愛麗絲·潘尼爾：中美巨頭突然異口同聲，拉響DeepSeek背後的三角爭奪戰

guancha

2025-02-22

本報告原刊於法國國際關係研究所（IFRI），原標題為《“軟件實力”：開源軟件的經濟和地緣政治影響》(Sources d’influence. Enjeux économiques et géopolitiques des logiciels open source) 限於篇幅，有所刪節。

【文/愛麗絲·潘尼爾】

當今的技術趨勢之一是人類活動的日益“軟件化”，即個人、企業和政府的大量活動都通過軟件完成。工業轉型、公共服務數字化、5G部署以及物聯網出現，都讓軟件的戰略地位不斷攀升。軟件不僅無處不在，而且其功能和組件也日益複雜，相關的軟件風險也日新月異，因此安全分析也必須順勢而為。

軟件的核心是“開源代碼”。據統計，目前市場上80%到96%的軟件（包括專有軟件），其代碼都是開源的。無論是否知情，大多數公司、個人和政府都在使用開源軟件或組件。

根據美國Apache軟件基金會負責人David Nalley的説法，“開源不僅是軟件行業的重要組成部分，而且是現代全球經濟的基礎之一”。此外，所有新興技術，如人工智能和物聯網，都在廣泛應用開源的資源。因此，“開源”這一現象的戰略重要性將持續增加。

（譯者注：開源軟件是指可以公開訪問其源代碼的軟件，這意味着任何人都可以查看、修改和共享它。它通常由社區開發，並遵循自由和開放的協議。開源代碼和組件是開源軟件的基礎，因為軟件是由這些組件和代碼組合構建而成的。開源組件也是開源代碼的一種形式，因為組件通常包含開源代碼。）

這一事實提出了幾個問題。為什麼開源軟件能夠成為全球數字基礎設施和經濟的一個結構性元素？如今的全球開源生態系統是如何運作的？開源生態和占主導地位的私營企業之間存在哪些合作和緊張關係？政府是如何處理上述問題的，及其做法會對開源生態系統帶來什麼影響？

如今，開源軟件相關的網絡安全、經濟與創新問題已不言而喻。開源模式為軟件開發帶來了巨大利好，涉及速度、質量、組件的透明度、可能的漏洞、交互性、使用自主性等各個方面。

也正是因為如此，開源具有眾所周知的弱點：即便是在很多關鍵性、基礎性的開源項目中，其主要貢獻者和維護者都是自發的志願者。

因此，私營企業越來越關注開源項目，併為充分利用這一資源做出了具體戰略。出於實際和經濟的原因，大型科技企業率先介入了開源生態系統的構建和治理，如今已經成為其中的支柱。事實上，如今的全球開源生態系統正是圍繞着（私營企業相關的）大型基金會和代碼庫而組織的。

各數字大國政府長期關注開源問題，但也是近期才逐步意識到開源軟件的戰略地位。通過分析美國、中國和歐洲的案例表明，政府對開源生態系統的參與不僅是被動地應對現實問題，而且越發政治化，表露出維護政府對國家安全、國際影響或數字主權的雄心。

然而，對於公共部門而言，在“確保關鍵開源組件的普及”、“開發‘主權’技術”、“防範開源軟件的去中心化風險”三者之間，依然存在明顯的矛盾。

開源軟件的崛起、機遇與挑戰

關於軟件的開發和分配有着兩種主要的許可模式：專有軟件（proprietary software）和開源軟件。基於此也誕生了相應的經濟和政治制度。

起初，專有軟件佔據主導地位，但因為其明顯的侷限性（如經濟成本高、風險大），開源軟件在過去的二十年裏迅速崛起。

如今，很多開源代碼和組件已經成為全球數字基礎設施的核心。在現實的軟件開發過程中，兩種模式也逐漸混合化，已經很難直接將這兩種模式區分開來。

然而，開源生態系統時常發生巨大的網絡安全漏洞事件，並且對某些關鍵組件也缺乏相關維護資源，這些都導致了企業和政府對該系統的關注與日俱增。

（一）“開源”成為數字經濟的核心基礎設施

1.為何要尋求專有軟件模式的替代方案？

從20世紀70年代互聯網時代的到來，到20世紀90年代末，專有軟件大量湧現併成為主導。專有軟件通常由私人實體開發，以獲取商業利益。

軟件（尤其是通過雲計算提供的軟件）通過許可制度（licensing），以付費訂閲的方式被提供給客户。軟件出版商的其他收入來源還有維護合同，以及銷售相關服務、“高級”功能和廣告等。在該模式中，用户一般無法獲得軟件的源代碼，因此不能檢查或修改軟件。

此後，專有軟件的主導地位受到了挑戰。對用户來説，專有軟件模式帶來了一系列問題和風險，而全球地緣政治競爭更是增加了依賴專有軟件的風險。

當某些專有軟件是由外國公司生產的時候，問題更加突出：網絡安全風險的能見度相對更低（因為不開放代碼和後台運營詳情），用户權益保護和爭端解決依賴域外立法（特別是關於軟件使用產生的數據處理），專有軟件的交易和使用受到地區限制（出於數據保護、政治、國家安全等原因）。

