2020 年 6 月,北京举行了一次没有引起西方科技媒体多少注意的发布会。中国工业和信息化部支持成立了一个叫做“开放原子开源基金会”(OpenAtom Foundation)的机构。发起方包括阿里巴巴、百度、华为、浪潮、奇虎 360、腾讯、招商银行——中国互联网与金融业的几乎所有主要玩家1

OpenAtom 的定位明确:中国第一个开源软件基金会。它的注册地在北京,它的治理结构受中国法律管辖,它的会员主要是中国公司。表面上,它和 Linux Foundation、Apache Software Foundation 是同一种东西——给开源项目提供法律保护和治理框架的非营利机构。但它的战略意义完全不同。

如果你是 2020 年的中国大公司,你想做一个开源项目,你以前的选择是什么?基本只有:把代码放到 GitHub(美国公司),让 Linux Foundation 或 Apache Software Foundation(都在美国)做托管。这意味着你的项目的法律保护、商标、治理决定都受美国法律管辖。

2014-2018 年间这种安排还行——大家假装“代码协作”和“国家法律”是两件无关的事。但 2019 年 GitHub 锁伊朗账号、2018 年华为被列入实体清单、2020 年 TikTok 在美国面对的强制剥离威胁——这些事件让中国大公司同时认识到一件事:如果一个项目的法律基础设施在美国,那么它在美国 vs 中国冲突升级时是不可靠的2

OpenAtom 是对这个认识的体制化回应。它让中国公司可以做一种新的选择:把项目放到中国注册的基金会。法律基础设施在中国,受中国法律保护,不暴露在 OFAC 风险下。

OpenAtom 在 2021 年开始接收第一批旗舰项目。

openEuler 是 OpenAtom 的第一个标志性项目。它的前身是华为 EulerOS——一个基于 CentOS 的服务器 Linux 发行版,华为内部用了多年。2020 年 1 月华为在 Gitee 上开源 EulerOS,更名为 openEuler3。2021 年 11 月 9 日,华为正式把 openEuler 捐赠给 OpenAtom——所有权从华为公司转给基金会4

这跟 Meta 2022 年 9 月把 PyTorch 捐赠给 Linux Foundation 形式上一样——都是企业项目“中立化”到基金会层面。但政治含义不同:openEuler 进入了一个中国注册基金会,PyTorch 进入了一个美国注册基金会。每个都对应不同的法律保护与不同的政治风险5

openEuler 的发展速度在 2021-2024 年很快。CentOS 在 2020 年 12 月宣布停止维护 CentOS 8 稳定分支,转向 CentOS Stream 滚动发布——这是 Red Hat(IBM 子公司)的商业决定。但它造成了一个大空缺:依赖 CentOS 稳定分支的企业(包括大量中国企业)需要找替代。openEuler 抓住了这个机会。到 2024 年,OpenAtom 公开声明 openEuler 在中国服务器市场份额超过传统 CentOS 衍生品6

OpenHarmony 是另一个 OpenAtom 旗舰。它的前身是华为 HarmonyOS(鸿蒙)的开源部分。HarmonyOS 是华为 2019 年发布的跨设备操作系统——手机、电视、IoT、汽车都能跑。它的开源部分(OpenHarmony)覆盖较核心的内核与基础组件。

OpenHarmony 的战略意义是:在 Android 之外建立 mobile OS 备援。Android 虽然是开源的(AOSP)但实际部署严重依赖 Google Mobile Services(GMS)——闭源的 Google API 层。华为被美国制裁后失去 GMS 访问,2020-2021 年这成为华为手机销量崩溃的直接原因。OpenHarmony 是一个尝试——能不能建立一个不依赖 GMS 的、真正自给自足的 mobile OS 生态7

到 2026 年初,OpenHarmony 在国内市场已经覆盖一部分手机(华为、荣耀部分机型)、IoT 设备、车机。但它在国际市场仍然非常有限——海外几乎没有应用生态。这是它跟 Android 的根本不同:Android 有真正全球化的开发者生态,OpenHarmony 暂时还没有。

OpenAtom 之外,中国 OSS 国家战略最重要的部分是 “信创”

信创 = 信息技术应用创新。这个术语在 2018-2019 年成为中国政策语言。背景是 2018 年中兴被制裁、2019 年华为被列入实体清单——这两个事件让中国官方意识到核心 IT 基础设施被美国制裁的脆弱性。

信创政策的核心是:关键信息基础设施单位必须使用国产软硬件。具体执行包括:

