知领·观察 – 加强数字基础设施-免费和开源软件的政策议程

··来源：中国工程科技知识中心

国家工业信息安全发展研究中心

中国工程科技知识中心独家，转载请标注

作者：赵铭晨

原报告标题：加强数字基础设施:免费和开源软件的政策议程（Strengthening Digital

Infrastructure: A Policy Agenda for Free and Open Source Software）

内容简介：近日，美国著名智库布鲁金斯学会（Brookings Institution）发布《加强数字基础设施:免费和开源软件的政策议程》报告，认为当前数字力量在经济发展中发挥日益重要的作用已不存在争议，但人们对该作用基础——数字基础设施的重要性理解十分有限，免费和开源软件（FOSS）在数字基建中发挥的作用被低估。类似于物理基础设施，偶发的市场失灵现象也常导致私营部门对数字基础设施投资不足，政府亟需加强投资和监管，确保FOSS 生态系统未来的健康、安全和增长。报告综合现有研究，讨论FOSS面临的总体发展挑战，指出美国政府现行相关政策“重使用、轻投资”的局限性，从创建开源项目办公室、衡量和了解 FOSS生态系统、增强FOSS的积极经济影响、保护FOSS生态系统等4个方面提出11个政策提案。

一 FOSS面临的发展挑战

从顶层规划角度来看，FOSS生态系统建设与发展面临核心挑战，尽管FOSS对现代经济发展具有重要价值，但去中心化和极其自由的特点导致对其潜在价值的低估以及对其促进经济增长和安全性方面的投资不足。

在价值估算方面，Synopsys相关研究表明，当前高达98%的代码库中包含FOSS，传统的产品价值衡量方法（例如将产品使用次数乘以产品价格再减去成本）并不适用于FOSS。另外，FOSS本身的分布特性、可自由复用等因素导致对其使用量的测量非常困难。以衡量一种FOSS（广泛使用的Apache Web服务器）的价值为案例，尽管没有直接显示在任何有关GDP的统计数据中，但在2013年，它为美国经济总量增加了120亿美元。2021年9月6日，欧盟委员会发布报告显示，2018年，欧盟公司在FOSS领域的研发总投入约为10亿欧元，为欧盟FOSS用户带来高达950亿欧元的收益。另外，2019年，美国对FOSS的投资总额约为330亿美元。尽管可对FOSS个例进行大致的价值量化，但考虑其在特定环境下创造的潜在收益，仍无法真正衡量FOSS对经济和现代生活所提供的真实价值。

在直接投资方面，面临的挑战是双重的。一是对FOSS的公共和私人投资的高回报率可以显著增强行业整体竞争力和创新力，但美国政府目前仅支持其在联邦机构中使用，对于FOSS的直接投资力度并不够。美国对全球定位系统（GPS）的投资是此类投资的成功典范，美国将GPS开源供全球用户免费使用，此举使美国公司获得1.4万亿美元的经济收益，政府也因此获得高额税收。同样，对Apache的专项研究表明，政府对FOSS的投资可以带来至少17%的回报率，是美国政府常规回报率标准7%的两倍多，展现了FOSS具备的优越投资潜力。欧盟委员会报告中更广泛的分析显示，私企对于FOSS投资的成本效益比约为1:4，表明使用FOSS在提高生产力的同时，对FOSS的直接投资也可带来高额红利。二是对FOSS的投资不足可能会引发安全问题，从而对经济发展产生负面影响。这方面的最新证据是2021年在FOSS日志记录包log4j中发现的Log4Shell漏洞，该漏洞最初于2013年在代码中引入，被安插在广泛的数字应用程序中，使数以千万计的设备暴露于该安全漏洞的威胁之下。美国国土安全部（DHS）网络安全和基础设施安全局（CISA）主任Jen Easterly称Log4Shell是他在数10年的职业生涯中见过的最严重漏洞，在其被完全修补之前的72小时内，包括部分境外势力在内的攻击者利用它发动了超过80万次网络攻击。此例表明提高开源软件安全性的紧迫性，政府亟需出台相关政策，帮助发现和处理这些漏洞。

二 美国现有相关政策仍具局限性

美国现行与FOSS相关政策的最大局限性体现在它们几乎都集中在联邦政府为其自身部署系统使用、技术创造和购买上，却没有任何政策意在以整体或直接方式衡量、投资或保护FOSS生态系统。