（1）激增的網絡和物理風險。專有軟件和開源軟件在安全方面各有優劣，使用範圍是影響安全性的首要因素。

很多專有軟件往往擁有特殊權限，甚至能夠直接進入網絡和設備。例如，由SolarWinds公司開發的Orion軟件是對信息系統進行性能監控的平台，安裝在美國成千上萬的組織中，其中包括美國政府。在2020年12月一個針對Orion的惡意軟件被曝光時，網絡攻擊者早已通過該平台接入各大組織的網絡和系統，並且獲取相關數據長達數月之久。

在物聯網興起的背景下，嵌入式軟件的風險也隨之上升。例如，在2018和2019年波音737 MAX的一系列飛機的事故中，部分就是由飛機軟件的錯誤造成的。

隨着智能家居、自動駕駛的領域的快速發展，相關物理層面的網絡安全問題也會越來越多。

（2）用户與政府加強數據保護。專有軟件還涉及數據保護的相關問題，因為這些數據往往容易被輕易流出，甚至未經許可就被其他人利用。

此外，專有軟件還可能存在後門，能夠接入各種硬件設備，並且難以被檢查出來。歐洲監管當局此前對基於雲計算平台提供的“軟件即服務”（Software as a service, SaaS）模式進行了摸排，發現很多軟件供應商受到本國法律規定，會強制將用户數據傳送給其所在國當局。例如，美國的谷歌、亞馬遜和微軟等大型雲服務提供商都有類似問題。

此外，一般的手機應用程序的後台數據往往也會受到開發商政府的監管和審查。

（3）貿易和使用限制在增加。隨着全球地緣政治局面的變化，來自某些國家的專有軟件的貿易和使用限制在增加。例如，美國的出口管制政策已經從“軍事領域”拓展到更多用於工程和技術發展的領域，軟件領域也受到其波及。

根據美國《外國直接產品規則》（FDPR），向中國和其他國家（重新）出口某些使用美國機器或軟件開發的產品需要美國的許可證。此外，根據技術轉讓限制，如果用户使用在線服務時在不知情的情況下向外國傳輸了數據，該用户也可能在無意中違反了某些限制。

2.開源：軟件開發的基本要素

（1）自由和開源軟件的基本原則。從歷史上看，開源運動源於20世紀80年代誕生於美國的“自由軟件運動”（free software movement）。相比專有軟件，自由和開源軟件在原則上沒有國籍，因此也沒有邊界。

在開源的許可模式下，用户可以獲得軟件的源代碼，並且重新發布、修改和添加，各種限制比專利軟件要少得多。開源軟件也被廣泛用於研究機構，因為它可以針對不同的實驗需求進行定製和改進。

此外，一些開源軟件和組件更是當前數字基礎設施的核心，並且也存在於眾多私人企業開發的專有軟件當中。比如Python和Perl編程語言、Linux操作系統、Mozilla Firefox網絡瀏覽器、MySQL數據庫管理系統、Apache HTTP服務器，以及大多數Java工具。Linux作為開源模式生命力的代表，每天新增1萬行代碼，5000行被修改。

（2）免費模式和專有模式混合共生。軟件企業長期不接受免費的自由軟件模式，因為其“違背了知識產權原則”。然而，從1991年Linux操作系統被推出以來，越來越多企業和政府將開源代碼納入其產品中，同時也將自己開發的程序提供給開源社區。

一個典型的案例發生在2008年，谷歌推出了基於Linux修改版的安卓手機操作系統。如今，這個系統已被安裝在至少25億台設備上。

事實上，當前的軟件開發已經是開源組件和專有組件的集合體，一個現代軟件應用程序往往會包含至少100個開源組件。一般來説，軟件系統的底層架構往往是開放的，而應用程序和用户界面往往是企業專有的。在這樣的混合結構下，往往很難梳理一個軟件的所有組件。

此外，“自由軟件”不一定意味着“非商業軟件”。紅帽公司（Red Hat，譯者注：“紅帽”Red Hat是一家開源解決方案供應商，通過為開源社區貢獻力量獲得了巨大的影響力）等也在開發“商業性”的開源軟件——在開源許可下開發產品，並通過向客户收取贊助、維護和安裝費用來確保其盈利。

受全球大流行的影響，各國數字化進程加快，風險投資基金也更多地投資於生產開源軟件的初創企業。

最後，開源生態中的許可證（licenses）類型也在不斷演變。1985年，“Copyleft”許可證（如通用公共許可證，GPL）的概念被提出，它提供了“執行、複製、修改和分發計算機代碼”的自由，並要求在該軟件的所有衍生版本中維持這些自由。換句話説，這種類型的許可證不允許在Copyleft源代碼的基礎上創建專有軟件。