  • 党政机关采购必须满足国产化比例
  • 国资委下属央企必须按计划迁移到国产 OS / 数据库 / 中间件
  • 关键基础设施(电网、银行、电信、能源)有强制使用比例要求
  • 涉密单位完全禁止使用外国软件

具体的国产替代品:

  • 操作系统:麒麟 OS(银河麒麟、中标麒麟)、统信 UOS、openEuler、深度 Linux(deepin)
  • 数据库:达梦、人大金仓、神舟通用、华为 GaussDB、阿里 OceanBase(开源版本)
  • 中间件:东方通、宝兰德、中创软件
  • 办公软件:WPS(金山)、永中、福昕
  • 浏览器:奇安信、360、华为浏览器8

这些产品大部分是基于开源软件的衍生版——麒麟 OS 基于 Linux + Ubuntu,统信 UOS 基于 Debian,达梦数据库内核有 PostgreSQL 影响。但它们都做了大量定制和适配——满足中国合规要求、加上自己的认证体系、绑定特定硬件等。

信创政策给了这些产品一个强制需求市场。在政府强制比例的支持下,这些产品不需要在自由市场跟微软 / Oracle / RedHat 竞争——它们已经被预设是关键基础设施的合规选择。到 2023 年起,信创进入“全面应用”阶段,预计覆盖到全国所有关键基础设施9

“安全可控”是中国 OSS 政策的另一个关键概念。

这个术语出现在《网络安全法》(2017)和《关键信息基础设施安全保护条例》(2021)。它的字面意思是“安全 + 可控”——但实际执行有具体含义:

  • 可控:使用的软件必须有“可控的接入点”——意思是中国政府或可信中国实体能审查、修改、维护该软件
  • 安全:通过中国的安全评估体系

对开源软件的影响:上游 OSS(Linux 内核、Apache 项目、各种工具)本身受影响较小——它们的源代码是公开的,可被审查。但实际部署时需要通过“可信渠道”获得——意思是从中国维护的镜像或经过中国认证的 distributor 获取。

这是中国 OSS 政策一个微妙但重要的特点:它不禁止开源软件——大多数中国关键基础设施仍然在用 Linux 内核(事实上 openEuler、麒麟 OS 都是 Linux)。它只是要求开源软件通过国家可控的渠道进入关键场景。这跟美国 EO 14028 要求 SBOM 是同样的逻辑——不禁止使用,但要求可追溯10

RISC-V 是中国 OSS 战略最有意思的一块。

RISC-V 是一个开放的指令集架构(ISA)——由 UC Berkeley 在 2010 年开始的学术项目,2015 年成立 RISC-V Foundation,2019 年从 Delaware 迁到瑞士(避免美国出口管制)。它的核心特点是开放标准 + 任何人可实现——不像 ARM 需要付授权费,也不像 x86 只有 Intel 和 AMD 能做。

中国对 RISC-V 的投入从 2018 年起急剧增加。阿里巴巴成立平头哥半导体(T-Head),主推 RISC-V 芯片设计。阿里达摩院的玄铁系列 RISC-V 处理器——C906(消费级)、C910(服务器级)、C930(高性能计算)——是中国 RISC-V 战略最直接的体现11

2025 年 2 月,阿里发布玄铁 C930——首款国产 RISC-V 服务器级处理器,针对数据中心服务器和自动驾驶等高性能计算应用12。同年,中国政府发布 RISC-V 推广指南——这是世界上首个明确把 RISC-V 列为关键战略技术的国家政策13

中国对 RISC-V 投入的战略逻辑很清楚:

  • ARM 和 x86 都受美国出口管制(ARM 是英国公司但受美国出口规则影响,因为它的设计中包含美国技术)
  • RISC-V 是开放指令集——理论上不受出口管制
  • 因此 RISC-V 是中国绕开美国半导体出口管制的最有前途路径

但这个逻辑面对一个 backstop。美国商务部 2024 年 4 月开始对中国使用 RISC-V 进行调查——担心 RISC-V 国际基金会(虽然在瑞士)可能被某种形式纳入管制14。一些美国国会议员公开呼吁对 RISC-V 引入“开放但有审查”的机制——比如禁止美国工程师参与某些被中国主导的 RISC-V 工作组。

这是开源运动对“主权穿透”的一个有趣测试。RISC-V Foundation 2019 年迁瑞士本来就是为了避免被任何单一国家管辖。但如果美国国会立法禁止美国工程师参与 RISC-V 工作组,效果跟“管辖瑞士基金会”差不多——它在美国领土上限制美国公民对 RISC-V 的贡献。这种“间接管制”是 Bernstein 案没有覆盖的领域15

