Post #2147

开源软件有漏洞，作者需要负责吗？是的！ 2017 年发布的《中华人民共和国网络安全法》第二十二条规定：网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序；发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。 网络产品、服务的提供者应当为其产品、服务持续提供安全维护；在规定或者当事人约定的期限内，不得终止提供安全维护。 网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；涉及用户个人信息的，还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。 第六十条规定：违反本法第二十二条第一款、第二款和第四十八条第一款规定，有下列行为之一的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处五万元以上五十万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款： （一）设置恶意程序的； （二）对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施，或者未按照规定及时告知用户并向有关主管部门报告的； （三）擅自终止为其产品、服务提供安全维护的。 也就是说，不管你写的这个是不是开源软件，只要你提供给别人用了，那你就得负责到底。 举个例子，假设现在有个开源软件存在漏洞，把 100 个用户的信息泄露了。这时候由于免责条款，你用户不能按照这个开源许可证，来追究我的责任，不能起诉我让我赔钱。但是没有民法的责任，不代表没有行政法、甚至是刑法的责任。你把用户的信息泄露了，那国家肯定是要处罚你的，罚款或者督促整改，或者把你关停，都有可能。所以这两者之间并不矛盾。 在网络安全法这里，它并没有给开源软件什么豁免权。退一步来说，开源软件，只是免费提供代码而已，并不代表它在整个过程中不获利。就好像微信也免费，可是它卖广告赚钱。开源软件也一样，它也有自己的盈利模式的。反正从法律上来讲，开源跟其他形式的软件比没有任何的特殊性，最终还是要受到网络安全法的监管。 https://mp.weixin.qq.com/s/SGnh_nt81sImqPLnBYrAgw