开源知识图谱

基础知识
- 术语与定义
  - 自由软件
  - 开源
  - 开源软件
  - 开源硬件
  - 开源文档
  - 开放数据
- 关键概念辨析
  - Patch、Fork与PR
  - 软件依赖与依赖管理
  - 开源≠免费
  - 黑客伦理
  - GNU、Copyleft与GPL
  - 礼物文化
  - 开发者动机
    - 参考：https://www.osrainforest.org/community-rules-and-hidden-rules.html
    - 参考：《开源文化在中国》
  - 人月神话
  - 集市开发模式
  - Linus’s Law
  - 漏洞与安全
  - 开源治理
    - 企业内部治理
    - 开源项目治理
  - 开源软件生态
  - 开源供应链
- 学习路径
  - 使用者：以企业用户为主
  - 学习&爱好者：以学生群体&潜在贡献者为主
  - 决策者：以潜在的开源商业领袖为主
开源生产
- 技术
  - 开发技术
  - 运维技术
  - 安全技术
  - 运营技术
  - 合规技术
  - 扫描技术
  - 元数据技术
- 法务
  - 许可证
    - 许可证解读
    - 许可证对比
  - 专利
  - 版权
  - 商标
  - 自由开源软件常见使用、修改与分发场景
  - 常见法务合规风险
- 社区
  - 社区成员、角色与贡献
  - 社区规则与潜规则
    - 常见规则
    - 潜规则
  - 组织结构
  - 社区运营
开源生态
- 开源生态的组成要素
  - https://kaiyuanshe.cn/oss-book/The-state-of-open-source-ecological.html
- 企业
  - 使用开源（开源治理）
    - 使用开源的主要方式
    - 使用开源最基本要求：安全可信、合法合规
      - 辨识（Identification）：辨识自由开源软件组件以供审核之用
      - 稽核（Audit）：扫描或稽核源代码并且确认源代码的来源出处以及许可证
      - 疑虑处理（Resolve）：处理任何稽核有关疑虑以让其与公司的自由开源软件政策相合
      - 审核（Reviews）& 核可（Approvals）：自由开源软件组件经审核及核可，同合规之纪录
      - 登录（Registration）：依产品别及释出别来纪录核可软件/版本信息到列表上
      - 声明（Notices）：编辑发行所需之各项声明
      - 验证（Verifications）：验证发行套件的源代码状态，并且验证提供声明的妥适状态
      - 发行（Distribution）：发行源码、相关声明，及索取源代码的书面文件
      - 验证（Verifications）：发行后的再次验证
    - 开源软件选型与引入管理
    - 开源合规及其风险管理
      - https://www.osrainforest.org/open-source-compliance-and-risk-managment.html
      - License遵从，义务履行
      - 片段引用治理
    - 开源安全及其风险管理
      - https://www.osrainforest.org/open-source-security-and-risk-managment.html
    - 生命周期管理
      - 依赖管理、生命周期维护与升级
      - https://www.osrainforest.org/open-source-lifecycle-managment.html
    - 完整性保护
      - 过程透明
    - 架构设计与隔离技术
    - https://www.osrainforest.org/open-source-usage-and-best-practices.html
  - 内部开源（Inner Soure）
  - 对外开源（开源与商业）
    - 开源软件的商业模式
    - 企业原创项目开源前的合法合规要求
      - https://www.osrainforest.org/open-source-compliance-and-risk-managment.html#%E4%BC%81%E4%B8%9A%E5%8E%9F%E5%88%9B%E9%A1%B9%E7%9B%AE%E5%BC%80%E6%BA%90%E5%89%8D%E7%9A%84%E5%90%88%E6%B3%95%E5%90%88%E8%A7%84%E8%A6%81%E6%B1%82
    - 参与已有开源项目的合法合规要求
      - https://www.osrainforest.org/open-source-compliance-and-risk-managment.html#%E5%8F%82%E4%B8%8E%E5%B7%B2%E6%9C%89%E5%BC%80%E6%BA%90%E9%A1%B9%E7%9B%AE%E7%9A%84%E5%90%88%E6%B3%95%E5%90%88%E8%A7%84%E8%A6%81%E6%B1%82
  - 企业开源生态案例集
    - 开源治理案例
      - 华为
    - 开源商业案例
      - 微软
      - 谷歌
      - 亚马逊
- 基金会
  - 中立协调
  - 孵化、维护项目
  - 法务支持
  - 治理机制
  - 名录
    - Apache基金会
    - Linux基金会
    - 开放原子开源基金会
- 其他组织
  - OSI
  - SFLC
  - COPU
  - 开源社
  - 开源雨林
Timeline
- 行业大事记
  - 自由软件大事年表
  - 开源发展阶段
  - 开源大事年表
- 商业大事记
  - 开源并购大事记
    - 1999 年 Red Hat 收购 Cygnus Solutions（6.75 亿美元）
    - 2003 年 Novell 收购SUSE（2.1 亿美元）
    - 2005 年 Oracle 收购 InnoDB
    - 2006 年 Oracle 收购 SleeepyCat
    - 2006 年 Red Hat 收购 JBoss（3.5 亿美元）