早在2004年，美国联邦政府就已开始阐明对待FOSS的基本立场。然而，直到2016年，管理和预算办公室才在备忘录M-16-21中采取明确支持FOSS的立场。M-16-21要求所有美国联邦机构应做到：一是公开所有新的自定义代码，以供所有联邦机构间互相复用；二是将至少20%的新自定义代码作为FOSS发布给任何人使用。具体到执行层面，由联邦首席信息官办公室开发的网站Code.gov进行统一协调落实，该网站现由美国总务管理局运营管理（最近已取消资金支持，网站实际已处于静止状态）。迄今为止，M-16-21 仍是联邦机构关于如何处置FOSS的主要指南，也是包括美国防部、商务部等众多政府机构在内引用的与其FOSS立场相关的主要权威文件。2021年5月，白宫第14028号行政命令进一步扩大政策要求，其中包括明确要求所有联邦政府软件采购中软件材料清单（SBOM）的部分，即其他软件（包括FOSS）必须内置在采购的软件清单中。

除了M-16-21，美国政府也做出了一些其他努力，但至今尚未通过。例如，众议院版本的2022年国防授权法案中包括为DHS内的FOSS安全中心提供资金，但这笔资金并未纳入最终法案。在州级政策方面，自2009年以来的每届立法会议上，纽约均提出法案建议对与开发FOSS相关的费用给予税收抵免，但该法案至今从未获得委员会批准。即便是在2021年底美国两党共同通过的基建法案中，也将数字基础设施投资几乎完全集中在宽带可用性上，并未涉及对FOSS的投资。

三 报告提出支持FOSS作为关键数字基础设施的11条政策建议

报告基于当前美国政府缺乏政策直接支持FOSS生态系统的事实，从创建开源项目办公室、衡量和了解 FOSS生态系统、增强FOSS的积极经济影响、保护FOSS生态系统等4个方面提出11条政策建议，旨在呼吁美国政府以关键方式支持FOSS生态系统。

1 创建联邦开源项目办公室（OSPO）。将OSPO设置在白宫科技政策办公室（OSTP）内，接管Code.gov原先的职责与工作，统筹管理与其他国家的国际合作，扩大并分享共同利益。

2 正确衡量和了解 FOSS生态系统。一是OSTP和美国首席技术官（CTO）应尝试跟踪FOSS的多种来源衡量FOSS的创建，通过汇总数据并定期更新的方式来掌握项目数量、可实现功能、贡献者以及项目维护和已知问题修复等方面的详细情况；二是聚合关键利益相关者数据衡量FOSS的使用情况，包括云供应商、软件组合分析公司、FOSS库管理器、FOSS存储库和代工厂等；三是通过OSTP和美国CTO对FOSS现有政府和企业政策进行汇总、编目和研究。

3 增强FOSS的积极经济影响。一是增加FOSS的研发资金，通过美国国家科学基金会或商务部国家标准与技术研究所（NIST）对FOSS管理与技术研发相关项目进行资金扶持，对于创造大量FOSS的中小企业，可通过小企业协会（SBA）提供赠款和贷款；二是联邦政府应将FOSS技能添加到教育课程中，支持增加FOSS的培训机会；三是为个人和企业FOSS贡献者创建税收抵免，减轻FOSS研发贡献者的税收压力；四是进一步明确FOSS关于许可证、技术标准、技术专利等方面的规范性法规，让同为FOSS领域的相关利益者间形成“在核心上合作、在边缘上竞争”的整体格局。

4 保护FOSS生态系统。一是私营部门购买软件时也需要类似于SBOM的数字成分列表，避免客户和消费者受到类似Log4Shell漏洞带来的安全方面的负面影响；二是研究确定投资项目的优先级，为关键FOSS项目提供安全资金支持；三是在白宫NSC会议的基础上，持续关注各部门关键利益相关者在保护FOSS方面的集体行动和投资情况，统筹协调FOSS安全的公私伙伴关系。

四 启示与建议

相比开源硬件，开源软件的投资回报远高于成本已成公认事实。自2022年以来，美国在开源软件安全和投资领域积极行动，我国也应科学研判开源软件商业化发展前景，争取安全与发展“两手抓”，建议从以下几方面着手：

一是组织架构方面，行业相关主管部门需下设专门机构统筹开源软件发展工作，进一步建立完善开源软件项目管理标准化制度，主导汇聚政府机构、开源组织、科技巨头等多方力量，共建良性开源软件生态。

二是安全维护方面，按照不同安全层级对应创建开源软件目录或清单，设计分级分类的安全管理办法，加大开源软件漏洞排查力度，跟踪和评估开源软件供应链危害数据，指导开源软件开发者和消费者采用软件完整性分析工具。

三是投资支持方面，进一步研究明确主要投资项目的优先级，为关键开源软件项目提供专项基金长期扶持，对主营开源软件研发、管理、应用及推广的企业或机构予以适当的税收优惠，鼓励开源软件商业化模式创新。

作者简介：赵铭晨，国家工业信息安全发展研究中心，助理工程师，主要研究领域为信息政策、软件产业。

原文链接：https://www.brookings.edu/wp-content/uploads/2022/05/Nagle-OSS-policy-brief-PDF.pdf