CRA專題介紹

“如果萬物互聯(lián)，則萬物皆可被攻擊?！?022年9月15日，歐盟委員會的《網(wǎng)絡(luò)韌性法案（CRA）》提案應(yīng)運而生。CRA提案引發(fā)了全球開源圈的熱議，特別是今年7月份歐盟議會對Recital 第10條“開源豁免條款”的修正意見，更是激起了多家開源基金會及社區(qū)的擔(dān)憂甚至是譴責(zé)。但直至11月30日，歐盟理事會與歐盟議會就CRA提案達成臨時議定，也未就開源界的建議予以積極反饋。在此，我們開設(shè)CRA專題，旨在從不同維度出發(fā)共同探討在全球視野下，開源軟件在現(xiàn)行/擬議的網(wǎng)絡(luò)安全立法中是否受到調(diào)整、如何界定調(diào)整邊界以及將造成何種影響等議題。

本文轉(zhuǎn)載自【衛(wèi)sir說｜ID：man-mind】作者：衛(wèi)劍釩 本文主要考慮兩個法律，我國的《網(wǎng)絡(luò)安全法》¹（以下簡稱網(wǎng)安法）和歐盟的《網(wǎng)絡(luò)韌性法案》（以下簡稱CRA，歐盟議會修正案版本²），另外，還會涉及我國的《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》³（以下簡稱漏洞管理規(guī)定）。 本文主要就以下幾個問題做討論： 【問題1】 在開源產(chǎn)生之日起就有“開源開發(fā)者免責(zé)” 還能否、或在何種程度上行得通？ 【問題2】開源項目是否要適用網(wǎng)絡(luò)安全相關(guān)法律？特別是發(fā)現(xiàn)安全漏洞是否要履行上報義務(wù)？ 【問題3】有涉歐業(yè)務(wù)的非歐盟企業(yè)發(fā)現(xiàn)漏洞先上報歐盟還是本國，本國不允許對外披露漏洞怎么辦？ 【問題4】開源基金會應(yīng)當(dāng)承擔(dān)什么樣的責(zé)任？ 此外，我在文末給出兩個具體例子，請大家思考研判。

一、開源到底要不要負責(zé)任？

了解過開源許可證的人都知道，幾乎所有的開源許可證，都明明白白說了“不負責(zé)任”。 比如最常見的MIT協(xié)議⁴，是這么說的：

本軟件系“按原樣”提供，不包含任何形式的明示或默示保證，包括但不限于適銷性、特定目的適用性及不侵權(quán)的保證。在任何情況下，無論是在合同、侵權(quán)或其他案件中，作者或版權(quán)持有人均不對因本軟件、或因本軟件的使用或其他利用而引起的、引發(fā)的或與之相關(guān)的任何權(quán)利主張、損害賠償或其他責(zé)任承擔(dān)責(zé)任。

開源項目作者是不是認為這樣，就不會有任何外部麻煩了呢？ 未必。 因為所有許可證，都得遵從法律，并不能突破法律的約束。如果有不一致的地方，以法律為準(zhǔn)。 通常而言，開源項目的產(chǎn)出是軟硬件，我們看看法律對軟硬件規(guī)定了哪些安全要求。

二、法律怎么要求的？

在網(wǎng)安法中，最相關(guān)的是第二十二條：

第二十二條網(wǎng)絡(luò)產(chǎn)品、服務(wù)應(yīng)當(dāng)符合相關(guān)國家標(biāo)準(zhǔn)的強制性要求。網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者不得設(shè)置惡意程序；發(fā)現(xiàn)其網(wǎng)絡(luò)產(chǎn)品、服務(wù)存在安全缺陷、漏洞等風(fēng)險時，應(yīng)當(dāng)立即采取補救措施，按照規(guī)定及時告知用戶并向有關(guān)主管部門報告。網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者應(yīng)當(dāng)為其產(chǎn)品、服務(wù)持續(xù)提供安全維護；在規(guī)定或者當(dāng)事人約定的期限內(nèi)，不得終止提供安全維護。網(wǎng)絡(luò)產(chǎn)品、服務(wù)具有收集用戶信息功能的，其提供者應(yīng)當(dāng)向用戶明示并取得同意；涉及用戶個人信息的，還應(yīng)當(dāng)遵守本法和有關(guān)法律、行政法規(guī)關(guān)于個人信息保護的規(guī)定。

