開源供應(yīng)鏈面臨哪些風(fēng)險？

供應(yīng)鏈安全風(fēng)險日益嚴(yán)峻，風(fēng)險類型可以劃分為技術(shù)、法律和其他三大類。

1.開源供應(yīng)鏈面臨技術(shù)風(fēng)險

開源供應(yīng)鏈技術(shù)風(fēng)險主要表現(xiàn)在大量開源項(xiàng)目、開源組件存在安全漏洞。在開源軟件供應(yīng)鏈中，供 應(yīng)鏈上游的漏洞會隨著組件依賴和代碼復(fù)用被引入到下游的應(yīng)用軟件中，因此漏洞數(shù)量近年來逐年遞增，開發(fā)流程和最終使用者代碼審計技能的不完善也會增大安全風(fēng)險。直接和間接使用該開源代 碼或組件的用戶基數(shù)越大，開源項(xiàng)目對攻擊者的吸引力就越大，一旦出現(xiàn)問題影響也越大。

（1）安全漏洞數(shù)量持續(xù)增長 在過去幾年中，包含漏洞的開源軟件數(shù) 量持續(xù)高速增長。安全企業(yè)Sonatype 《Annual State of the Software Supply Chain 2023》調(diào)查統(tǒng)計了390多萬個開源 庫，其中有245032個存在漏洞，較前五年 相比急劇增長。

已發(fā)布的開源軟件漏洞數(shù)量也在不斷增加，根據(jù)網(wǎng)安企業(yè)Mend最新一期的《Mend Open Source Risk Report》統(tǒng)計，近年來全球開源軟件漏洞數(shù)量持續(xù)增加，在2022年，平均每個月新增開源漏洞 數(shù)量已超1000.

漏洞增加的原因有很多，一部分原因是現(xiàn)在有 更多的自動掃描和檢測工具可以在開源軟件 中發(fā)現(xiàn)和修復(fù)這些安全漏洞，更重要的原因是 全球利用上游開源生態(tài)系統(tǒng)（如JavaScript、 Java、.NET和Python）的弱點(diǎn)而攻擊的行為在 持續(xù)增長。根據(jù)安全企業(yè)Sonatype的《Annual State of the Software Supply Chain 2023》調(diào) 查統(tǒng)計，在2022年開源軟件供應(yīng)鏈攻擊同比增 長742% ，較前一年的650%再次大幅增長。 2020年至2022年全球開源軟件供應(yīng)鏈攻擊同比增加 開源軟件供應(yīng)鏈易的風(fēng)險點(diǎn)在于攻擊者發(fā)布惡意開源項(xiàng)目、植入惡意代碼、使用易于合法包混淆的 包名等。和其他軟件安全風(fēng)險相似的是，開源軟件攻擊者的主要手段是數(shù)據(jù)竊取、勒索病毒、獲取主 機(jī)權(quán)限、拒絕服務(wù)攻擊以及其他獲取經(jīng)濟(jì)利益的手段。根據(jù)新思（Synopsys）公司《2024年開源安 全和風(fēng)險分析報告》，Black Duck漏洞審計團(tuán)隊在2023年審計的1067個流行代碼庫中，96%的代碼 庫包含開源代碼，84%的包含至少一個漏洞，74%的包含高風(fēng)險漏洞。

（2）安全漏洞層級傳播 在開源組件復(fù)雜的依賴關(guān)系中，一旦上游項(xiàng)目發(fā)現(xiàn)有嚴(yán)重漏洞，就會直接或間接地影響到依賴它的 下游開源軟件，在錯綜復(fù)雜的層級依賴關(guān)系傳播后，該漏洞隱匿在深層依賴的應(yīng)用中不易被發(fā)現(xiàn)，為 全球軟件供應(yīng)鏈帶來無法估量且不可控的影響。 根據(jù)安全企業(yè)Veracode發(fā)布的《State of Software Security: Open Source Edition》，統(tǒng)計了8.5k個 應(yīng)用和35.1k個開源軟件庫的數(shù)據(jù)顯示，軟件應(yīng)用中平均每個軟件應(yīng)用依賴283個開源庫，有90% 的應(yīng)用依賴34個以上的開源庫，有10%的應(yīng)用依賴1400個以上的開源庫。其中依賴情況最復(fù)雜的 是JavaScript，JavaScript應(yīng)用中平均每個應(yīng)用依賴377個開源庫，有90%的應(yīng)用依賴66個以上的開 源庫。按編程語言統(tǒng)計，大部分開源庫平均漏洞數(shù)量介于2-3個之間，包含缺陷庫的百分比最低的 是.NET，最高的是PHP語言。

