开源软件产品的使用风险以及合规管理

开源软件的合规管理，或者说开源协议的合规管理，慢慢将逐渐成为一项新的法务工种。那为何开源软件的合规管理变得越来越重要呢？有以下几种原因：

一、开源厂商的商业化需求

越来越多的开源软件版权方，在积累了足够的声誉和用户后，开始部署商业化的道路，中国也是他们看重的一块市场；势必会逐渐压迫中国企业使用他们的商业版授权软件。

二、国内软件厂商的高度依赖性

国内的软件开发环境，相对来说比较偏向于应用层，很少由从零开始造轮子的，这也导致了绝大多数大型商用软件，或多或少都使用了开源软件；

涉及开源软件的侵权诉讼越来越多，许多开源厂商和国内二道贩子，在裹挟不成的时候，利用司法压力达成目的已经成为他们的主要选择。

ps：这里需要说的是，一些流氓软件公司，自身本身使用的外国的开源产品，但却在自己不遵守开源协议的情况下，以软件侵权（传播权、复制权）等，起诉国内公司软件著作权侵权，实在是可耻。

如何规避开源产品的使用风险，或者说的更准确一些，如何平衡使用开源产品带来的敏捷开发的便利性，以及带来的侵权风险。

主要步骤；

1、分析产品对开源产品的使用和依赖现状；

2、调查开源产品的版本树和协议树，大部分开源产品都可以在github上找到线索；

3、分析目前对开源产品使用的合规程度，以及可能带来的经济成本；

4、远期规划公司技术开发的实质需求，对合规使用的成本和商业化使用的成本进行比对研究；

5、确立方案，一般是以下几种：

（1）停止使用开源产品；

（2）继续使用开源产品，建立合规使用规章制度；

（3）购买开源厂商昂贵的商业化产品；

制度建设建议

开源的合规制度建设，成本其实也并不低，主要来源自几个方面：

（1）懂软件的律师/法务

这里如果只是阅读了几篇开源协议，但完全不懂软件生态和开发的律师，其实并没有什么luan用。一个合规的开源协议合规律师/软件律师，价格不菲。

（2）嵌入式合规审查

项目开发的过程当中，相关法务，需要嵌入式进入到项目小组中。主要负责 (a) 第三方“轮子”的审查；(b)代码或软件包的组合方式（c）版权协议和声明 (d) 最终产品的审查。

这些工作，势必会增加工序流程，拖慢工作进度。但从长远看，也是大型公司所必须的。

（3）用户体验的优化