在CRA中，最為概括性說明的是第1條：

本法規(guī)規(guī)定了（a） 具有數(shù)字元素的產(chǎn)品在市場上的銷售規(guī)則，以確保此類產(chǎn)品的網(wǎng)絡(luò)安全；（b） 具有數(shù)字元素的產(chǎn)品的設(shè)計、開發(fā)和生產(chǎn)的基本要求，以及與這些產(chǎn)品相關(guān)的經(jīng)濟運營者在網(wǎng)絡(luò)安全方面的義務(wù)；（c） 具有數(shù)字元素的產(chǎn)品的制造商關(guān)于漏洞處理流程的基本要求，以確保產(chǎn)品在整個生命周期內(nèi)的網(wǎng)絡(luò)安全，以及經(jīng)濟運營者對這些流程的義務(wù)；(d) 對上述規(guī)則和要求進行市場監(jiān)控、監(jiān)督和執(zhí)行的規(guī)則。

當(dāng)然，在其后的條款中，有著更為詳細和具體的安全規(guī)定與要求。 仔細閱讀，可以看出，這些法律法規(guī)，主要是說網(wǎng)絡(luò)產(chǎn)品的制造者、提供者這些主體，應(yīng)該保證產(chǎn)品是安全的，并且在發(fā)現(xiàn)漏洞后，要及時報告和處置。 那么，開源項目的產(chǎn)出是不是“網(wǎng)絡(luò)產(chǎn)品”，是不是“具有數(shù)字元素的產(chǎn)品”呢？ 尤其是，作為一種最常見的情況，那些放在GitHub上的開源項目的產(chǎn)出，是不是法律所關(guān)注的產(chǎn)品？ 這就需要細究對“產(chǎn)品”的定義。 然而，這并不容易。

三、令人頭疼的關(guān)于“產(chǎn)品”的定義

網(wǎng)安法并沒有給出“網(wǎng)絡(luò)產(chǎn)品”的定義。 在國家標(biāo)準(zhǔn)《信息安全技術(shù) 網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全通用要求》（GB/T 39276—2020）中，對“網(wǎng)絡(luò)產(chǎn)品”有定義，定義為：

網(wǎng)絡(luò)產(chǎn)品：作為網(wǎng)絡(luò)組成部分以及實現(xiàn)網(wǎng)絡(luò)功能的硬件、軟件或系統(tǒng)，按照一定的規(guī)則和程序?qū)崿F(xiàn)信息的收集、存儲、傳輸、交換和處理。

那么，不賣的是不是產(chǎn)品？我自己在家里做一個小的網(wǎng)絡(luò)軟件自己玩，算不算網(wǎng)絡(luò)產(chǎn)品？ 畢竟，開源項目中，絕大多數(shù)都是自己玩玩的，并沒有考慮商業(yè)化。 在《現(xiàn)代漢語詞典》⁵中，“產(chǎn)品”是“生產(chǎn)出來的物品”，而“生產(chǎn)”是指“人們使用工具來創(chuàng)造各種生產(chǎn)資料和生活資料”，從這些定義上看，他們關(guān)注的是產(chǎn)品這個東西的最本質(zhì)屬性，并沒有關(guān)注這個東西是否用于銷售。 《牛津高階英漢雙解詞典》倒是說product通常是用來銷售的。

Product：a thing that is grown or produced, usually for sale

在大多數(shù)人的直覺感受上，法律所關(guān)心的“產(chǎn)品”，應(yīng)該是制作出來用于銷售的那些“產(chǎn)品”。 我翻了翻《民法典》，也沒有找到對“產(chǎn)品”的定義，但在《中華人民共和國產(chǎn)品質(zhì)量法》⁶中，發(fā)現(xiàn)了對“產(chǎn)品”的定義，它在第二條中，明確寫道：