統(tǒng)計這些庫中所有已發(fā)現(xiàn)漏洞類型，比例最高的是跨站腳本漏洞，之后分別是反序列化漏洞、越權(quán)漏 洞。前三種類型在所有已發(fā)現(xiàn)的漏洞中占比超過四分之三。

（3）安全漏洞修復(fù)滯后 開源軟件開發(fā)過程中使用過時的、存在漏洞的開源組件仍然是常態(tài)。據(jù)Linux基金會統(tǒng)計，超過80% 的代碼庫包含四年未更新的組件。根據(jù)Sonatype的《Annual State of the Software Supply Chain 2023》調(diào)查統(tǒng)計，只有28%的組織機(jī)構(gòu)可在1天之內(nèi)追蹤到最新發(fā)布的漏洞。39%的組織機(jī)構(gòu)在1到7 天內(nèi)追蹤到并著手修復(fù)漏洞，29%的組織機(jī)構(gòu)需要1周以上的時間才能追蹤到。這意味著將有很長一 段時間，軟件應(yīng)用暴露潛在的惡意攻擊下。

以2021年影響最大的Apache Log4j 2漏洞事件為例。據(jù)不完全統(tǒng)計，GitHub超過8600多個開源軟 件直接依賴Log4j 2組件，但通過這些開源軟件繼續(xù)追溯，最終超過20萬個開源軟件受到了影響。同 時，在官方第一次發(fā)布修復(fù)版本的一周時間后，仍然有超過80%的間接關(guān)聯(lián)開源軟件沒有被修復(fù)。

（4）基礎(chǔ)平臺以及重要項(xiàng)目面臨巨大的安全壓力 2024年3月全球最大的開源軟件平臺GitHub遭受了大規(guī)模攻擊，涉及克隆安全且干凈的存儲庫，添加 惡意的、模糊的代碼后重新上傳。據(jù)報道，此類攻擊于2023年5月開始，呈指數(shù)級增長。隨著這些攻 擊的繼續(xù)，越來越多的用戶可能被感染。 歷史上，Github多次面臨惡意攻擊和信息泄露風(fēng)險。例如，2023年GitHub平臺上發(fā)生了大規(guī)模的敏 感信息泄露事件，超過300萬個公開代碼庫累計泄漏超過1280萬個身份驗(yàn)證和敏感密鑰。2018年， Github遭受峰值高達(dá)1.3Tbs/秒的嚴(yán)重的DDoS攻擊，其他年份也多次遭受嚴(yán)重攻擊。Github作為開源 領(lǐng)域的重要基礎(chǔ)平臺，長期面臨巨大壓力。

在重要項(xiàng)目方面，2024年爆出的開源軟件xz后門事件引起業(yè)界震驚。一款在Red Hat和Debian等多個 廣泛使用的Linux版本中的壓縮工具被發(fā)現(xiàn)植入了惡意代碼，發(fā)現(xiàn)時該代碼已存在三年，若xz被廣泛 引入各Linux發(fā)行版，Linux系統(tǒng)也將會輕易被入侵。目前，GitHub已經(jīng)禁用XZ Utils代碼庫。 

2.開源供應(yīng)鏈面臨法律風(fēng)險

開源軟件并不等于無限制的自由使用，必須在遵循相關(guān)開源許可證的基礎(chǔ)上注重知識產(chǎn)權(quán)保護(hù)。常 見的許可證有GPL、LGPL、AGPL、MPL、MIT、BSD和Apache等，各個許可證還包含不同版本。總 體上可分為寬松式（Permissive）和責(zé)任傳播式（Copyleft）兩種。若不認(rèn)真分析和甄別，很容易陷入 許可證沖突，違反協(xié)議條款等法律風(fēng)險。

（1）開源許可證沖突 信息系統(tǒng)中不同部分會存在多個開源軟件許可證，但不同軟件提供者對于軟件發(fā)行的目的不同，因 此開源軟件許可證對企業(yè)或個人所給予的自由程度有所差別。而多個開源軟件的條款之間可能會存 在法律沖突，例如因署名義務(wù)引發(fā)的沖突，因發(fā)布義務(wù)引發(fā)的沖突，因許可證（GPL類）的傳染性引 發(fā)的沖突等，需要對具體代碼庫進(jìn)行風(fēng)險分析。根據(jù)新思（Synopsys）公司《2024年開源安全和風(fēng) 險分析報告》，Black Duck漏洞審計團(tuán)隊在2023年審計的1067個流行代碼庫中發(fā)現(xiàn)，53%包含存在 許可證沖突的開源軟件，有36%包含沒有許可證或定制許可證的開源代碼。

