【IT168 独家】“2011开源中国开源世界”高峰论坛及圆桌会议于2011年6月29-30日在北京丽亭华苑酒店召开。会上,与会者既可以近距离与国内开源专家以及与黑鸭子软件总裁、Apache基金会主席、HP全球总监、OpenOffice.org社区主席等一批国际开源专家接触,同时还能分享国内外开源企业、社区、主要用户在研发、推广和使用开源软件时的宝贵经验,众多国际著名的IT跨国公司的高层主管、技术负责人也将为大家带来如移动互联网与终端平台、云计算、绿色IT等前言技术的最新发展趋势。
本次会议被视为在当前金融风暴经济危机严冬下的一股暖流,为大家呈现更多的开源技术、开源项目、开源产品、案例和解决方案。
▲DLA Piper的高级合伙人兼开源业务实践工作组主席Mark Radcliffe
以下为DLA Piper的高级合伙人兼开源业务实践工作组主席Mark Radcliffe发言全文:
非常高兴能够来到这里,来到北京总是感到非常的愉快,尽管我必须承认夏天的北京是有点热,特别针对来自于加利福尼亚北部的人来讲实在太热了。
简单给大家介绍一下DLA Piper,是国际的律所,我们在30多个国家设有76个办事处,我们有4200多个不同的参与者,我自己也是就50多个新兴公司开展业务,我们在中国有二百多名工作人员,中国也是非常重要的市场,而且在国际平台上感觉到也有很大的需求,不光在中国开展工作,并且把业务拓展到了中国之外。我们在全球的并购交易量方面是最大的一个律师事务所,并且我们也被很多的杂志中评为非常强的律师事务所。在知识产权方面,我们有150多名知识产权方面的律师,在全球有400多名技术律师,被法律媒体看作是优异的律师事务所,并且有非常强的知识产权方面的业务技巧。
个人背景,我在开源方面有八年工作经验了,在开源一些举措方面,做了很多工作,比如开源方面的一些证书许可,以及GPL,我们有很丰富的经验,我们的客户都是各个方面的开源公司,另外其他一些演讲者可能也讲过了,软件发展总是不断的发生变化,因特网的使用,使得整个世界发生了很大变化,并且很好的管理法律事宜,据调查开源软件已经成为主流。
差不多有30%开源软件被使用,并且在内部发展当中使用开源作为发展的软件基础,总体来讲,开源软件是非常重要的,对于开源软件的使用方面,我们会建立一个政策框架,哈佛商业评论中讲1/3的组织有政策结构,剩余的依赖临时的或者非政策程序,首先确保我们有共同的法律框架,最重要一部分就是开源的许可,是知识产权的一部分,这点很关键,一部分是专利,专利是一种消极的权利,需要防止第三方使用发明的能力,比如说当因特尔发布一款芯片的时候,可能有五千多项关于这个芯片的专利,一个软件也可以有多个专利,但是除了专利之外还有一部分需要进入政府审批流程的,不是自动进行保护的。在版权方面,是创设后即自动保护的程序,不需要做任何申请或者审批,可以有分配、复制、修改、公开演示、公开展示你的产品的权利,这些都是排它性权利,可以有多个专利。对于开源计划来讲,是一种非营利性的项目,并且管理开源的定义,还有批准方面的许可,证实产品是开源的或者是不开源的,现在大家如果上网站,可以看到我们开源方面的一些定义。
简单了解一下批准许可,通用的一些公共许可证已经出现了第二版本,我给大家举一个例子,也是最广泛使用的许可证,GPLP现在有50%项目使用这版许可证,还有一些异常规定,这是大家需要注意的,很多项目使用GPLP2 ,Linux一些许可证标准也是GPLP2,我们要注意异常规定,意味着不光是改变,比如如果有编码器使用GPLP2,可以用来专有项目编码时候,发布过程中使用GPLP2,这个过程中我们要注意异常方面的规定,同时还要求源码应该是开源的,光下载是不够的。1991年时候提出互联网许可,最近GPLP3提出源代码可以下载,必须通过CD或者DVD方式度曲,很多人非常担心GPLP2是有条件的许可,不符合条件、不满足要求不能得到许可,如果没有满足GPLP2的要求,安在手机上,可能有几百万的拷贝,必须要遵守整个许可的前提条件。