本法所稱產(chǎn)品是指經(jīng)過加工、制作，用于銷售的產(chǎn)品。

雖然我不知道《產(chǎn)品質(zhì)量法》中對產(chǎn)品的定義能否用在《網(wǎng)安法》中，但我認為大體上可以類比，在民法典和網(wǎng)安法中，也確實都提到了產(chǎn)品的“銷售”，也都沒有提及不用于銷售的產(chǎn)品如何規(guī)范，所以，我個人認為，網(wǎng)安法中的產(chǎn)品，應(yīng)該不是泛指所有制作出來的物品，而更多是說指商業(yè)活動中的產(chǎn)品。 現(xiàn)在看看CRA。 CRA全文都是在描述對“具有數(shù)字元素的產(chǎn)品”（product with digital elements）的要求，并在第3條給出了定義：

‘product with digital elements’ means any software or hardware productand its remote data processing solutions, including software or hardware components to be placed on the market separately;

翻譯：“具有數(shù)字元素的產(chǎn)品”是指任何軟件或硬件產(chǎn)品及其遠程數(shù)據(jù)處理解決方案，包括單獨投放市場的軟件或硬件組件；

一樣地，CRA對產(chǎn)品的定義，也是關(guān)心它的本質(zhì)屬性，而沒有說是否用于銷售。 但CRA在第2條明確說明了適用范圍：

本法規(guī)適用于市場上提供的具有數(shù)字元素的產(chǎn)品，這些產(chǎn)品可以與設(shè)備或網(wǎng)絡(luò)直接或間接數(shù)據(jù)連接。

這里明確了一點，但還是不夠，因為“市場”未必一定是商業(yè)的，“市場”是需求和供給相遇并通過某種機制達成交換的場所，完全可以把GitHub認為是一個代碼市場，程序員和用戶在這里實現(xiàn)需求和供給的交換：有人需要代碼，有人提供代碼。 幸好，CRA在第3條中對“在市場上提供”也做了定義：

“在市場上提供”是指在商業(yè)活動中，無論是有償還是免費，將帶有數(shù)字元素的產(chǎn)品提供給聯(lián)盟市場以供分發(fā)或使用。

這樣，疑惑就完全解開了。法律中所說的“網(wǎng)絡(luò)產(chǎn)品”、“具有數(shù)字元素的產(chǎn)品”，我認為，都明示或暗示了這樣的條件： 所謂產(chǎn)品，是指用于商業(yè)活動的產(chǎn)品。 所以，對于那些并不參與任何商業(yè)活動，僅僅是放在GitHub或是類似的代碼托管平臺上的開源項目，法律是不管的。 但，開源項目一旦涉及商業(yè)活動，相關(guān)主體就要受到約束。 這就是開源商業(yè)化的代價。

四、哪些主體受到法律約束？

在《網(wǎng)安法》中，最主要的受到約束的兩個主體是“網(wǎng)絡(luò)運營者”和“網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者”。 在網(wǎng)安法的附則中，對“網(wǎng)絡(luò)運營者”有定義，“是指網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者?！本W(wǎng)安法對“提供者”沒有定義，但這相對容易理解，提供者應(yīng)該是指產(chǎn)品的生產(chǎn)者、經(jīng)銷者、集成者等。 在CRA中，涉及的主體主要是“經(jīng)濟運營者”，主要是指制造商、進口商、分銷商等，每個主體在CRA第3條中有定義。 這些主體的義務(wù)，正如本文前面所提到的，在法律條文中有明確而詳細的規(guī)定。 綜上，開源項目只有涉及商業(yè)活動，其相關(guān)主體才受到法律約束。 這就是對【問題1】的回答。 然而，現(xiàn)實要更復(fù)雜一點，什么是涉及商業(yè)活動? 舉個例子，一個開源軟件，同時提供社區(qū)版和企業(yè)版，那么其社區(qū)版是否涉及商業(yè)活動？

五、如何判別開源涉及商業(yè)活動？

網(wǎng)安法沒有明確提及這些，但CRA有說。 CRA不僅說了，而且把這個說得很清楚。 在其序言部分的第10條中，明確說道：

(10) 只有在商業(yè)活動過程中在市場上提供的自由和開源軟件才應(yīng)受本法規(guī)管轄。自由開源產(chǎn)品是否作為商業(yè)活動的一部分提供，應(yīng)根據(jù)每個產(chǎn)品進行評估，同時考慮免費開源產(chǎn)品的開發(fā)模式和供應(yīng)階段。

