本报告原刊于法国国际关系研究所(IFRI),原标题为《“软件实力”:开源软件的经济和地缘政治影响》(Sources d’influence. Enjeux économiques et géopolitiques des logiciels open source) 限于篇幅,有所删节。
【文/爱丽丝·潘尼尔】
当今的技术趋势之一是人类活动的日益“软件化”,即个人、企业和政府的大量活动都通过软件完成。工业转型、公共服务数字化、5G部署以及物联网出现,都让软件的战略地位不断攀升。软件不仅无处不在,而且其功能和组件也日益复杂,相关的软件风险也日新月异,因此安全分析也必须顺势而为。
软件的核心是“开源代码”。据统计,目前市场上80%到96%的软件(包括专有软件),其代码都是开源的。无论是否知情,大多数公司、个人和政府都在使用开源软件或组件。
根据美国Apache软件基金会负责人David Nalley的说法,“开源不仅是软件行业的重要组成部分,而且是现代全球经济的基础之一”。此外,所有新兴技术,如人工智能和物联网,都在广泛应用开源的资源。因此,“开源”这一现象的战略重要性将持续增加。
(译者注:开源软件是指可以公开访问其源代码的软件,这意味着任何人都可以查看、修改和共享它。它通常由社区开发,并遵循自由和开放的协议。开源代码和组件是开源软件的基础,因为软件是由这些组件和代码组合构建而成的。开源组件也是开源代码的一种形式,因为组件通常包含开源代码。)
这一事实提出了几个问题。为什么开源软件能够成为全球数字基础设施和经济的一个结构性元素?如今的全球开源生态系统是如何运作的?开源生态和占主导地位的私营企业之间存在哪些合作和紧张关系?政府是如何处理上述问题的,及其做法会对开源生态系统带来什么影响?
如今,开源软件相关的网络安全、经济与创新问题已不言而喻。开源模式为软件开发带来了巨大利好,涉及速度、质量、组件的透明度、可能的漏洞、交互性、使用自主性等各个方面。
也正是因为如此,开源具有众所周知的弱点:即便是在很多关键性、基础性的开源项目中,其主要贡献者和维护者都是自发的志愿者。
因此,私营企业越来越关注开源项目,并为充分利用这一资源做出了具体战略。出于实际和经济的原因,大型科技企业率先介入了开源生态系统的构建和治理,如今已经成为其中的支柱。事实上,如今的全球开源生态系统正是围绕着(私营企业相关的)大型基金会和代码库而组织的。
各数字大国政府长期关注开源问题,但也是近期才逐步意识到开源软件的战略地位。通过分析美国、中国和欧洲的案例表明,政府对开源生态系统的参与不仅是被动地应对现实问题,而且越发政治化,表露出维护政府对国家安全、国际影响或数字主权的雄心。
然而,对于公共部门而言,在“确保关键开源组件的普及”、“开发‘主权’技术”、“防范开源软件的去中心化风险”三者之间,依然存在明显的矛盾。
开源软件的崛起、机遇与挑战
关于软件的开发和分配有着两种主要的许可模式:专有软件(proprietary software)和开源软件。基于此也诞生了相应的经济和政治制度。
起初,专有软件占据主导地位,但因为其明显的局限性(如经济成本高、风险大),开源软件在过去的二十年里迅速崛起。
如今,很多开源代码和组件已经成为全球数字基础设施的核心。在现实的软件开发过程中,两种模式也逐渐混合化,已经很难直接将这两种模式区分开来。
然而,开源生态系统时常发生巨大的网络安全漏洞事件,并且对某些关键组件也缺乏相关维护资源,这些都导致了企业和政府对该系统的关注与日俱增。
(一)“开源”成为数字经济的核心基础设施
1.为何要寻求专有软件模式的替代方案?
从20世纪70年代互联网时代的到来,到20世纪90年代末,专有软件大量涌现并成为主导。专有软件通常由私人实体开发,以获取商业利益。
软件(尤其是通过云计算提供的软件)通过许可制度(licensing),以付费订阅的方式被提供给客户。软件出版商的其他收入来源还有维护合同,以及销售相关服务、“高级”功能和广告等。在该模式中,用户一般无法获得软件的源代码,因此不能检查或修改软件。
此后,专有软件的主导地位受到了挑战。对用户来说,专有软件模式带来了一系列问题和风险,而全球地缘政治竞争更是增加了依赖专有软件的风险。
当某些专有软件是由外国公司生产的时候,问题更加突出:网络安全风险的能见度相对更低(因为不开放代码和后台运营详情),用户权益保护和争端解决依赖域外立法(特别是关于软件使用产生的数据处理),专有软件的交易和使用受到地区限制(出于数据保护、政治、国家安全等原因)。
(1)激增的网络和物理风险。专有软件和开源软件在安全方面各有优劣,使用范围是影响安全性的首要因素。
很多专有软件往往拥有特殊权限,甚至能够直接进入网络和设备。例如,由SolarWinds公司开发的Orion软件是对信息系统进行性能监控的平台,安装在美国成千上万的组织中,其中包括美国政府。在2020年12月一个针对Orion的恶意软件被曝光时,网络攻击者早已通过该平台接入各大组织的网络和系统,并且获取相关数据长达数月之久。
在物联网兴起的背景下,嵌入式软件的风险也随之上升。例如,在2018和2019年波音737 MAX的一系列飞机的事故中,部分就是由飞机软件的错误造成的。
随着智能家居、自动驾驶的领域的快速发展,相关物理层面的网络安全问题也会越来越多。
(2)用户与政府加强数据保护。专有软件还涉及数据保护的相关问题,因为这些数据往往容易被轻易流出,甚至未经许可就被其他人利用。
此外,专有软件还可能存在后门,能够接入各种硬件设备,并且难以被检查出来。欧洲监管当局此前对基于云计算平台提供的“软件即服务”(Software as a service, SaaS)模式进行了摸排,发现很多软件供应商受到本国法律规定,会强制将用户数据传送给其所在国当局。例如,美国的谷歌、亚马逊和微软等大型云服务提供商都有类似问题。
此外,一般的手机应用程序的后台数据往往也会受到开发商政府的监管和审查。
(3)贸易和使用限制在增加。随着全球地缘政治局面的变化,来自某些国家的专有软件的贸易和使用限制在增加。例如,美国的出口管制政策已经从“军事领域”拓展到更多用于工程和技术发展的领域,软件领域也受到其波及。
根据美国《外国直接产品规则》(FDPR),向中国和其他国家(重新)出口某些使用美国机器或软件开发的产品需要美国的许可证。此外,根据技术转让限制,如果用户使用在线服务时在不知情的情况下向外国传输了数据,该用户也可能在无意中违反了某些限制。