之后人们会问为什么你比较关心管理FOSS?首先你的客户非常关心,比如每一个第三方软件,比如摩托罗拉任何一个产品都需要经过这样一个过程,要求你来回答很多问题,比如说你出来开源,如果不能够以可信的方式回答这样的问题,你就没有办法实现这一点。比如很多大公司有独立的开源调查程序,主要就是研究合规的情况,同时要了解雇员有什么贡献,比如专利、版权等等,这些都要解决,还有诉讼的问题,对开源方面的诉讼现在还并不是很多,但是我们可以看到,比如BusyBox有一个诉讼,还有一些诉讼和解了,没有进行判决,同时他们也一个软件中心代表BusyBox所有参与方,也是要保证人们在开源方面可以反映GPLP要求的。大家知道Orical诉Android,Orical有61亿美元的损失,他们说违反了专利的保护,随着开源变得越来越重要,将来会有更多的诉讼出现。
我们讨论很多开源的情况,我们在这方面已经做了30年了,软件的开发、开源是最有利的,可以更好的鼓励创新,但是与此同时还和价格有关,如果你是非常成功的企业,如果使用开源方式,别人有可能也会以此为借口诉讼你,比如Orical案例,和Google相关的,要求60多亿美元的损失赔偿,还有40个涉及到Android的诉讼,在开源社区当中,人们也知道他们需要进行专利的购买,专利是他们知识产权中很重要一部分。还有一中就是完全开源,如果简单做开源并不是解决问题的方法,比如诺基亚塞班就是开源的,对于开源社区来说,必须要建立起很好的社区才能满足要求,通过协作,可以建立可持续性的社区,大家知道APPLE STROE和GPAL之间的情况,包括使用开源和云之间的关系。
我们举个例子说一下开源的复杂性,Android就是很好的系统,一共有165个项目,原来165个项目中有83个属于外界项目,一共有超过84000个档案,从合规角度来说意味着什么?其实Android里面有很多不同专利,同时要更好的管理,必须了解所作所为的一些结果,比如我参加过一个Android的会议,有一个公司开发人员说我不喜欢Android为的工具箱,把它拿出去了,如果你了解它的替换结果的话是没有问题的,但是另外一点,GPAL2的许可的BusyBox也是有很多争议,有很多诉讼,他可能觉得这是一个技术问题,实际上有很大问题,会对他进行诉讼,必须了解有什么后果。
包括如何帮助管理的团体计划,我参与过这样的协调项目,主要是给项目提供一些协议,比如说我们提出要有一个模板,叫做贡献人的协议,你可以选择,比如Apache,他们现在没有标准化贡献者协议,比如桌面贡献者一点都不全面,语言、条款都不是很明确,所以我的客户就说贡献人的协议是有问题的,所以我们现在正通过标准化的方式完善贡献人的协议。第二,SPDX,现在大家越来越关心它的供应链的管理,比如摩托罗拉,要求所有的第三方软件都必须要知道软件是怎么做的,如何管理,SPDX也是非常重要的,SPDX可以帮助你确定你所有的许可的一些细节,如果只是说GPLV2没办法确定是哪种,必须知道GPLV2不同的分类等等,对于SPDX来说,它的目标就是能够给许可的事实信息档案建立一个非常详细的说明格式,充分说明你的软件包是什么样的。同时SPDX会在今年8月份推出,如果大家感兴趣的话可以在8月份看我们所出的SPDX,这也是我们公开合规计划的一个支柱,也是对Linux基金会的一个支柱。在整个供应链当中,过几年可能大家都会用SPDX,大家现在最好就开始关注,不断进行追踪。