然而，大型技術企業往往偏離這些原則。例如谷歌在Linux的基礎上開發了安卓系統，但卻沒有制定商業許可證，從而避免披露對源代碼的修改。

（3）雲計算和新興技術中的開源軟件。開源組件是當前雲服務的重要元素，例如，所有的雲平台都在向開源的分佈式架構解決方案Kubernetes靠攏。

反過來，大型技術企業的“雲即服務”（Cloud as a service）模式也在不斷推動開源發展，因為雲平台從根本上改變了開源技術的傳播方式，其幾乎可以被視為一個“開源應用程序商店”。

此外，開源軟件也將在物聯網新興技術的發展中發揮關鍵作用。如今，各種“智能”和“互聯”設備數量飛速增加，在2010年至2020年期間，物聯網設備數量增加了約1000%。

隨着這類設備的普及，任何類型的企業可能都有軟件開發需求，一輛汽車所需的代碼行數甚至超過了F15戰鬥機，並且這些軟件必須是“通用的、開源的、可在異質硬件和供應商之間重複使用的，並且實施一套通用標準和API”。

與此同時，開源代碼也是監督上述新興技術的重要方式。歐洲議會在2019年的一份報告中明確指出，有必要將公眾納入人工智能的發展進程，“通過開源來公佈所有由公眾資助或共同創立的算法、工具和技術”，進而促進對源代碼的審計。

（二）“成也開源，敗也開源”？

1.網絡安全問題

兩個重大的安全漏洞凸顯了開源組件的網絡安全問題：2014年的“Heartbleed漏洞”，以及2021年12月的“Log4Shell漏洞”。

Heartbleed漏洞來自加密工具庫OpenSSL代碼中的一個錯誤。這個錯誤自2012年以來一直存在，直到2014年3月被谷歌的安全團隊和芬蘭工程師發現。基於這個漏洞，用户名、密碼、私鑰和通過這些證書交換的數據等加密內容都將暴露。

約有三分之二的網站使用OpenSSL，其中包括各大銀行官網、電商、社交網絡等。作為互聯網歷史上最嚴重的漏洞之一，各界都很難評估這個漏洞被惡意行為者利用的程度。

在2021年12月，一個漏洞影響了Log4J日誌軟件組件。該組件被許多基於Java語言的應用程序和網站用於記錄設備上的活動，而這個Log4Shell漏洞將允許網絡攻擊者控制整個應用程序甚至是設備系統。整個Log4Shell漏洞被稱為“有史以來最嚴重和最廣泛的網絡安全風險之一”。

雖然項目開發者在發現漏洞後的兩週內修復了代碼錯誤，但修復該漏洞前必須更新當前的Log4J版本，而很多用户正是在此時才意識到自己的軟件和設備存在該代碼問題。

譯者注：Log4Shell漏洞存在於廣泛使用的Apache Log4j日誌庫中。該漏洞允許攻擊者遠程執行代碼，而無需進行身份驗證。攻擊者可以通過各種攻擊向量利用此漏洞，包括HTTP請求、電子郵件消息和其他形式的數據輸入。該漏洞對全球各種規模和行業的組織造成了安全威脅。一些重要的公司和應用程序都受到了影響，例如Microsoft、Apple、Google、Amazon、阿里巴巴、網易等。

如今，針對開源軟件的攻擊正在不斷發展。相比2020年，2021年的攻擊增幅高達650%。並且新一代攻擊的模式有所變化，其目的是讓軟件開發者上傳冒用合法文件名稱的惡意軟件，從而滲透到上游的軟件供應鏈中。

2.經濟可行性問題

只要是軟件就可能有漏洞，Log4Shell和Heartbleed並不代表開源模式本身的失敗。然而，這些時間也凸顯了開源模式背後經濟模型的不穩定性：儘管一些代碼、組件、軟件產品非常流行，甚至已經是全球數字架構的骨幹，但這些內容在很大程度上依賴於開發者的自願貢獻——從編寫、維護到糾錯。

OpenSSL的開發團隊非常小，捐款也越來越少。在Heartbleed事件之後，Linux基金會承諾對OpenSSL提供財務支持。此外，Log4J早在2014年就暴露出的資金不足問題，也在Log4Shell漏洞後被推到了風口浪尖。2022年1月，一位程序員甚至自發破壞了他正在進行的項目代碼，以譴責開源世界的不穩定性。

換言之，目前開源模式並沒有反映出開源軟件所產生的經濟價值。歐盟估計，開源對經濟的積極影響在650-950億歐元之間，2018年的年度投資為10億歐元；如果開源的貢獻增加10%，就會使GDP增加0.4%到0.6%。

因此，更多人呼籲為開源代碼項目找到可持續的資助模式。例如，大型軟件項目的託管平台GitHub已經推出了“贊助”功能，允許開發者為他們的工作接受經常性的捐贈。然而，而目前的整體趨勢依然是大型科技企業在介入開源項目，包括收購資源庫平台。

如前所述，這種私有化趨勢可能違背了開源的基本原則的運作模式。一方面，大企業直接參與開源項目，會消除貢獻者的多樣性，而一旦企業放棄項目，整個開源社區都會受到損失。

另一方面，如果圍繞企業建立集中化的開源項目，很容易招致國家的更多參與，進而導致其他國家的用户無法訪問存儲庫、代碼或許可證。例如，當前俄羅斯用户因為國際制裁就被暫停了GitHub賬户。