其中，Creative Commons是引發(fā)許可證沖突的最主要的原因。僅Creative Commons ShareAlike 3.0(CC-SA 3.0)就引發(fā)了17%的許可證沖突。這可能是因?yàn)殚_發(fā)人員手動將代碼片段或部分組件 “復(fù)制粘貼”到代碼庫中，它們通常來自頗受歡迎的博客網(wǎng)站Stack Overflow，該網(wǎng)站根據(jù)Creative Commons ShareAlike許可證自動授權(quán)所有可公開訪問的用戶貢獻(xiàn)。但這些許可證根本不是針對軟件 設(shè)計的，可能會引起法律方面的風(fēng)險。

（2）特殊附加條款存在隱藏紅線 即使有些企業(yè)在專利運(yùn)營方面成果顯著，被稱作為“巨無霸”，但是在使用開源軟件時也要注意一 些“隱藏”紅線。安卓系統(tǒng)是谷歌開發(fā)的智能手機(jī)和平板電腦操作系統(tǒng)，全球份額超過82%，雖然 安卓系統(tǒng)被稱為開源系統(tǒng)，但是開源系統(tǒng)也存在著“壟斷”行為，最簡單的例子是手機(jī)制造商必須 接受預(yù)裝的谷歌軟件，否則將無法使用安卓系統(tǒng)。作為免費(fèi)安裝安卓系統(tǒng)的“對價”，如果一個設(shè) 備制造商意圖安裝谷歌的任何服務(wù)，主要是安卓系統(tǒng)，谷歌都會在協(xié)議中要求他們安裝其他的谷歌 服務(wù)，在形式上非常類似于捆綁銷售。這份“移動應(yīng)用分發(fā)協(xié)議”（Mobile Application Distribution Agreement）（以下簡稱MADA協(xié)議）被其競爭對手在歐洲、韓國等地投訴濫用市場地位。分析 MADA協(xié)議中的預(yù)裝服務(wù)條款，一旦制造商決定安裝一個類似于YouTube的谷歌服務(wù)，那么谷歌的 搜索引擎就會被認(rèn)為是搜索的默認(rèn)引擎，谷歌地址服務(wù)也會默認(rèn)安裝并應(yīng)用。由于“集群效應(yīng)”的存 在，制造商將有可能主動排除選擇競爭對手的軟件。

另外，有些軟件被稱為“開放源代碼”軟件但實(shí)質(zhì)上同真正的開源軟件有著本質(zhì)不同，例如微軟提出 的“共享源代碼計劃”（Shared Source Initiative），該計劃所提供的絕大部分源代碼都允許合資格者 下載，并通過各種許可證進(jìn)行規(guī)范和限制，而用戶并不能直接對源代碼有任何修改，只允許閱讀源 代碼或提出修改意見。

（3）開源知識產(chǎn)權(quán)問題懸而未決 開源供應(yīng)鏈還涉及到著作權(quán)，軟件專利，商標(biāo)和商業(yè)秘密等法律風(fēng)險。首先，由于開源軟件都有免擔(dān) 保條款，強(qiáng)調(diào)“在任何情況下，軟件的原始開發(fā)者和版權(quán)所有者都不對任何損失負(fù)責(zé)，即使他們已經(jīng) 被告知這種損失的可能性”，但如果軟件作者明知某代碼存在危害性，同時未署名并標(biāo)明修改內(nèi)容， 軟件作者的這種行為并不會受到免擔(dān)保條款的保護(hù)，依舊會被認(rèn)定為侵犯了他人的知識產(chǎn)權(quán)。其次， 開源軟件的著作權(quán)仍未明確，世界各地的開發(fā)者都會參與進(jìn)開源軟件的改進(jìn)，這就不會出現(xiàn)對開源 軟件進(jìn)行修改且具有獨(dú)創(chuàng)性，修改的結(jié)果使得開源軟件能單獨(dú)成為一個新的作品，該作品也受到著 作權(quán)法獨(dú)立的保護(hù)。再次，后續(xù)開發(fā)者將基于源代碼產(chǎn)生的作品進(jìn)行專利申請，導(dǎo)致使用該軟件的用 戶可能會侵權(quán)專利權(quán)。最后，開源軟件的開發(fā)人員之間并非以真實(shí)姓名聯(lián)系，溝通的方式一般通過網(wǎng) 絡(luò)進(jìn)行，因此開源項(xiàng)目組很難判斷個人提交的代碼是否侵犯他人的知識產(chǎn)權(quán)。