(10a) 例如，在完全去中心化的開發(fā)模式中，沒有任何一個商業(yè)實體對項目代碼庫中接受的內(nèi)容進行控制，這應(yīng)該被視為該產(chǎn)品是在非商業(yè)環(huán)境中開發(fā)的。另一方面，如果自由和開源軟件是由單個組織或不對等社區(qū)開發(fā)的，并且單個組織通過對其使用（與商業(yè)有關(guān)聯(lián)）產(chǎn)生了收入，則應(yīng)將其視為商業(yè)活動。同樣，如果自由和開源項目的主要貢獻者是商業(yè)實體雇用的開發(fā)人員，并且當(dāng)這些開發(fā)人員或雇主可以控制代碼庫中接受哪些修改時，該項目通常應(yīng)被視為商業(yè)性質(zhì)。

(10b) 在供應(yīng)階段，自由和開源軟件的商業(yè)活動可不只是對產(chǎn)品收費，對技術(shù)支持收費也是商業(yè)活動，除非該收費只是為了收回實際成本；自由和開源軟件的制造商提供一個軟件平臺并通過其他服務(wù)收費也是商業(yè)活動；出于除專門提高軟件的安全性、兼容性或互操作性以外其他原因而使用個人數(shù)據(jù)也是商業(yè)活動；不以營利為目的接受捐贈不應(yīng)被視為商業(yè)活動，除非此類捐贈是由商業(yè)實體提供的并且具有經(jīng)常性。

(10c) 單獨為自由和開源項目做出貢獻的開發(fā)人員不應(yīng)承擔(dān)本法規(guī)規(guī)定的義務(wù)。

(10d) 僅僅在開放式代碼庫上提供對自由和開源軟件的托管，該行為并不構(gòu)成在市場上提供具有數(shù)字元素的產(chǎn)品。因此，大多數(shù)軟件包管理器、代碼托管和協(xié)作平臺不應(yīng)被視為本法規(guī)含義內(nèi)的分銷商。

(10e) ……如果產(chǎn)品制造商發(fā)現(xiàn)組件（包括免費和開源組件）中存在漏洞，則應(yīng)通知該組件的開發(fā)人員，解決并修復(fù)該漏洞，并且在適用的情況下，為開發(fā)人員提供應(yīng)用的安全修復(fù)。一旦制造商將產(chǎn)品投放市場，就應(yīng)負責(zé)確保在整個支持期內(nèi)處理產(chǎn)品中漏洞，包括其中集成的自由和開源組件。

以上幾條，足以解決絕大多數(shù)關(guān)于開源項目是否涉及商業(yè)活動的困惑了。 比如，按照以上定義，GitHub不是市場，GitHub公司也不是分銷商，無需承擔(dān)CRA中所述的分銷商義務(wù)。再比如，谷歌提供了Andriod平臺但通過服務(wù)收費，屬于受管轄范圍；RedHat收取技術(shù)支持費，屬于受管轄范圍；XX社區(qū)版有助于XX企業(yè)版的銷售，所以XX社區(qū)版被認定為涉及商業(yè)活動。當(dāng)然，這個認定，需要“根據(jù)每個產(chǎn)品進行評估”。 如果僅僅是對開源項目作出個人貢獻，不適用CRA。 沒有任何商業(yè)化行為的開源項目，也不受管束。 之所以這樣做，原因很簡單，也很符合常識，在序言第9a里面說，這是“為了促進自由和開源軟件的開發(fā)和應(yīng)用”。如果人家又不賺錢，你還要求人家做這個做那個，是不是太過分，以至于沒人愿意再搞開源？ 所以，我相信，不管是中國的立法者還是國外的立法者，都不至于真的強人所難。 多說一句，如果你是用別人的非商業(yè)化開源軟件搞自己的商業(yè)化，別人不用負責(zé)，但你要為那個開源軟件負責(zé)任。 簡單地講，誰掙錢誰負責(zé)任。 以上就是對【問題2】的回答。

六、發(fā)現(xiàn)漏洞后如何報告？

這并不是個問題，因為怎么報、報給誰，法律或相關(guān)規(guī)定都有寫得很明確，沒有歧義。 比如在我國的《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》中，第七條說明了產(chǎn)品提供者的義務(wù)：

