开源许可与版权工程

开源在中国已经不只是”要不要用”的问题，而是”用错了要赔钱、要下架、要被并购尽调打回来”的问题。红芯浏览器披皮事件、CentOS 停服导致的生态重组、数字天堂 vs 柚子科技的 GPL 判决、Elastic 与 MongoDB 改协议引发的云厂商对峙、华为把鸿蒙捐给开放原子——每一件都不是纯法律问题，而是工程、治理、合规与商业战略交织的系统性问题。

这个系列面向工程团队和技术负责人，把开源许可、版权与合规当作工程话题来处理：协议条款如何落到代码、构建、容器、SaaS 上；中国的著作权法与司法实践如何影响判断；真实案例里企业踩过什么坑；SCA、SBOM、OSPO、CLA 这些”合规基础设施”在国内怎么搭起来。

本系列为工程参考，不构成法律意见。涉及具体法律风险请咨询专业法律顾问。

适合谁看

• 工程师与架构师：要在真实产品里判断”能不能用这个库”、“这份代码能不能开源”。
• 技术负责人 / 开源 PMO：正在建 OSPO、CLA 流程、合规流水线。
• 出海团队：面对 ECCN、实体清单、基金会制裁名单时需要提前规划。
• 投融资技术尽调：要快速评估目标公司的开源资产与风险。

推荐阅读路径

• 只想看核心协议差异 → 03 → 06 → 07 → 08
• 公司正在做开源合规体系 → 16 → 17 → 18 → 20
• 想了解中国真实案例 → 11 → 12 → 13 → 14 → 15
• 要出海或接触国际基金会 → 05 → 09 → 18 → 19

目录

第一部分：开源与版权基础

1. 开源世界全景：从 GNU 到大模型的四十年
2. 中国法下的软件著作权与开源
3. 开源许可证全景：宽松、弱 Copyleft、强 Copyleft、网络 Copyleft
4. Copyleft 的工程边界：动态链接、容器、SaaS 算不算”分发”
5. 专利授权与商标：Apache 2.0、GPLv3 与”兼容性”陷阱

第二部分：主流许可证逐个拆解

6. MIT、BSD、Apache 2.0：宽松许可证的真实区别
7. GPLv2、GPLv3、LGPL：Linux 内核为什么停在 v2
8. AGPL、SSPL、BSL：云厂商时代的”反云”许可证
9. 木兰许可证与国产开源许可
10. 文档、数据、模型的许可：CC、ODbL、OpenRAIL、LLaMA 协议

第三部分：中国真实案例

11. 红芯浏览器与”国产内核”往事：披皮事件的工程复盘
12. CentOS 停服、Rocky、Alma、openEuler、龙蜥
13. OpenHarmony、MindSpore、昇思：大厂捐给开放原子基金会意味着什么
14. OceanBase、TiDB、Apache Doris：中国开源数据库的协议选择
15. 数字天堂、不乱买、罗盒：中国 GPL 诉讼第一案系列

第四部分：合规工程与治理

16. SCA、SBOM 与软件成分分析：FOSSA、BlackDuck、Syft、OSS Review Toolkit
17. 企业开源办公室（OSPO）与开源 PMO 建设
18. CLA、DCO 与贡献者协议：国内项目要不要签 CLA
19. 出海合规：ECCN、实体清单、加密出口、基金会与 OFAC
20. 开源战略：什么时候开源、选哪个协议、如何构建商业壁垒

第五部分：实操与工程落地

21. 开源许可证实操手册：从选型到发布
22. 闭源项目如何选择开源依赖：公司内部合规实操

延伸阅读

• 身份与访问控制工程
• 架构：鉴权体系
• Rust for Linux