俄罗斯的 OSS 国家战略跟中国不同。它没有 OpenAtom 这种统一基金会——但它有 Astra Linux 这种军用 OS 项目。

Astra Linux 是俄罗斯 RusBITech 公司从 2008 年起开发的 Linux 发行版。它最初是为俄罗斯军队和情报机构定制的——满足俄罗斯军方信息分级要求、防泄密、防西方监控。到 2018 年俄罗斯军方正式宣布将全面用 Astra Linux 替代 Windows16

2022 年俄乌战争后,Astra Linux 的应用扩展超出军方。Microsoft 在 2022 年宣布退出俄罗斯市场——所有 Windows 和 Office 服务停止;2022 年 3 月 30 日俄罗斯总统签 Decree 166——禁止国家机关和处理关键信息的设施使用外国软件,要求 2025 年前完成迁移17。Astra Linux 成为最大的国产替代候选。

到 2026 年 Astra Linux 已经被部署到俄罗斯多数政府机构、国企、国防工业。Astra Linux 自己 2022 年 7 月宣布要在莫斯科证券交易所上市。这跟中国信创类似——一个有强制采购支持的国产 OS 项目。

ALT LinuxROSA 是俄罗斯另外两个本土 Linux 发行版。ALT 主要用于教育系统(学校)和俄罗斯本土 CPU Elbrus 的支持;ROSA 是个相对小众的桌面 Linux。这些项目跟 Astra 一起构成俄罗斯 Linux 生态的本土版图18

俄罗斯没有 OpenAtom 那种统一基金会——这反映了俄罗斯 IT 生态的特点:项目分散,公司之间合作较少,国家驱动更明显。每个项目(Astra、ALT、ROSA)都有自己的公司主体,靠国家合同生存。

欧盟 OSS 战略走了完全不同的路径。

欧盟不像中国那样建立“国产替代”项目(欧洲没有“欧产 Linux”),也不像俄罗斯那样军方主导。欧盟主要做两件事:资助监管

资助 的旗舰是 Sovereign Tech Fund (后改名 Sovereign Tech Agency)。德国联邦议会 2022 年拨款 €3.5 million 每年,资助关键开源项目——cURL、Drupal、Gnome、openSSH、systemd、Sequoia PGP 等。每个项目获得 €50K 到 €1M 不等。到 2024 年底 STF 已经支持了 60+ 个项目19

STF 的逻辑很清楚:欧洲承认开源关键基础设施是公共物品,应该用公共资金维护。它不试图建立“欧洲版 Linux”——它直接资助已经存在的全球关键项目的德国 / 欧洲维护者。这是个相对务实的方法:你不需要重新发明轮子,你只需要确保维护轮子的人能继续工作。

德国之后,荷兰(2023 启动 Open Source Sustainability Programme)、法国(2024 启动)、欧盟整体(2024 年开始考虑欧盟级 sovereign tech fund)都跟进了类似项目。规模仍然小——总加起来每年几千万欧元——但方向明确20

监管 的旗舰是 Cyber Resilience Act (CRA),2024 年 10 月通过,2026-2027 全面生效。我们在第 9 章会详细谈 CRA 的具体规则。这里只需要知道:CRA 是欧盟试图把“产品安全”原则扩展到软件——包括开源软件。它的“open source steward” 概念专门针对 Eclipse Foundation、Linux Foundation Europe 等基金会,给它们正式的 cybersecurity 责任21

欧盟的双轨——资助 + 监管——是一种 distinctly European 的方法。它承认开源是公共物品(需要资助),但也要求开源遵守消费者保护标准(需要监管)。两者一起,是欧盟对“美国主导 + 中国国家主导”的 OSS 世界的第三种回应。

印度的 OSS 战略与上面三个都不同。

印度没有 OpenAtom 那种基金会,没有 STF 那种资助计划,没有 Astra Linux 那种本土 OS。印度做的事是用开源构建国家数字基础设施——一种叫做 India Stack 的开放数字公共物品体系22

India Stack 包括:

  • Aadhaar:基于生物特征的国民数字身份(12 亿用户)
  • UPI(Unified Payments Interface):实时支付系统,2026 年 1 月每月处理 217 亿笔交易,金额 28.33 万亿卢比23
  • DigiLocker:政府文档钱包
  • e-KYC:电子知客户核验
  • Account Aggregators:同意制数据共享
  • ONDC(Open Network for Digital Commerce):开放电商网络
  • BHASHINI:印度本土语言 AI 翻译平台,2022 年启动24
  • DigiYatra:数字旅行系统,1600 万用户