第七條 網(wǎng)絡(luò)產(chǎn)品提供者應(yīng)當(dāng)履行下列網(wǎng)絡(luò)產(chǎn)品安全漏洞管理義務(wù)，確保其產(chǎn)品安全漏洞得到及時修補和合理發(fā)布，并指導(dǎo)支持產(chǎn)品用戶采取防范措施：

（一）發(fā)現(xiàn)或者獲知所提供網(wǎng)絡(luò)產(chǎn)品存在安全漏洞后，應(yīng)當(dāng)立即采取措施并組織對安全漏洞進行驗證，評估安全漏洞的危害程度和影響范圍；對屬于其上游產(chǎn)品或者組件存在的安全漏洞，應(yīng)當(dāng)立即通知相關(guān)產(chǎn)品提供者。

（二）應(yīng)當(dāng)在2日內(nèi)向工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺報送相關(guān)漏洞信息。報送內(nèi)容應(yīng)當(dāng)包括存在網(wǎng)絡(luò)產(chǎn)品安全漏洞的產(chǎn)品名稱、型號、版本以及漏洞的技術(shù)特點、危害和影響范圍等。

（三）應(yīng)當(dāng)及時組織對網(wǎng)絡(luò)產(chǎn)品安全漏洞進行修補，對于需要產(chǎn)品用戶（含下游廠商）采取軟件、固件升級等措施的，應(yīng)當(dāng)及時將網(wǎng)絡(luò)產(chǎn)品安全漏洞風(fēng)險及修補方式告知可能受影響的產(chǎn)品用戶，并提供必要的技術(shù)支持?！?/p> CRA中則在第十一條的1a中說明了制造商的義務(wù)：

(a) 在制造商意識到存在被積極利用的漏洞后的 24 小時內(nèi)發(fā)出早期警告，不得無故拖延，包括是否有任何已知的糾正措施或建議的風(fēng)險緩解措施可用；

(b) 制造商應(yīng)在意識到存在被積極利用的漏洞后 72 小時內(nèi)發(fā)出漏洞通知，不得無故拖延，如果適用，應(yīng)更新 (a)中的信息，包括采取的任何糾正措施或緩解措施，并指出漏洞的危害程度，包括其嚴(yán)重性和影響；

(c) 當(dāng)糾正措施或緩解措施可用時，或當(dāng)(b)發(fā)出后一個月內(nèi)，應(yīng)提交漏洞最終報告，至少應(yīng)包括以下內(nèi)容：

(1) 對漏洞的描述，包括其嚴(yán)重性和影響；(2) 如果有的話，給出已利用或正在利用漏洞的行為者的信息；(3) 為修復(fù)漏洞而提供的安全更新或其他糾正措施的詳細信息。

其中，所謂“被積極利用的漏洞”，是指“有可靠證據(jù)表明攻擊者在未經(jīng)系統(tǒng)所有者許可的情況下在系統(tǒng)上執(zhí)行了惡意代碼的漏洞”。 對于有涉歐業(yè)務(wù)的中國企業(yè)，要注意學(xué)習(xí)CRA，按照如上要求及時報告，報告對象是ENISA（歐盟網(wǎng)絡(luò)安全局）。 有人說，“對于有涉歐業(yè)務(wù)的中國企業(yè)，發(fā)現(xiàn)漏洞先上報歐盟還是我國，我國不允許對外披露漏洞怎么辦？”這看似是一個難題，實則不然，處理起來也很簡單。 第一，對于我國，要在2日內(nèi)報。對于歐盟，要在24小時、72小時、一個月內(nèi)報。 第二，并不沖突，漏洞管理規(guī)定只是說在第九條里說，“從事網(wǎng)絡(luò)產(chǎn)品安全漏洞發(fā)現(xiàn)、收集的組織或者個人”“不得將未公開的網(wǎng)絡(luò)產(chǎn)品安全漏洞信息向網(wǎng)絡(luò)產(chǎn)品提供者之外的境外組織或者個人提供。”這里的被約束主體是專門從事漏洞發(fā)現(xiàn)和收集的組織和個人，而非“網(wǎng)絡(luò)產(chǎn)品提供者”。在對提供者的要求中（見第七條），沒有類似的約束。 也就是說，從漏洞管理規(guī)定上看，對于未公開的漏洞，發(fā)現(xiàn)者可以告訴產(chǎn)品提供者，但未公開前不能告訴產(chǎn)品提供者之外的境外組織和個人；有涉歐業(yè)務(wù)的產(chǎn)品提供者，一旦發(fā)現(xiàn)漏洞，不管是否已公開，沒有說不能報告ENISA（歐盟網(wǎng)安局）。 因為，發(fā)現(xiàn)者可能遠早于制造商知道漏洞，如果告訴境外某些組織或個人，可能給敵對方帶來極大便利。而制造商知道漏洞后，必須第一時間告訴監(jiān)管機構(gòu)（不管境內(nèi)境外），并抓緊給出修復(fù)或緩解方案，禁止制造商報告境外監(jiān)管機構(gòu)意義不大，除非我們不信任ENISA（比如認為ENISA會濫用漏洞信息）。 在這方面，這兩個法規(guī)并不沖突。 這是對【問題3】的回答。

