代码获得的利益。同著名的GPL许可证和BSD许可证相比,MPL在许多权利与义务的约定方面与它们相同(因为都是符合OSIA 认定的开源软件许可证)。但是,相比而言MPL还有以下几个显著的不同之处:

  • MPL虽然要求对于经MPL许可证发布的源代码的修改也要以MPL许可证的方式再许可出来,以保证其他人可以在MPL的条款下共享源代码。但是,在MPL 许可证中对“发布”的定义是“以源代码方式发布的文件”,这就意味着MPL允许一个企业在自己已有的源代码库上加一个接口,除了接口程序的源代码以MPL 许可证的形式对外许可外,源代码库中的源代码就可以不用MPL许可证的方式强制对外许可。这些,就为借鉴别人的源代码用做自己商业软件开发的行为留了一个豁口。
  • MPL许可证第三条第7款中允许被许可人将经过MPL许可证获得的源代码同自己其他类型的代码混合得到自己的软件程序。
  • 对软件专利的态度,MPL许可证不像GPL许可证那样明确表示反对软件专利,但是却明确要求源代码的提供者不能提供已经受专利保护的源代码(除非他本人是专利权人,并书面向公众免费许可这些源代码),也不能在将这些源代码以开放源代码许可证形式许可后再去申请与这些源代码有关的专利。

对源代码的定义

而在MPL(1.1版本)许可证中,对源代码的定义是:“源代码指的是对作品进行修改最优先择取的形式,它包括:所有模块的所有源程序,加上有关的接口的定义,加上控制可执行作品的安装和编译的‘原本’(原文为‘Script’),或者不是与初始源代码显著不同的源代码就是被源代码贡献者选择的从公共领域可以得到的程序代码。”

MPL许可证第3条有专门的一款是关于对源代码修改进行描述的规定,就是要求所有再发布者都得有一个专门的文件就对源代码程序修改的时间和修改的方式有描述。

常见开源许可对比:http://choosealicense.com/appendix/

开源许可相关案例

1 . Artifex v. Hancom (US)

2016年,Artifex公司向美国加利福尼业北部地区法院发起诉讼,称Hancom从2013年起在软件中使用Artifex的Ghostscript,既未按开源许可证要求开源其软件,也未向Artifex公司付商业许可证费用,违反了GNU GPL许可证,侵犯了Artifex的Ghostscript版权。要求Hancom停止其侵权行为,并支付其滥用Artifex的开源许可证费用。Hancom递交动议要求驳回诉讼,理由是它没有签署任何合同,而许可证不是合同。法庭拒绝动议,裁定GNU GPL许可证是有约束力的合约。案件最终以赔偿和解结束。

开源许可作为具有法律强制约束力的合约。

2 . Jacobsen v. Katzer (US)

2006年,Bob Jacobsen起诉Matt Katzer,称后者的软件使用了其开源产品但未遵守Artistic开源许可(1)标明原始版本作者姓名、版权许可证;(2)指明的软件初始来源的声明(3)衍生版本对原始版本所做修改的说明等 要求法院认定为侵犯著作权行为。当时旧金山联邦地区法院驳回请求,认为这只是违反协议,而不是侵犯版权。Bob Jacobsen不服判决,继续上诉。联邦上诉法院认定开源许可的条款属于授权成立的条件,如果违反条款,授权不成立。Katzer侵犯版权。 最终Bob Jacobsen与Katzer庭外合解。

违反开源许可将造成版权侵犯

3 . Oracle v. Google (US)

2010年,Oracle首次发起Google的控拆,称Android对Java的使用侵犯了公司的专利。2012年陪审团表示站在谷歌一方,不过2014年美国联邦巡回法院推翻了级法院在两年前做出的关于“API不受版权保护”的判决。判定API可能受版权保护,但其受到保护与否要根据初始法院再组织新陪审团来进行判断。最终初始法院陪审团一致认为Google对Java API的使用在正常合理的范围内。最终 Google和Oracle 庭外合解。

API可能受版权保护,一切皆有可能

4 . Christoph Hellwing v. Vmware (Germ)

2015年,内核开发者Christoph Hellwing向德国汉堡地区法庭起诉VMware违反了GPL许可证,涉嫌侵权产品是vSphere ESXi 5.5.0中名叫vmkernel的私有组件。Hellwing主张vmkernel是内核衍生产品,需要遵守GPL许可证。但诉讼被法庭驳回。法庭的裁决不是围绕着侵犯指控而是基于Hellwing所持代码版权的确定性。

使用开发存储库的元数据确认版权所有权存在困难性。

大型项目(如Linux内核)的版权归属复杂。当开发者对内核做出贡献时,他们不签署任何贡献协议或版权转让协议。GPL涵盖了他们的贡献,软件副本的接收人根据GPL直接从所有作者获得许可。像MacHardy这样的作者一般都会拥有他所创作的作品的版权,但不享有整个内核的版权。
评估贡献的重要性并不容易;我们能做的就是查看提交commit的数量和大小。其次即使去跟踪提交,跟踪机制也不是很完善。Git的blame功能可以跟踪谁在名义上向Git项目库提交了哪些代码行。

2017年,德国的Netfilter内核子系统贡献者Patrick McHardy引发了争议,他自行担负起GPL执法的角色,联络了德国多家企业,以不遵守GPL许可为由索要小额金额。通过试探性发送律师涵的形式,告之对方侵权并要求其签署“停止声明”以进行侵仅赔偿。Patrick McHardy靠开源代码版权勒索,18个月内收入200万欧元,折合人民币1548。他的行为招致了Netfilter项目的公开反对,从核心开发人员名单中除名。

违反许可的赔偿额度可能会有增长趋势

6 . Facebook BSD+ Patent terms

你可以随便用我的开源软件, 我也可以免费使用你对应项目中的所有专利。如果你告我侵犯专利权,我收回开源软件的专利授权。

常见协议的衍生版本往往会附加一些额外条款,请留意!

输入性开源

风险因子

  1. 开源

源代码的提供不符合许可证的要求;
违反许可证的规定将软件代码与其他非开源代码混合;

  1. 发布

发布时违反许可证的规定收取不适当的费用;

  1. 专利

违反许可证的规定以开放源码软件申请专利;

  1. 声明

发布时未表明版权信息及必要修改信息;
发布时未附上相应许可证;

存在风险

  1. 禁令
  2. 遵从义务开源
  3. 赔偿

管理要素

  1. 许可证
  2. 使用方式
  3. 产品/服务类型
  4. 地域

管理流程

  1. 开源获取审批
  2. 供应商防范
  3. 替代措施
  4. 信息管理
  5. 统一发布

输出性开源

关注点

  1. 创新型技术,树立标准,试探市场;
  2. 核心技术, 核心竞争力,专利潜在点。