開源生態系統的演變：大型科技企業佔據主導

全球開源生態系統的主要構成有：開源項目發起者、源代碼貢獻者、代碼資源的彙集者、為整個體系輸送資金等外部資源的行為者。具體而言，三種不同性質的組織扮演着核心角色：基金會、代碼庫和合作平台（如Github）、大型科技企業。

如今，大型科技企業發揮着越來越大的作用——他們不僅直接參與開源項目開發，並對基金會和代碼庫提供資金支持。

（一）開源的推動者：基金會和合作平台

1.基金會

基金會在開源生態系統的管理、組織和運營中起着關鍵作用。換言之，它們使各種項目的協同合作成為可能。當前，全球的開源生態系統主要是圍繞着少數的美國基金會進行。其中，兩個基金會的作用最為突出：Linux 基金會（LF）和 Apache 軟件基金會（AF）。

LF成立於2007年，目標是推廣Linux操作系統，並越來越多地在各個領域開發具有商業利益的項目。它如今的使命是彙集大型社區和投資，促進創新，加速代碼開發，確保代碼編寫的安全性，並幫助管理知識產權。目前有超過100個項目屬於LF的保護範圍，涉及的領域包括人工智能、自動駕駛汽車、網絡或安全。

Linux基金會有200名員工，1000名會員通過LF的各種工具、產品和服務使用相應的開源技術。2019年，Linux基金會的收入為1.24億美元（從2011年的1560萬美元迅速增長），主要來自會議主辦、付費服務、企業會員費和培訓活動。

LF參與了越來越多的大型項目，甚至開始支持或投資其他基金會，比如2020年創建的開源安全基金會（OpenSSF）、2022年9月加入PyTorch（機器學習）和OpenWallet（電子錢包）基金會。

Linux基金會介入Facebook開發的PyTorch項目的動機在於，Facebook需要LF的平台能力進而管理這個超過2400名頂尖貢獻者參與的項目。與此同時，也有批評指出，LF如今已犧牲了當初的社區精神，成為“大型科技企業之間利益置換的行業聯盟”。

Apache基金會的規模僅次於Linux基金會。它沒有員工，但有6000名志願者和大約200萬美元的預算。由AF主辦的Apache httpd項目是一個HTTP服務器，它承載了世界上三分之一的網站。

AF創建於1999年，並開始負責主持這個項目，此後還主持了大約200個其他項目。與LF不同的是，Apache基金會的會員身份基於是其對於項目的貢獻和參與程度，而大型科技企業依然其背後的主要勢力。

在歐洲，由於大型科技企業的束縛相對更弱，還有許多其他更小或更專業的基金會存在，並且不少美國基金會也在遷往歐洲，如Eclipse和RISC-V基金會。此外，2022年9月Linux基金會也成立了歐洲分部。

2.協作開發平台和代碼庫

隨着開源模式的推廣，程序員社區已經組織起來。各種能承載軟件項目並允許集體提供和管理源代碼的網站被建立，軟件開發實踐也具有一定的標準化。

2008年成立於舊金山的GitHub是主要的平台。包括谷歌、Facebook和Twitter等主要科技企業選擇在GitHub上託管他們的開源項目代碼，並逐步關閉自己的源代碼託管服務。

2018年，微軟以75億美元收購GitHub，但是並沒有影響該平台的受歡迎程度。其免費界面的質量和簡單性也促使Apache基金會將其所有項目遷移到GitHub上，同時它也是Linux基金會推薦的平台。

GitHub還承擔了許多傳統上由基金會承擔的功能，包括項目基礎設施和專業諮詢，例如如何選擇許可證、提供對貢獻者的付款渠道。在GitHub被微軟收購後，儘管很多開發者都希望將軟件遷移到其他協作平台或倉庫，但卻找不到合適的承載主體。事實上，該平台上最大託管項目中，真實的管理權已經從開發者轉移到了大型科技企業。

被廣泛使用的在線軟件源代碼託管服務平台GitHub

（二）大型科技公司的參與度不斷提高

1.控制開源項目的資金流

有趣的是，在開源領域，互相之間激烈競爭的科技企業每天都在合作，而大多數大型科技企業都是大型基金會的成員或贊助商：或是為這些基金會提供資金，例如成為Linux基金會的白金會員，每年繳納50萬美元。或是提供服務器、開發人員等各方面的技術資源，例如微軟、谷歌和紅帽的員工已經是GitHub的貢獻前三名，並且如今只有15%的Linux代碼仍然是由志願者無償編寫的。

此外，大型科技企業還會直接收購現有代碼庫或開源軟件企業。2018年，IBM以380億美元收購了紅帽公司（1.3萬名員工，24億美元的收入），此次交易是IBM 迄今為止最大規模的一次收購交易，也是美國科技史上第三大收購案。