七、法律對基金會的約束是什么？

對這個問題，也要一事一議，要具體看一下某基金會的性質(zhì)。 我們知道，基金會旗下有很多開源項目，基金會為其提供組織、法律和資金上的支持，那么，能否認為基金會就是開源軟件的制造商或分銷商？ 對此，有人很焦慮，覺得一旦落入XX商，基金會可能無法承擔(dān)起如此沉重的安全義務(wù)。 其實，我覺得并不難，雖然CRA并沒有具體說基金會算什么性質(zhì)，但在序言第10條中其實已經(jīng)說明了：

如果“沒有任何一個商業(yè)實體對項目代碼庫中接受的內(nèi)容進行控制，這應(yīng)該被視為該產(chǎn)品是在非商業(yè)環(huán)境中開發(fā)的。”

“不以營利為目的接受捐贈不應(yīng)被視為商業(yè)活動，除非此類捐贈是由商業(yè)實體提供的并且具有經(jīng)常性?！?/strong>

一個基金會的項目，是不是有商業(yè)實體在對項目進行控制，基金會是不是以營利為目的接受捐贈，若涉及具體的案子，相信不難做出調(diào)查和判斷。 比如ASF（Apache軟件基金會），其宗旨⁷之一就是： “項目獨立于任何公司或組織的影響” 如果ASF真的是這樣做的，那就顯然不在CRA管束范圍之內(nèi)。 但有的基金會顯然不是這樣，這里就不點名了。 這是對【問題4】的回答。

文末思考

下面提出兩個具體問題，請讀者思考： 1、“禪道”是一款研發(fā)項目管理軟件，它有開源版和企業(yè)版，如果開源版發(fā)現(xiàn)了安全漏洞，禪道軟件有限公司是否要履行法律中所規(guī)定的漏洞報告和漏洞修復(fù)義務(wù)？ 2、2023年11月23日，特斯拉CEO埃隆·馬斯克在個人微博上發(fā)布消息，宣布公司旗下初代特斯拉Roadster的原始設(shè)計和工程現(xiàn)已完全開源。那么，如果某公司用了這些開源技術(shù)出了嚴(yán)重事故，從法律上講，馬斯克要負責(zé)任嗎?

免責(zé)聲明：

本文僅僅是從個人角度出發(fā)，對法律做的一般性研究，僅代表個人意見，請讀者審慎閱讀并自行甄別, 作者不就讀者對任何依據(jù)本文采取的任何作為或不作為承擔(dān)責(zé)任。本文不代表開放原子開源基金會觀點。

---

1. 《中華人民共和國網(wǎng)絡(luò)安全法》(https://baike.baidu.com/item/中華人民共和國網(wǎng)絡(luò)安全法/16843044?fr=ge_ala)

2. 歐盟議會的CRA修正案(2023年7月)(https://www.europarl.europa.eu/doceo/document/A-9-2023-0253_EN.html)

3. 《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》(https://baike.baidu.com/item/網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定/57980910?fr=ge_ala)

4. 認識開源許可證—MIT

5. 《現(xiàn)代漢語詞典》(第 7 版）

6. 《中華人民共和國產(chǎn)品質(zhì)量法》(http://www.npc.gov.cn/zgrdw/npc/xinwen/2019-01/07/content_2070255.htm)

7. Apache 項目成熟度模型

點擊文末“閱讀原文”

訪問AtomGit

下載《開源態(tài)勢洞察》電子版

閱讀原文，下載閱讀和一起洞察～