拟以Apache 2.0开源的项目中包含GPL 2.0协议组件,如何规避合规风险? | 开源合规场景100问
「开源合规场景100问」是软安科技联合广东信达律师事务所邹良城律师团队出品的栏目,以解析实际案例来解答开源许可合规的各种需求,以实战角度输出干货,用于规范各类开源组件许可合规场景。
本栏目长期连载,每期问题均来自用户真实案例,欢迎广大用户参与交流与探讨。
开源合规场景 第2问
某车规级芯片软件研发团队计划将部分代码仓库开源以促进生态运营,原计划采用Apache 2.0协议,但开源前发现内部含有GPL 2.0协议的开源组件,应如何合规处理?
律师解答
GPL 2.0与Apache 2.0协议不兼容分析
GPL 2.0属于强Copyleft类许可证(常被通俗称为具有“传染性”),要求任何基于 GPL 2.0 代码的衍生作品(包括修改或组合后的作品)必须同样适用 GPL 2.0 协议,不允许以其他许可证(如 Apache 2.0)进行再授权,因此两者不兼容。不过,GPL 的“传染性”也存在一些开源社区普遍认可的例外情形,包括内部使用、工具性使用、Linux 内核系统调用、进程间通信(IPC),以及服务器端或 SaaS 部署等。
此外,Apache 2.0协议中包含专利授权和中止条款,而 GPL 2.0 未涵盖此类内容。依据 GPL 2.0 第 6 条的规定,接收者享有的权利不得被附加额外限制,因此这两个协议在条款层面也存在冲突,属双向不兼容。
该团队准备开源的代码仓库中如包含 GPL 2.0 组件,需首先识别该组件的使用场景是否符合 GPL 传染性例外:
-
若该 GPL 2.0 组件属于内核层(如 Linux Kernel),且用户空间程序仅通过系统调用使用,通常不被认定为衍生作品,整体项目可继续按 Apache 2.0 开源,可参考 Android 开源项目的实现方式;
-
若该组件符合其他例外情形(如工具性使用、进程隔离等),并按规定方式进行打包和使用,整体仍可能以 Apache 2.0 开源;
-
如不属于任何例外情形,则该仓库整体将被视为 GPL 2.0 的衍生作品,必须适用 GPL 2.0 协议。若强行以 Apache 2.0 开源,将构成许可证违规。
(1)若该 GPL 2.0 组件仅作为独立工具使用(如生成文档),未在运行时被链接或调用,则可将其与其他代码分开打包,整体仍可按 Apache 2.0 开源。同时应在 LICENSE 文件中明确声明:该组件仅在编译工具链中使用,运行时不可链接或直接使用,以避免下游用户误用引发合规问题;
(2)如不属于工具类使用,可尝试通过技术隔离降低风险,例如将 GPL 2.0 组件封装为独立进程,通过进程间通信(IPC)或标准 API 进行调用。应注意,GPL 2.0 对“衍生作品”认定标准严格,若组件与主程序耦合度过高(如共享内存、直接函数调用),仍可能被认定为衍生作品。该类技术方案须由开发人员与开源律师共同评估实施;
(3)若该组件无法隔离或与多处代码链接,建议替换为功能相近、兼容Apache 2.0的其他开源组件,或使用自研代码替代。
最终,该团队出于项目运营及合规考虑,选择替换原有的GPL 2.0组件,最终以Apache 2.0协议成功开源。
邹良城,广东信达律师事务所律师,曾在腾讯公司法务部工作十年,负责腾讯集团的知识产权诉讼和维权工作,对于互联网与软件领域的法律事务具有丰富的实务操作经验。对于开源软件的合规治理与法律政策有深入的研究,曾为互联网、汽车制造、半导体、金融科技、智能硬件等行业的多家企业提供开源软件的法律培训/合规咨询/SBOM合规审查/合规体系建设等法律服务。
软安科技深耕软件质量与安全检测领域,基于客户实际场景,提供一站式软件生态质量安全解决方案。核心团队汇聚国内外一线厂商资深人才,研发软件成分分析、源代码静态测试、模糊测试等核心产品,打造高度适配业务场景的行业解决方案,已获得汽车、半导体、通信等领域头部客户的信赖。公司在成都、武汉、上海、北京、深圳、香港六地设立办公机构,构建覆盖全国的服务网络,为客户提供高效专业的全周期服务支持。
如果你在开源合规实践中有困惑
欢迎扫描二维码提问
我们将择机在「开源合规场景100问」栏目中解答