2.大科技企業的控制開源生態系統的動機是什麼？

（1）節約開發資源，加速技術創新：使用現有的開源組件意味着不必“重新發明輪子”，並且生機勃勃的開源社區還會不斷主動貢獻新的想法、技術和項目。

對於企業而言，可以在現有資源的基礎上，進行更精細和有效方式開發前端軟件產品。此外，如沃爾瑪、美孚石油或梅賽德斯-奔馳等各種實體企業也在藉助開源代碼，藉此加速其軟件開發和數字化過程。

該現象在汽車產業尤其明顯，大型集團正在通過Eclipse基金會提供的軟件定義車輛工作組的協作模式，進而為自動駕駛汽車開發開放和可互操作的軟件模塊。簡言之，開源體系幫助各種企業節約了研發人員的勞動時間及成本、專有軟件的許可和訂閲（使用）費用，極大降低各種企業進入軟件開發領域的門檻。

（2）釐清供應鏈漏洞，保障網絡安全：正因軟件在當前世界經濟和政治安全中的關鍵地位，其底層的開源組件的漏洞也應得到重視。通過各種路徑的直接投資，科技企業能夠更好地把控開源體系的安全。

例如，在Log4Shell事件後，谷歌出資1億美元建立了如“開源安全基金會”這樣的專門組織，邀請了幾乎所有大型科技企業參與實現“跨行業合作”；此外，2022年5月，谷歌為志願開發者（科技企業員工）創建了一個內部團隊，以維護最關鍵的開源項。

在2022年8月，谷歌還了啓動一項計劃，向研究人員支付費用，以尋找谷歌最新版本的開源軟件中的漏洞——單次獎金可達到3萬美元。

（3）快速推廣產品，搶佔市場空間：科技企業廣泛採用開源模式的背後，還隱藏着產品推廣的戰略動機。通過“免費”策略，在提高某種解決方案被他人使用的機會的同時，還能削弱當前現行產品/服務的市場地位。

當一些專有項目轉為開源時，大量軟件工程師會基於這些技術去開發應用，進而將該項目變成某種標準解決方案，最終實現了對蘋果、Meta、谷歌等科技企業品牌和平台的認可和依附。

例如，Facebook公司開發的PyTorch已經被認為是人工智能市場的領導者，在GitHub上有超過15萬個項目基於PyTorch構建。隨着PyTorch轉型成為基金會後，它還通過對其他企業的高管提供免費培訓，進一步拓展其品牌和市場影響力。

PyTorch是一個開源的Python機器學習庫，基於Torch庫，底層由C++實現，應用於人工智能領域

（4）識別開發人才，擴大行業影響：在開源社區，存在很多有優秀的開發人員，並且通過各種有特色的開源項目“嶄露頭角”。相比傳統的招聘模式，科技企業更加傾向這種基於項目的人才篩選機制，因為開源項目開發人員已經證明了其具備相應的實踐能力。

在科技巨頭牢牢控制住數字經濟的商業化變現路徑後，“有才華”的開發人員也只能通過開源社區實現價值轉化和最終的成果落地。

大國地緣博弈：政府介入開源生態

如前所述，科技巨頭正在逐步用商業利益裹挾“開源生態”，其強大的控制力也導致了開源理念的偏移。而在大國博弈的背景下，政府主體的強勢介入又將改變當前的利益格局。例如，中國開始加強自主的開源基礎設施的建設，美國聲稱要“減輕外國對開源的潛在干預風險”，歐洲則探索其了一條介於“全球公域”和“國家主權”之間的“第三條道路”。

（一）中國：在關鍵領域實現獨立自主

1.中國科技巨頭影響全球重大開源項目

自 2010 年以來，中國貢獻者在全球開源社區中所佔的比例持續大幅增加。以GitHub平台為例，其7300萬貢獻者中超過750 萬人來自中國，佔比僅次於美國（2021年數據）。許多由中國人開發的GitHub項目擁有數百名貢獻者和數千個分支項目，而在2020年關注度最高的五個GitHub用户賬户中，有兩個是中國開發者的賬户。

在2021年3月，阿里巴巴、華為和騰訊同時首次進入GitHub資源庫貢獻度前20名。與此同時，Gitee等本土協作平台也得到中國開發者青睞——這些平台不僅技術性能更好（由於位置靠近中國領土），並且沒有外國干涉的風險。

GitHub代碼庫貢獻者在世界上的分佈圖，顏色越深貢獻越多

（1）操作系統：Linux操作系統幾乎是“整個物聯網、雲計算和超級計算機，以及數十億部智能手機等的核心構件”，而華為公司正在成為該系統內核的重要貢獻者。與此同時，華為自身技術的許多重要組成部分也以來安卓系統等海外開源軟件的貢獻。隨着美國對華為的制裁深入，華為正通過自主開發的鴻蒙操作系統以穩住陣腳。

（2）半導體：中國公司在用於製造半導體的硬件和軟件也依賴開源社區。因此，阿里巴巴和華為，正與谷歌等美國巨頭、歐洲恩智浦一起投資於RISC-V項目社區，用於設計開源半導體設計（譯者注：RISC-V指令集可以自由地用於任何目的，允許任何人設計、製造和銷售RISC-V芯片和軟件）。