另外，隨著近年來大模型持續(xù)火熱，人工智能工具也使得開源代碼知識產(chǎn)權(quán)變得日益復(fù)雜。隨著AI 驅(qū)動的編碼推薦工具的使用，圍繞生成代碼的所有權(quán)、版權(quán)和許可問題也隨之產(chǎn)生。例如，一項(xiàng)針對GitHub、Microsoft和OpenAI的集體訴訟聲稱，GitHub Copilot違反了版權(quán)法和軟件許可要求。具體包 括Copilot推薦的代碼使用了未經(jīng)許可的內(nèi)容，沒有歸屬、版權(quán)聲明，或者不遵守原始許可條款。該案 例凸顯出使用AI生成代碼的法律復(fù)雜性。 

3.開源供應(yīng)鏈面臨其他風(fēng)險

阻礙開源供應(yīng)鏈上下游高效整合的一大因素是信息不透明，展開來講是開源組件的成分、依賴信息 的缺失或紊亂。而全球范圍內(nèi)供應(yīng)鏈安全標(biāo)準(zhǔn)體系仍未統(tǒng)一，專業(yè)性的供應(yīng)鏈安全組織尚未建設(shè)成 熟。維護(hù)開源供應(yīng)鏈本身逐漸成為一項(xiàng)成本高昂的工作，這導(dǎo)致小團(tuán)隊的項(xiàng)目因能力有限而逐步停 止維護(hù)，而大公司憑借資源優(yōu)勢易在細(xì)分領(lǐng)域形成生態(tài)壟斷，這將對開源供應(yīng)鏈的健康發(fā)展帶來巨 大風(fēng)險。

（1）小項(xiàng)目停止維護(hù) 當(dāng)一個開源代碼庫變得越來越受歡迎時，其代價就是其維護(hù)人員承受的壓力就會越來越大，隨之產(chǎn) 生一系列運(yùn)維相關(guān)問題。大量的項(xiàng)目處于失去維護(hù)的風(fēng)險中，據(jù)奇安信代碼安全實(shí)驗(yàn)室《2023中國 軟件供應(yīng)鏈安全分析報告》數(shù)據(jù)顯示，2022年全年，主流開源軟件包管理工具生態(tài)系統(tǒng)中不活躍的 開源軟件項(xiàng)目數(shù)量為3967204個，占比高達(dá)72.1%。統(tǒng)計的八個典型的開源軟件包管理工具生態(tài)系統(tǒng) Maven、NPM、Packagist、Pypi、Godoc、Nuget、Rubygems、Swift中NPM的不活躍項(xiàng)目數(shù)量最多， 達(dá)1693287個，Rubygems的不活躍項(xiàng)目比例最高，占比達(dá)到90.5%。

開源項(xiàng)目是由不確定數(shù)量的貢獻(xiàn)者和維護(hù)者共同努力的結(jié)果。這種結(jié)構(gòu)使開源成為一種協(xié)作項(xiàng)目， 但由于開展維護(hù)活動的貢獻(xiàn)者缺乏激 勵，小型團(tuán)隊常常難以支持開源代碼 的持續(xù)維護(hù)。新思《開源安全和風(fēng)險 分析報告2023》統(tǒng)計的1,481個代碼 庫中，91%都包含過去兩年內(nèi)未進(jìn)行 任何更新的開源代碼。這可能意味著 相關(guān)方不再對該項(xiàng)目進(jìn)行維護(hù)，尤其 是在小型項(xiàng)目。