我再谈一些补救的方法,或者违反许可以后的补救方法:第一点,如果没有按照许可执行,特别是GPLV2,你就会丢掉许可,人家可能会起诉你,要求进行赔偿,在美国,如果侵犯版权,可以实施禁令,企业可以要求你有法定损失赔偿,一项版权可能会达到15万美元,而且你经常会收到禁令,而且损失并不是我们所说的实际损失,有可能是法定损失,你的产品如果没有达到产品的要求就属于侵权,法院要进行判决,法院可以禁止你再出售或者销售你的产品,对于公司来说是非常复杂的,或者是非常危险的。为什么采用开源政策的?首先我们必须建立一个很好的框架,这就是我们所说的开源政策,刚才前面也提到过,首先考虑道不同的项目、不同的软件,比如说你在框架之外如果有问题就要问你的供应商,我们政策主要是管理风险,同时保证策略的灵活性。还有异常开源软件的风险,比如不确定的GPL范围、GPL自动终止等等,另外还可以让你的客户知道你们的产品里有什么,比如你是非常小的一家公司,有风投投入到你的公司当中,他们也关心用的什么开源软件,以及如何对它进行管理。五另外现在还可以看到有很多关于合规性的问题,包括软件等等。
我们应该怎么做?第一,并不是法律问题,实际上并不仅仅是法律问题,同时还涉及到商业的问题,你必须要从跨功能性角度来考虑,并不是小公司就可以解决这些问题,你需要进行产品的规划,同时还要考虑到整个流程,比如组件的管理、许可的管理等等,你要了解你的权利和义务是什么,可以采用一定的流程,很多东西只放在纸面上是不行的,必须保证是事件的带动,需要要求组件的批准、规划的解除,另外接受供应商或者厂商的代码,然后设定解除方式,利用供应链的技术等。根据我的经验,最好是采用供应链管理流程,对于工作流、流量等等进行管理,其实市场上也有很多工具帮助你进行ERP系统管理,另外还可以建立中央数据库,同时还包括业务流程的整合是非常关键的。
在开源软件政策当中经常会犯什么样的错误?第一个就是法律术语必须让人们很容易理解,工程师有时候对于法律术语不是很熟悉,这些也要让他们更好的了解;另外可以制定一些政策,针对不同的产品、业务还有集团等等,如果你不能够涵盖所有的软件来源也是很大的问题,比如顾问、承包商、并购、第三方许可人等等。原来曾经有这样一个案例,当时有5亿美元的投资,希望了解整个开源的体系,当时他们发现可能其中有一部分来自于承包商,但是没有办法了解软件来源,最后投资就没有成功。包括第三方的许可,像有些企业,可能是在别的国家,他提供给你的可能是BusyBox,但是是通过另外第三方获得许可的,而且并没有符合许可的要求,但是如果你在这边使用的话,可能人家就会问你为什么满足政策的要求,最后就会进行起诉,最后他们发现合同的抒写有问题。另外,有的时候政策太严格或者不太切实际,这时候也算一种违规。同时政策还需要有一定的灵活性,随着时间的调整而调整,企业的业务会发生变化,所以产品必须非常灵活。另外也需要进行持续的教育,通过培训让企业了解如何进行开源的管理,管理层要给予更多的重视。在并购当中,像思科他们都有独立的调查程序,调查开源的合法性,同时他们也想从尽职调查角度了解你在用什么样的开源软件、什么样的开源政策、如何实施等,包括一些技术和法律的问题,比如不能够转让大多数的开源软件的许可,如果你不做这些调查,有可能会产生很大的影响,我曾经做过一亿美元的并购,涉及到云计算等等,碰到一些开源方面的问题,我们花六个星期的时间才完成这项交易,使得并购公司并购的愿望更小了,15%的工作花了12个月的时间,20%的内容花了20个月的时间,花费的时间和金钱都是非常高,还有IP方面的问题,开源也是最主要的一个问题,有时候甚至涵盖的数额超过两千万美元,有时候甚至就算花五百万美金做这方面的工作可能也不是非常合适。
最后总结一下,我们需要有效的管理开源软件,看作真正的商业问题,因为不光是客户方面的需求,我们需要把开源软件的管理看作综合的跨功能性的业务程序,并且制定政策,界定工艺以及工艺当中所有人,对于公司来讲,可能有时候有技术方面的帮助,因为人们可以了解到这个过程的复杂性,现在有很多许可证正在申请过程中,我们需要实现流程的自动化。
以上就是我正式演讲的全部内容,如果大家有问题,我愿意回答,谢谢大家!
