国产软件创新的“新基建”，将是一条没有硝烟的新战线

2022-12-15

事实上这一顾虑在GitHub推出智能辅助编码工具Copilot后已变成现实，这一工具使用包括来自GitHub在内的上亿行用户代码进行训练，以此推出编码模型，用于辅助开发人员编码时进行代码推荐，此行为遭到了有的开源代码作者提起法律起诉。

如果我国的软件技术根基仍然是被美国公司掌控的，则具备巨大的风险：
第一是作为软件开发的入口IDE软件（软件集成开发环境）已被国外多家软件巨头垄断。如Visual Studio（美国微软旗下）、Jetbrains（捷克）等。目前Google可能收购Jetbrains（市场占有率第二），整个IDE市场格局将进一步被美国垄断。

而且更进一步，IDE是软件开发生态的入口，广大开发者基于国外IDE底层，则必然选择相应厂商的生态技术。例如，开发者基于微软生态的Visual Studio等软件开发工具，将大量选择推广.net语言，将开发代码贡献至GitHub，并持续开发技术插件，由此形成微软大量应用软件，进一步加强市场垄断。目前，微软有9000万的开发者，为微软生产了3800万的应用。在这一生态环境下，国内软件生态发展将愈发困难。而IDE技术一旦受制裁限制，将导致大量企业应用开发迭代受到严重停滞。

第二，国外代码托管平台的数据风险。
目前软件开发已越来越多采用云上开发模式。在敏感与核心的软件中，如使用美国服务器与相关平台（GitHub、GitLab）等，开发代码则需传递到美国公司的服务器，数据生产、存储、传输、访问、使用、销毁等过程是否安全并无法确认。而类似GitHub等开源平台，不仅有开源共享代码，也承载着大量中小企业、个人开发者的代码托管“私仓”。在美国的控制之下，开发者团队和个人无法确认数据处理过程的保密性、完整性等，美国实际上具备查看和利用相关敏感数据的能力。

事实上，今年以来GitHub已经参与了对俄罗斯的制裁。俄乌冲突期间，GitHub 2022年2月28日以遵循美国制裁清单要求为由，关闭俄罗斯银行Sberbank、Alfa-Bank和其他数十个公司账户，导致放到GitHub上的源代码无法获取。
图片
据GitHub发布的统计报告称，平台目前汇聚了全球3亿个代码仓库，占全部开源软件的90%，而目前开源代码在各行业中的整体占比达到76%。试想如果一旦这些开源代码的获取通道被关闭，我国将有多少行业和开发者会受到影响。

代码托管工具供应商的另一巨头GitLab，这家公司注册地为美国加州的旧金山San Francisco, California，也是处于美国的控制下。

这背后的本质逻辑，是开发者自己的代码数据，被商业公司拿去商业变现，但是这收益和开发者无关，甚至未取得授权，而对于中国的开发者来说，这背后体现的问题就更为严重了，这意味着中国的代码在某种意义上对美国人是透明的。

作为全球最大的代码托管平台GitHub，这是一家美国公司，其CEO Thomas Dohmke在今年3月2日公开发表了对俄罗斯制裁的回应：

在此文中，CEO明确的说会遵守政府关于出口管制和贸易法规。这包括实施严格的新出口管制，旨在严格限制俄罗斯获取维持其侵略性军事能力所需的技术和物项。
At the same time, we are taking action to support our platform and comply with the many government mandates you’ve likely read about in the context of this war. Our legal team examines such mandates thoroughly, and we are complying with export controls and trade regulations as they evolve. This includes implementing stringent new export controls that are aimed at severely restricting Russia’s access to technologies and other items it needs to sustain its aggressive military capabilities. Additionally, any government takedown notices we process are publicly posted because we believe that transparency is essential to good governance.

第三，编译构建的断供风险。

高效的开发效率是产品快速推向市场的关键，编译构建则是影响软件开发效率的重要环节。编译构建，即将软件的源代码编译成二进制文件，并和配置文件、资源文件等一起打包，最终生成软件产品的过程。

在企业的开发场景中，当开发人员写完代码后，需要等待几十分钟、几个小时才能获取软件包来验证代码是否正确，如果一个简单的问题修复需要一天甚至数天，势必会在高速的市场竞争中败下阵来。在车、操作系统、终端、ICT等行业，更需通过专业加速软件来加速研发，加快产品的上市速度。

GitLab为全球客户提供DevOps工具链服务，在近年来外围环境变化下，势必会受到美国国内政治气氛的影响，在2019年10月，公司宣布其能接触到用户数据的职位，不再招收居住在中国和俄罗斯的员工，并且当前的团队成员也将不被允许移居这些国家，这种明显的歧视性规定其实也是一个消极的信号。


目前，市面上的专业加速软件均在美国控制之下，如IncrediBuild、CloudBees Build Acceleration、EngFlow等，国内仍无相关替代软件。一旦遭遇美国断供，相关行业的产品上市周期势必加长，导致企业在激烈的市场竞争力败下阵来。

第四，开源社区及代码的安全风险。

开源代码就是无风险的，其实这是一种错误的思维，在特定的政治环境下，国外的开源社区是可能修改规则，限制特定国家和组织的账号参与的，使得无法获取更新的源代码。360的董事长今年4月发文说：“Nginx是由俄罗斯程序员开发的高性能的HTTP和反向代理web服务器，占据全球web服务器市场逾三成份额，国内新浪、网易、豆瓣、迅雷等多家网站也有使用。鉴于其在全球使用的广泛性，之前有开发者呼吁俄罗斯拿Nginx反制裁西方国家，但现在比较戏剧性的是，Nginx反而成了西方制裁俄罗斯的工具。”

其原因就是2019年Nginx被美国F5公司收购了，该公司在俄乌战争爆发一段时间后发文宣布暂停在俄罗斯的所有销售业务，移除俄罗斯对F5 网络的访问权限，以及停止俄罗斯对Nginx开源项目做贡献。

像本文提到的全球市场占有率第二，为编程语言提供集成开发环境的明星公司-JetBrains，2022年3月11日，JetBrains首席执行官Maxim Shafirov发布公告称，JetBrains将无期限暂停在俄罗斯的销售和研发活动，以及无限期暂停在白俄罗斯的销售。

Shafirov在公告提到，JetBrains谴责俄罗斯政府发起的袭击，选择与乌克兰人民站在一起，包括他们的同事和家人。

我国工信部电子知识产权中心的公众号在3月份曾经对全球开源社区的反应进行过整理，大量的开源社区并不是中立或者不参与表态，而是主动发声明站在乌克兰一边，不少直接采取了对俄罗斯的制裁行动。