你有没有过这样的经历:在公司赶项目,急着上线一个功能,随手从 GitHub 抄了一段代码,改吧改吧就用上了。没人提许可证的事,好像只要能跑就行。直到法务同事突然冒出来问一句:‘这段代码用的是 MIT 还是 GPL?’ 你才意识到,原来开源也不是“随便用”的。
开源不等于无约束
很多人以为“开源”就是“免费+随便用”,其实完全不是这么回事。开源软件依然受版权法保护,而许可证就是那个告诉你“怎么用、什么能做、什么不能做”的法律文件。它不是程序员写的一段免责声明,而是具备法律效力的协议。
比如你用了某个 MIT 许可的库,只需要在项目里保留原作者的版权声明就行。看起来很简单对吧?但如果你用了 GPL 协议的代码,情况就不一样了。GPL 要求任何基于它的衍生作品也必须以 GPL 开源。这意味着,如果你把 GPL 代码集成进自己的商业软件,就得把自己的核心代码也公开——这可不是每个公司都愿意接受的。
许可证真能在法庭上站住脚吗?
有人会说:“国内打官司谁管你用什么许可证?” 其实还真有判例。2021 年中国就有法院判决支持了 GPL 许可证的法律效力,认定被告公司未经授权使用并闭源发布基于 GPL 项目的软件,构成侵权。法院明确指出,开源许可证是一种有效的著作权许可合同,使用者必须遵守其条款。
这说明什么?说明你在网上下载的每一行开源代码,背后都可能绑着一份“电子契约”。你点了“clone”,就相当于签了字。
选软件时,别只看功能
我们在“软件推荐”栏目通常讲性能、讲生态、讲上手难度,但这次想提醒大家:选开源工具时,顺手点开它的 LICENSE 文件,真的很重要。
比如你打算做个 SaaS 产品,推荐避开 AGPL 的组件。因为 AGPL 连“通过网络提供服务”也算作分发,意味着你即使不对外发布代码,也可能被要求开源。而 MIT、BSD 这类宽松许可证就友好得多,基本只要署个名就能安心用。
再举个例子,React 曾经用的是 BSD + 专利条款许可证,后来换成 MIT。为什么?就是因为之前的专利条款让不少公司担心法律风险。连 Facebook 自己都意识到,许可证本身也会影响开发者信任。
怎么查许可证类型?
大多数开源项目都会在根目录放一个 LICENSE 或 COPYING 文件。如果没找到,去 GitHub 仓库右上角通常会标出许可证类型,比如“MIT”、“Apache-2.0”等。不确定含义?可以去 opensource.org/licenses 查官方解释。
还有个小技巧:用工具自动扫描。比如 FOSSA、Snyk 或者 GitHub 的 Dependabot,能帮你识别项目依赖中的许可证风险,提前预警。
别让“省时间”变成“埋雷”
程序员图省事,往往忽略法律细节。但一旦产品做大,融资、上市、被收购,这些历史代码的合规问题就会浮出水面。到时候别说改代码,可能整个项目都得停摆。
下次你在选轮子的时候,除了看 star 数和文档质量,不妨多问一句:它的许可证,我扛得住吗?