RISC-V作為一個開源項目，不屬於美國的出口管制範圍，但也長期受到美國官方的關注和警告。因此，起初設立在美國的RISC基金會近期已遷往瑞士，以降低未來潛在的美國限制。

（3）雲：由於中國對雲計算使用的快速增長，中國公司也在積極參與相關技術開發，特別是通過Linux基金會主持的“雲原生計算基金會”（Cloud Native Computing Foundation，CNCF）開展工作。如今，中國已經是雲計算開源項目的第三大貢獻者，僅次於美國和德國。

（4）人工智能：全球最廣泛使用的深度學習框架是谷歌的TensorFlow和Meta的PyTorch。而在自動駕駛等更專業的新興領域，中國則取得了更大的成功。例如，百度的Apollo系統已經吸引了寶馬、大眾等老牌車企的深度參與，並有望作為一個開源平台逐步替代特斯拉封閉的自動駕駛軟件體系。

2.“有為政府”的深度參與

早在2000年，在國際合作的背景下，中國政府倡議建設開源社區。一個旗艦項目是基於Linux的紅旗操作系統，由中國科學院軟件研究所開發和發佈。此後，圍繞紅旗操作系統，中方還與IBM、英特爾和惠普等美國企業合作，於2004年創建了“中國開源軟件推進聯盟”。

同年，中國還與法國一系列機構（如國立核科學技術學院、國家信息與自動化研究所、源訊、意法半導體等）展開合作，開發開源基礎設施軟件棧，併成立了一個名為OW2的中間件開源平台。此後，OW2改組成為一個獨立基金會，至今仍然存在。

隨着“脱鈎”言論甚囂塵上，中國也在持續建設獨立自主的本土開源社區。在伊朗和俄羅斯用户被GitHub封號後，2020年，中國首個開源基金會“開放原子開源基金會”（OpenAtom）成立。

此後，2021年3月發佈的“十四五”規劃中也首次將“開源生態”作為國家戰略重點，工業和信息化部還制定了“到2025年創建兩到三個具有國際影響力的開源社區”的目標。

（二）美國：以“網絡安全”為名

1.聯邦政府中逐步推廣使用開源軟件

在1980年代，美國政府主要依靠定製的抓用軟件，而國防部就是最大買家。進入90年代，開源軟件逐步成為聯邦政府信息系統基礎設施的後端。隨着科技巨頭對開源生態的介入，開源軟件也隨之滲透進入政府內部。

直到2016年，美國政府對開源項目採取了更堅決的政策立場——鼓勵在聯邦政府內部使用開源解決方案，並且推動開源軟件在不同行政部門之間重複使用，而現有的專有軟件及解決方案可作為備用手段。

美國國防部首席信息官約翰·謝爾曼（John Sherman）在2022年1月的一份備忘錄中表示，政府使用開放源代碼有幾個好處：與小團隊開發的軟件相比，持續的同行評審能在更大程度上確保軟件的可靠性和安全性；基於無限修改源代碼的能力，國防部能迅速適應不斷變化的情況和需求；開源減少了與依賴專用軟件相關的風險和可能導致的限制；當需要許多份軟件副本時，開源為軟件維護提供了財務優勢；開源適合於創新的原型設計和實驗。

謝爾曼也表示，開源模式也對國防安全帶來了相應挑戰：首先，在關鍵系統中使用外部管理的代碼，也可能為敵對方創造突破口，導致惡意代碼被引入國防部系統；其次，按照開源生態的原則，國防系統也需要分享自己開發的代碼，導致一些關鍵的創新被泄漏。

為此，美國國防部既定的原則是，如果不是“關鍵技術”的組成部分，也可以在開源許可證下分享其開發的代碼。

2.Log4Shell事件之後，進一步推動開源生態政治化

Log4Shell事件導致美國人對開源的安全問題的關注遠遠超出了國防部的範疇，並顯著推動了拜登政府將網絡安全問題“政治化”進程。2022年1月，美國政府（商務部、國防部、能源部、國土安全部；網絡安全和基礎設施安全局、國家標準和技術研究所NIST）、主要科技企業（亞馬遜、蘋果、谷歌、IBM、Meta、微軟）和開源大平台（GitHub、Linux基金會、OpenSSF）在白宮舉行了一次會議，討論開源的安全及融資問題，並強調了政府在相關風險管控中的關鍵地位。

美國國會也已經啓動了立法工作。值得注意是，2022年通過的美國“競爭法案”中在一項修正案中計劃建立一系列“關鍵技術中心”，其中包括一個開源中心，進而允許政府資金能夠直接進入所謂“最關鍵”的開源項目和工具中。