    - 2007 年 Apple 收购 CUPS
    - 2007 年 Sourcefire 收购 ClamAV
    - 2007 年 Citrix 收购 XenSource（5 亿美元）
    - 2008 年 Sun 收购 MySQL（10 亿美元）
    - 2008 年 SpringSource 收购 Covalent Technologies
    - 2009 年 Oracle 收购 Sun（74 亿美元）
    - 2009 年 VMware 收购 Spring Source（4.2 亿美元）
    - 2018 年 Microsoft 收购 GitHub（75 亿美元）
    - 2019 年 IBM 收购 Red Hat（340 亿美元）
- 企业大事记
  - Google开源大事记
  - Microsoft开源大事记
  - Amazon开源大事记
  - 华为开源大事记
- 开源法务领域大事记
- 开源安全领域大事记
- 开源项目大事记
案例集
- 法务合规诉讼案例
  - 许可证遵从义务引发的诉讼
    - 美国发起诉讼的部分案例
      - 2007年，SFLC代理busybox分别起诉Xterasys Corporation ，High-Gain Antennas，verizon，Monsoon Multimedia ，每诉均要求禁令，后均和解
      - 2008年SFLC代理FSF起诉思科，后和解
      - 2009年SFC代理busybox起诉三星、百思买等14加公司，法院首次下达开源软件禁令
      - 2013年XimpleWare起诉Versata等12家公司，后赔偿和解
      - 2009-2014年，多家公司收到来SFLC/SFC的警告函，包括三星（三星2013年再次对SFC捐款和解），均私下和解。
      - 2016年，Artifex Software VS Hancom，后赔偿和解。
    - 欧盟发起诉讼的部分案例
      - 除了2007年的Iliad案在法国，其他均发生在德国。
      - 2004年，Welte起诉SiteCom，被告败诉，法院首次颁发开源软件禁令
      - 2006年， Welte起诉Versatel，被告败诉
      - 2006年， Welte起诉D-Link，被告败诉。赔偿2000余欧及诉讼费用，并披露销量以及上下游名单
      - 2007年，Welte起诉Skype，被告败诉
      - 2007年，Welte起诉lliad, 被告败诉
      - 2013年， Welte起诉Fantec，被告败诉，赔偿8000余欧及诉讼费用，并披露销量及上下游名单
      - 2015年， Mchardy起诉某厂商，法院发临时禁令期间，上百家公司收到来自Welte和Mchardy的违反开源许可证义务的警告函，绝大部分和解。
      - 2016，Mchardy 起诉德国某运营商，申请禁令，后原告撤诉
      - 2016， Linux权利人起诉Vmware，后原告败诉
      - 2016，某软件商VS德国某大学，申请禁令，原告胜诉
      - 2017， Mchardy起诉Gerniatech，申请禁令，后原告撤诉
  - 开源软件专利侵权风险——业界部分诉讼
    - https://www.osrainforest.org/open-source-compliance-and-risk-managment.html
  - 版权风险
    - Oracle VS. Google ， Android API接口+9行代码（争议金额：90亿）
    - Elasticsearch.Inc. VS. Floragunn GmbH and certain GitHub users ， X-Pack source code in content hosted on GitHub
  - 国内GPL相关索赔案
  - Google 和 Oracle 的世纪诉讼
  - 违反 GPL 协议赔偿 50 万，国内首例！
- 法务合规案例
  - 国产红芯号称自主研发浏览器核心结果是 Chrome 换皮
  - Ruby用实际行动向 GPL v3 吐槽，Ruby 1.9.3 将改用 BSD 许可证发布
  - ONAP 发布代码前会例行扫描检视，发现因许可证冲突导致无法使用的代码多次要求运营商贡献方重写或删除。
  - 企业某对外开源项目中使用并修改了Apache license代码，但在该文件包中无修改标记且遗漏许可证文本，被权利人发现在社媒公开投诉。
  - 企业某对外开源项目中误将开源无修改软件的版权声明误替换为企业版权声明，代码开放3分钟后即被开源爱好者发现并在网络公开。
- 开源安全领域主要案例
  - 紧急！ Log4j 漏洞风险，堪比“永恒之蓝”或将影响 70% 以上企业
- 大厂开源生态案例
  - OpenHarmony
  - OpenEuler
  - OpenGauss
  - MindSpore
- 开源创业&投资案例
- 商业并购案例
开源研究
- 心理学
- 历史学
- 社会学
- 人类学
- 经济学
- 法学
- 生态学
- 工程学
- 伦理学
- 哲学
- 教育学
- 管理学
- 政治学
- 传播学
参考资料
- 各种报告
  - 新思科技《开源安全和风险分析报告》
  - 开源社《中国开源年度报告》
  - 国家计算机网络应急技术处理协调中心《2021年开源软件供应链安全风险研究报告》
  - 信通院《2022年开源安全深度观察报告》
  - 奇安信《2022中国软件供应链安全分析报告》
  - 信标委《信息安全技术软件供应链安全要求》
- 各国开源政策与标准
  - https://kaiyuanshe.cn/oss-book/National-open-source-policies-and-standards.html
- 书籍
  - 《大教堂与集市》
  - 《开源之谜》
  - 《开源文化在中国》
  - https://www.douban.com/doulist/149420521/
  - https://github.com/oscar-open-source-book/booklet-2022
- 论文
  - 中文论文
  - 英文论文
- 演讲
  - OSCon
  - COSCon
  - COSCup

References

TODO List