2020年初，JavaScript的模塊化標(biāo)準(zhǔn)庫core-js的作者Denis Pushkarev因交通肇事被判處18個月監(jiān) 禁。Denis Pushkarev是core-js項(xiàng)目唯一的維護(hù)人員，該項(xiàng)目周下載量達(dá)2600萬次，在npmjs.com上 被19279個包依賴，重要程度可以認(rèn)為是前端的基礎(chǔ)設(shè)施。后續(xù)，GitHub社區(qū)通過將賬戶所有權(quán)轉(zhuǎn)移 暫時緩解這一問題。 2022年1月10日，個人軟件開發(fā)者M(jìn)arak Squires將其個人創(chuàng)建的位于項(xiàng)目倉庫GitHub和開源組件包 NPM上的開源庫faker.js、colors.js的代碼清空。由于成千上萬的用戶依賴這些庫，本次惡意更新導(dǎo) 致所有相關(guān)項(xiàng)目受到影響。使用遭到破壞的版本，會導(dǎo)致應(yīng)用程序無限輸出亂碼。據(jù)報道，其清空倉 庫的代碼是因?yàn)槿狈Y金和被別人濫用開源項(xiàng)目，并聲稱不希望自己的努力成果為國際巨頭企業(yè)免 費(fèi)使用。由于faker.js、colors.js代碼庫的歷史版本仍存在于相關(guān)平臺上，用戶可及時降級為舊版本解 決。后續(xù)，項(xiàng)目倉庫GitHub還暫停了該作者對自己所有公共和私有項(xiàng)目的訪問。 2022年1月11日，另一個開源項(xiàng)目Apache PLC4X的創(chuàng)建者Christofer Dutz也在開源托管平臺GitHub 中發(fā)文，稱由于得不到任何形式的回報，他將停止對PLC4X的企業(yè)用戶提供免費(fèi)的社區(qū)咨詢，若后續(xù) 仍無企業(yè)資助項(xiàng)目則將停止項(xiàng)目維護(hù)和任何形式的支持。

（2）大企業(yè)生態(tài)壟斷 隨著開源勢不可擋地發(fā)展，全球科技巨頭持續(xù)加碼開源領(lǐng)域，通過收購開源平臺逐漸強(qiáng)化其市場主 導(dǎo)地位，并使得社區(qū)從早期的高度分散的技術(shù)架構(gòu)轉(zhuǎn)變?yōu)橛蓭讉€強(qiáng)大的網(wǎng)絡(luò)巨頭所控制的架構(gòu)。這 種“大公司擁抱開源”的現(xiàn)象，一方面因大公司擁有在更高級別上開發(fā)和維護(hù)開源項(xiàng)目所需的資金，推動產(chǎn)生了更多的開源重點(diǎn)項(xiàng)目，并有助于提高質(zhì)量和安全性；另一方面，受商業(yè)利益等因素驅(qū)使， 通過對開源社區(qū)項(xiàng)目的開發(fā)和商業(yè)化推廣，對開發(fā)人員施加種種限制，易造成技術(shù)壟斷，并最終阻礙 技術(shù)創(chuàng)新。 例如一些國際巨頭通過通用性和適用性的開源產(chǎn)品，在產(chǎn)業(yè)鏈中具有掌握極大話語權(quán)。這些開源產(chǎn) 品自身具有一定通用性和適用性，便于后續(xù)開發(fā)者“不重復(fù)制造輪子”而在其產(chǎn)品的基礎(chǔ)上進(jìn)行進(jìn) 一步開發(fā)，但又通過人為制造諸如廣告服務(wù)、有意破壞其他競品的用戶體驗(yàn)等方式排除競爭者獲得 壟斷地位，最后獲得高額利潤。盡管這些產(chǎn)品本身都是開源的，但是中小企業(yè)和個體開發(fā)者在面對 限定的服務(wù)接口、苛刻的商業(yè)條款等問題時，很少有能力再進(jìn)行創(chuàng)新并反饋開源社區(qū)。

（3）云服務(wù)等新模式的影響 開源在云服務(wù)興起和大規(guī)模應(yīng)用過程中發(fā)揮了至關(guān)重要的作用，在云原生等新興領(lǐng)域也將持續(xù)產(chǎn)生 深刻影響。但另一方面，云服務(wù)也給開源產(chǎn)業(yè)帶來了新的挑戰(zhàn)和沖擊。云提供商可以通過采用開源 軟件搭建相關(guān)服務(wù)，并使其商業(yè)化，但云提供商并不必須為這些開源技術(shù)買單或者支持未來開發(fā)。 相關(guān)的爭議引出了在開源社區(qū)已存在一段時間的問題。開源使用效果最好的地方是軟件基礎(chǔ)設(shè)施， 而不是應(yīng)用軟件項(xiàng)目。如果云計算公司成為軟件的基礎(chǔ)設(shè)施提供商，它們的市場控制力可能讓它們 得以接管開源項(xiàng)目，并以低于銷售開源服務(wù)的公司的價格銷售這些軟件服務(wù)。云服務(wù)商可以此獲得 大量利潤，但對回饋社區(qū)基本沒有貢獻(xiàn)。

