开源软件有哪些合规风险？

《开源生态白皮书(2020)》指出，开源软件可能涉及三类风险:知识产权与合规风险、安全风险、运维风险，其中知识产权与合规风险主要与开源许可条款有关，安全风险主要涉及安全漏洞。运维及技术风险主要是指开源软件的引入带来的开发维护投入大、对技术人员要求高等问题，这三类风险都在上升。

根据Synopsys发布的《2020年开源安全与风险分析》(OSSRA)报告。67%的代码库包含某种形式的开源代码许可冲突，33%的代码库包含没有可识别许可的开源组件。

75%的代码库包含至少一个漏洞，近一半(49%)的代码库包含高危漏洞，而去年这一比例为40%。91%的代码库包含已过期四年以上或近两年未开发的组件。使用过时开源组件的风险除了可能存在安全漏洞，还在于更新也会带来不必要的功能和兼容性问题，运维风险和成本增加。

其中，许可协议中的不确定性成为最近两年的焦点。从2018开始，Redis Lab、MongoDB、Secondary等多家开源数据库修改了许可协议，甚至有人指出开源数据库发生了变化。

如今，开源的风险已经成为开源应用的壁垒。根据《开源生态白皮书(2020)》的调查，安全是中国企业没有应用开源技术的主要原因。2019年，出于安全考虑不使用开源技术的人数比例最高，达到43.8%，比上年增加了8.6%。对于国内企业来说，开源治理从来没有像现在这样迫切。