此外，美國政府在9月14日繼續發佈指導方針，要求開源軟件產品經由“聯邦風險和授權管理計劃”（FedRAMP）認證的組織進行評估。

此外，為了更好地識別海外個人或機構對開源代碼的干擾風險，美國國防部高級研究計劃局（DARPA）在2020年宣佈了一個名為SocialCyber的項目，該項目旨在“探索檢測和反擊可能針對開源軟件開發者社區的網絡社會行動的能力，例如提交有缺陷的代碼或設計，針對開源軟件開發者和批評缺陷的維護者的社交媒體運動，以及通過誤導性的錯誤報告，混淆技術討論和社會對開源軟件項目的職能權力的捕獲。”

在此背景下，OSS也快速地緣政治化。即便一些開源組件並沒有任何安全問題，也遭到美國政府封禁，因為其中有來自俄羅斯或中國的人員貢獻。

一些美國國防部的職員和供應商就抱怨道，近期美國禁止了一些政府網絡加入用於存儲和傳送網頁的流行軟件NGINX，因為與該項目有關的一個開發者是俄羅斯人。

美國政策研究人員還煞有其事地分析了兩個結構化開源項目（Python和JavaScript包）的前100名貢獻者的國籍信息，結果也不如他們所願。在GitHub上，這些熱門項目的開源貢獻者中只有一小部分（不到10%）似乎是在俄羅斯或中國，大多數的貢獻者位於美國或其他國家。在一些軟件包中，沒有説明其地理位置的貢獻者的數量超過了50%，這使得分析的操作性不強。

基於當前分析結果，美國並不能確定來自俄羅斯或中國的開發者是否真的在影響開源軟件，更不能確定他們是否在代表他們的政府行事。美國官員可能只是擔憂國際競爭——在2020年和2021年之間，來自中國的GitHub開發者增加了15%，而俄羅斯則增加了30%。

（三）歐洲：探索開源生態的“第三條道路”

歐洲與北美一起，曾經在自由和開源軟件方面發揮了先鋒作用。例如，1993年，歐洲核研究組織（CERN）將英國研究人員蒂姆·伯納斯·李（Tim Berners-Lee）發明的網絡協議放入公共領域，並以自由許可的方式發佈了下一個版本，從而促進了互聯網的出現和傳播。

Linux的創始人萊納斯·託瓦爾德（Linus Torvald）也是北歐人，他在芬蘭上學時開發了該項目。在很長的時間內，大部分歐洲技術企業依然深度參與和使用開源系統。在1990年代前，北美和歐洲在數量上主導了開源世界，此後開源貢獻者的地理多樣性才開始增加。

然而，當前歐洲開發者的貢獻已不足全球開源社區的三分之一。據統計，歐洲佔GitHub平台貢獻的26.8%，落後於北美（34%）和亞洲（30.7%）。在歐洲內部，羅馬尼亞、捷克共和國、法國、德國和英國的開源社區尤為強大，其中德國、英國和法國排在GitHub上歐洲提交量和貢獻者數量的前三位。

歐洲的企業貢獻者相對較少（只有德國的SAP和SUSE進入了GitHub的前20名貢獻者），但參與治理意願非常強烈，如Linux基金會中31%的成員是歐洲人。

1.推進數字主權與“數字公域”發展

歐洲在數字世界的雄心更接近“數字公域”的想象，即“維護互聯網的最初願景，建立一個由歐洲推動的多樣化、非壟斷和非私有化的互聯網”。歐洲自身和數字公域有着共同的目標：維護普遍利益、自由競爭、網絡中立性、保護個人數據和生態可持續性。一些歐洲項目正在具體表達這種保護公域的雄心。

法國國家數字科技研究所（INRIA）在聯合國教科文組織的支持下，於2016年啓動了軟件遺產項目。該項目的目標是收集所有公開可用的軟件的源代碼及其開發歷史，大規模複製及保存，並與所有需要的人分享。

歐洲對開源政治興趣，也與建立歐洲“數字主權”目標相關。創建“作為全球數字公域的開放和共享的軟件和硬件基礎設施”是歐洲技術主權項目的第四個支柱，與網絡空間的安全、數字市場的法律和經濟監管以及創新能力並列。為避免在中美之間被迫和無條件的結盟，歐盟決定追求一條開源軟件和硬件解決方案。

為了使開源不僅僅是一種意識形態，INRIA負責人建議應該將其納入到數字主權建設和產業政策實踐中，確保其能創造經濟價值並得到私營企業的支持。歐洲必須在國際上覆制開源的成功，例如中國的自動駕駛汽車Appolo軟件，它的開發速度比特斯拉的系統更快。

還有經濟上的論據支持在歐洲工業界更多地使用開源。開源對歐盟2018年GDP的積極經濟影響估計在650億至950億歐元之間，公司共投資10億歐元。據估計，如果歐洲公司對開源的貢獻增長10%，這將有可能使歐盟的GDP增加1000億歐元，並每年創造1000個數字企業。

2.更多歐盟成員國積極參與

阻礙歐洲實現“數字主權”的結構化力量是美國，這也就提出了一系列實際問題：如何參與各類（美國大型）組織的管理和代碼開發？如何為外國項目提供資金？如何吸引外國開發者？為此，歐盟也針對性的做出以下部署：