部分開源研發(fā)的企業(yè)對云服務(wù)商因開源獲利卻不回饋社區(qū)的行為難以忍受。例如數(shù)據(jù)庫系統(tǒng)Redis就 因此更改了協(xié)議。Redis不再使用BSD 3-Clause開源協(xié)議進(jìn)行分發(fā)。從Redis 7.4版本開始，Redis將 采用SSPLv1和 RSALv2雙重許可證。Redis的源代碼將通過Redis社區(qū)版免費(fèi)提供給開發(fā)者、客戶和 合作伙伴。但托管Redis產(chǎn)品的云服務(wù)提供商將不再允許免費(fèi)使用Redis的源代碼。

（4）國際形勢以及政治因素影響 近年來，美國不斷修改《出口管制條例》（EAR）來試圖限制和阻撓一些包括開源技術(shù)在內(nèi)的先進(jìn)技 術(shù)出口到特定國家、特定實(shí)體和雇員，并先后采取了如賬號禁止訪問、代碼刪除等行為來實(shí)現(xiàn)“斷 供”。另外，開源軟件供應(yīng)鏈近年來也越來越多地面臨意識形態(tài)、地緣政治、戰(zhàn)爭沖突等因素導(dǎo)致的 影響。多個開源平臺、開源項(xiàng)目要求開發(fā)者和用戶在參與開源的時候進(jìn)行表態(tài)，并根據(jù)政治立場劃分 陣營分裂對抗，社區(qū)中開源協(xié)作的基礎(chǔ)被人為割裂了。雖然開源社區(qū)一向推崇“自由、平等、相互尊重”的原則，開源精神被無數(shù)開發(fā)者奉為圭臬，然而“斷供”“封鎖”之類事件的不斷上演，令全球 開源開發(fā)者們開始擔(dān)心，政治因素未來是否將逐步影響開源，“開源無國界”是否可能成為偽命題。 然而，從積極的一面看，并不是所有的開發(fā)者和開源社區(qū)都會輕易被政治傾向和意識形態(tài)所左右。 在2022年3月，Eclipse社區(qū)中引發(fā)了一起線上爭端，并引發(fā)大討論，24小時內(nèi)就被社區(qū)管理者和資深 開發(fā)者平息。事情起因是由于一位來自歐洲的代碼維護(hù)者，拒絕接納來自中國開發(fā)者的一個補(bǔ)丁，補(bǔ) 丁內(nèi)容針對的是龍芯架構(gòu)指令集。公開拒絕的原因既有技術(shù)原因，也有政治因素。不過，社區(qū)中絕大 多數(shù)開發(fā)者選擇保持中立，或要求不要在Eclipse社區(qū)中討論政治話題，而一些中國開發(fā)者聽聞之后， 涌入該社區(qū)進(jìn)行針對性抨擊，爭端有愈演愈烈的跡象。該社區(qū)主要負(fù)責(zé)人第一時間站出來平息事件， 主要觀點(diǎn)兩個，這是一個開放的技術(shù)社區(qū)，任何人都可以有自己的政治主張，社區(qū)對此不予評價，但 社區(qū)是一個進(jìn)行技術(shù)交流合作創(chuàng)新的地方，社區(qū)不歡迎一切有關(guān)政治立場和傾向的話題在此討論。 同時，根據(jù)OSI對于開源定義的十個特征，Eclipse社區(qū)嚴(yán)格執(zhí)行其中有關(guān)對任何人和群體，任何技術(shù) 路線的非歧視原則，因此，社區(qū)不贊成拒收來自中國的補(bǔ)丁。通過這個案例，可以得出結(jié)論，開源本 身是具有非政治傾向的一個群體，但其中不乏一些個體會有各種觀點(diǎn)和主張，也會有偏見和過激的 行為。作為中國開發(fā)者和開源愛好者，應(yīng)該尊重開源“開放共享、平等協(xié)作”的創(chuàng)新精神，并堅定的 支持開源社區(qū)遠(yuǎn)離政治因素的干擾，保護(hù)和建設(shè)這方凈土。