（1）在政府和公共服務領域採用開放源代碼。歐洲當局（在歐盟與成員國層面）積極發展行政部門內部的開源使用，並且開放公共機構生產的代碼和數據。

歐盟委員會在2020年更新並擴大了其開源戰略，將其與“數字自治”的目標聯繫起來，並設立了“開源項目辦公室”（OSPO）。2022年，歐盟委員會信息學總局（DGIT）還啓動了一個資源庫平台，以託管約100個項目，並分享委員會開發的開源解決方案。

（2）參與開源項目開發。法國INRIA開發了用於數據分析的開源工具箱Scikit-learn，在此基礎上鼓勵更多企業使用法國方案開發人工智能應用，並且誕生更多如Data Iku這樣的法國領先人工智能企業。

此外，2022年7月，法國超級計算機Jean Zay上啓動了自然語言處理大模型BLOOM的訓練，目前已經一千名志願研究人員通過由法國政府和開源人工智能平台Hugging Face的共同資助參與其中。BLOOM與當前美國開發的GPT-3（Open AI）和LaMDA（谷歌）定位不同：不僅開源，而且多語種（目前已包含46種語言）。

（3）確保開放源代碼的網絡安全。在2016年Heartbleed漏洞事件後，歐盟設立了“自由和開源軟件審計”（FOSSA）試點項目。具體而言，歐盟為歐洲機構使用的開源解決方案准備了20萬歐元的漏洞獎金。

2021年，歐盟進一步啓動了FOSSEPS試點項目以開展更廣泛的工作，例如為歐洲公共服務中最關鍵的開源軟件創建一個清單，以確定歐洲對開源組件的依賴性，進而提供全面的安全備案。

此外，歐盟還在2022年9月通過了“網絡復原力法”，實施“軟件材料清單”（SBOMs）制度，要求軟件供應商識別並記錄其產品中包含的全部組件。

（4）資助開源。歐盟提出“下一代互聯網”（NGI）倡議，支持有助於發展“以人為本的互聯網”的開源項目。NGI的出發點在於，當前歐洲的研究資助系統（如“地平線計劃”）與開源模式幾乎不兼容：它們通常是大規模的多國團隊，而開源項目通常由個人或小團隊製作和維護。

2018至2020年期間，已有8200萬歐元的NGI基金被分配給約800個項目，其中80%由個人領導；2021至2024年期間，該計劃還將投入1.03億歐元。成員國也在從財政上支持開源生態系統，如果德國就計劃通過主權技術基金，每年為關鍵開源項目提供1000萬歐元資助。

（5）更多元的戰略方向。自2022年年初以來，開源生態得到了歐洲政治的高度關注。這種政治意識尤其要歸功於Log4Shell安全漏洞和法國的大力推動。

2022年2月，時任歐盟理事會的主席的法國宣佈要制定一項“歐洲數字公域戰略”，19個成員國作出了積極回應，並在同年6月發表了一份報告，提倡對數字公域採取共同的“歐洲辦法”，並且呼籲各國應該主動識別在互聯網和軟件方面需要開發的新興技術，並將資金用於某些關鍵領域或基礎設施。

開源生態會成為地緣政治的受害者嗎？

開源模式在軟件開發中發揮着核心作用，既與專有模式並行，又與之日益交融。開源生態系統已經是全球科技企業成功的一個主要因素，它不僅是計算機語言、關鍵軟件組件、互聯網架構等的數字基礎設施的底層支柱，而且也在自動駕駛、人工智能、物聯網等新興技術的發展中發揮巨大作用。

鑑於開源生態能夠創造的巨大經濟價值，私營企業在過去20年內不斷投入資金和人力，逐步成為開源體系中的結構性力量。隨着開源生態逐步被私營企業的利益所裹挾，諸多開源貢獻者希望能夠探索出一條“第三條道路”——在擁有足夠資源維護開源模式的安全和創新同時，也避免開源的“公共資源”被大型科技企業所劫持。

與此同時，一個最新動態更引人注意：鑑於開源對經濟和安全的重要意義，中、美、歐也相應地制定了重點戰略。然而在實踐中，政府對開源社區的管理、運營和制度結構等問題上幾乎無能為力，因為這些職能由基金會執行。即便私營企業濫用開源原則和自由許可證，政府的行動手段也很有限。因此，國家行動更多集中在開源組件的安全和維護上。

鑑於地緣政治對全球開源生態系統問題的侵擾逐漸嚴重，美國為在開源領域的競爭中佔得優勢，也在製造全球開源社區的分裂和國家集中化。例如，來自受美國製裁國家（如伊朗和俄羅斯）的開發者可能會被GitHub平台停職。

與此同時，歐盟通過建立開放的全球“數字公域”，則能驅使更多的重要開源基金會向歐洲轉移力量：Eclipse遷往比利時，RISC-V遷往瑞士，以及Linux基金會建立歐洲分部。

雖然歐洲與中國在若干數字領域存在合作機會，但從安全戰略上，美國依然是一個無法繞開的“盟友”。因此，歐美最終必須考慮不同的安全倡議在國際層面上的一致性，以避免重複的努力或創造矛盾的標準。