这些系统的关键特点:它们都是 开源 + 政府开发 + 国家级标准。印度政府不让 Google、Amazon、阿里 builds 这些系统——印度政府自己开发,开放源代码,提供免费 API。所有印度银行、电商、电信公司都必须接入这些 API。

India Stack 的战略意义:它把开源从“代码”扩展到“基础设施”。一个国家的数字身份、支付系统、健康记录系统、教育系统都建在开源协议上。这种模式不只是技术选择——它是主权战略。如果支付系统是 Visa(美国公司)控制的,那么美国制裁可以瘫痪印度金融;如果支付系统是 UPI(印度开源),印度可以完全自主25

到 2026 年 2 月,印度已经与 23 个国家签署协议——共享 India Stack 的数字基础设施模型。这是开源战略的国际化输出。东南亚、非洲、拉美一些国家在采纳 UPI 类似设计、DigiLocker 类似框架。印度正在把“开源国家基础设施”作为软实力26

四种国家战略放在一起对比:

国家主要工具核心逻辑
中国OpenAtom + 信创 + 安全可控 + RISC-V国产替代 + 国家可控
俄罗斯Astra Linux + Decree 166军方驱动 + 强制迁移
欧盟Sovereign Tech Fund + CRA资助 + 监管
印度India Stack开源公共基础设施 + 软实力输出

每种战略反映了该国对开源的特定理解:

  • 中国:开源是技术工具,但需要在国家框架下使用
  • 俄罗斯:开源是西方依赖的替代——主要是军事和国防视角
  • 欧盟:开源是公共物品,应被资助和监管
  • 印度:开源是国家基础设施的构建方法

注意一个共同点:这四种战略都不是“反对开源”。每个国家都在用开源,都在投资开源,都把开源视为对自己有利的东西。区别只在于如何使用、如何监管、如何安置

这跟简单的“开源 vs 反开源”叙事完全不同。2014 年之前,开源运动的内部冲突是“开源 vs 专有”——Stallman 反对专有软件,OSI 推广开源对 IBM 的吸引力。2024 年后,主要冲突变成“美国主导的开源 vs 其他主权下的开源”——大家都用开源,只是不同的国家想用不同方式控制它27

读到这里有人可能会问:被切断者(伊朗、朝鲜、古巴、缅甸)怎么办?

这是 OSS 战略的另一个极端——那些没有大国资源、没有 OpenAtom、没有 STF 的国家如何应对全球开源被穿透的现实。

伊朗 的具体应对:

  • 大量伊朗开发者用 VPN 绕开 GitHub 制裁(违反 TOS 但实际上是常态)
  • 伊朗本土镜像了一些主要 OSS 仓库(不全,但能用)
  • 政府主导的 “国家信息网络”(National Information Network)项目——某种程度上类似中国信创但规模小得多
  • 伊朗内部 forge 项目(如 GitJS)——小规模,主要服务伊朗境内28

朝鲜 的应对:

  • 国家级与外网隔离的 intranet(“Kwangmyong”)——大多数公民完全没有外网访问
  • 极少数 IT 工作者通过特许访问 GitHub 等平台(被严格监控)
  • Red Star OS——朝鲜本土 Linux 发行版,主要用于政府电脑

古巴

  • GitHub 制裁影响有限——古巴 IT 行业本来就小
  • 大量古巴开发者通过移民工作(在西班牙、加拿大等)参与开源
  • 国内有一些本土软件(Cubadebate 等)

缅甸

  • 2021 政变后部分缅甸 maintainer 失去稳定网络访问
  • 软件主要靠国际开发者社区维护
  • 没有像伊朗那样的国家级 OSS 战略

这些“被切断者”的处境精确反映了 OSS 全球化的代价。他们没有大国资源建立平行生态——他们只能依赖 VPN、流亡开发者、私人镜像等 ad hoc 方法。他们的开发者继续工作(很多在做高质量贡献),但他们对全球协作的接入是脆弱的、可被随时切断的29

读这些案例让人想停下来。一个在德黑兰的工程师写代码贡献到一个 Apache 项目——他在做技术工作,跟任何政治议程没关系。但他能不能 push 他的 commit 到 GitHub,取决于美国对伊朗的制裁是松还是紧、取决于 GitHub 合规算法的精确度、取决于他的 IP 地址是否被检测出来。

这种“技术工作的可达性依赖外国政治”在 2014 年之前是不存在的。它是 2014-2024 这十年的产物——开源运动从“全球公地”过渡到“主权领地”过程中的副产品。

十一

把所有这些国家战略放在一起,能看到一个新的世界地图:

美国生态:Linux Foundation、Apache、CNCF、PyTorch Foundation、Mozilla、OpenSSF。注册在美国,受 OFAC 约束。主导全球大型开源项目。但暴露在美国法律对维护者权限的限制下。

中国生态:OpenAtom(openEuler、OpenHarmony)+ 信创替代 + Gitee。注册在中国,受网信办约束。主要服务国内市场,对国际化有限。

俄罗斯生态:Astra Linux + ALT Linux + GitFlic + 自托管 GitLab。受俄罗斯法律和西方制裁双重约束。基本只服务国内。

欧盟生态:Sovereign Tech Fund 资助 + CRA 监管。不试图建立“欧产 Linux”,而是资助全球项目的欧洲维护者 + 把开源纳入消费者保护框架。

印度生态:India Stack。开源国家基础设施,开放给国际伙伴。软实力输出方向。

瑞士中立点:RISC-V International。注册瑞士避险,但其成员公司仍受各自国家法律约束。

每个生态各有规则、各有强项、各有弱点。它们之间仍然有协作——任何人都可以 fork Linux、任何人都可以贡献 PostgreSQL、任何人都可以下载 PyTorch。但协作的法律边界已经被国家主权切割。

2024 年 10 月 Linus 删除 11 名俄籍 maintainer 是这个新地图最清晰的边界标识。它说:你可以贡献代码,但如果你的雇主在 SDN list 上,你不能进入正式 maintainer 名单。

到 2026 年,这种“协作但有边界”已经是常态。下一章我们要看的是这些边界如何穿透到具体的项目——Linux、NGINX、ClickHouse、PyTorch、Apache 中国主导项目、Tor、RISC-V——每个项目都有自己的地缘政治面孔。

References

  1. Wikipedia: OpenAtom Foundation. 2020-06 成立,工信部支持,由阿里、百度、华为、浪潮、奇虎 360、腾讯、招商银行等共同发起。Link →

  2. Jamestown Foundation: “Open-Source Technology and PRC National Strategy: Part I”. 提供中国开源战略的政治背景分析。Link →

  3. Wikipedia: EulerOS. 包括华为 EulerOS 2020 年 1 月在 Gitee 上开源为 openEuler。Link →

  4. Caixin Global 2021-11-10: “Huawei Donates Operating System to Chinese Tech Nonprofit”. Link →

  5. Linux Foundation 2022-09-12: “Meta Transitions PyTorch to the Linux Foundation”. Link →

  6. Huawei Central: “Open Source HarmonyOS and Euler are growing faster: OpenAtom Foundation”. Link →

  7. Huawei: openEuler-LTS 2020-03 announcement. Link →

  8. 信创政策综述:工信部、国资委各级文件。具体国产替代品清单来自多个公开信创采购指南。

  9. 多个媒体对中国信创 2023 年“全面应用”阶段的报道。

  10. 《中华人民共和国网络安全法》(2017)、《关键信息基础设施安全保护条例》(2021)。“安全可控”在多个政策文件中作为核心术语。

  11. South China Morning Post: “Alibaba’s chip unit T-Head steps up RISC-V development as China pushes the open-source architecture in face of US sanctions”. Link →

  12. HPCwire 2025-02-28: “Alibaba Launches C930 RISC-V Chip Amid Shift from Western Tech”. Link →

  13. Tom’s Hardware: “Alibaba claims it will launch a server-grade RISC-V processor this year”. 包括中国 2025 推广指南。Link →

  14. The Register 2024-04-24: “US government reportedly probes China’s use of RISC-V”. Link →

  15. CSIS: “Sustaining Standards Leadership: The United States Cannot Disengage from RISC-V”. Link →

  16. Wikipedia: Astra Linux. 2018 年俄罗斯军方决定迁移到 Astra。Link →

  17. 俄罗斯总统 Decree 166(2022-03-30):禁止国家机关和处理关键信息的设施使用外国软件。

  18. Wikipedia: RusBITech. 关于俄罗斯本土 Linux 公司的描述。Link →

  19. Sovereign Tech Agency 项目页面。Wikipedia: Sovereign Tech Agency。Link →

  20. Interoperable Europe Portal: “Funding open source: case study on the Sovereign Tech Fund”. 包括 STF 模式扩散到其他欧洲国家的描述。Link →

  21. Wikipedia: Cyber Resilience Act. Link →

  22. Wikipedia: India Stack. Link →

  23. Wikipedia: Unified Payments Interface. 包括 UPI 2026 年 1 月统计数据。Link →

  24. BHASHINI 官方页面与 GitHub organization (https://github.com/bhashini-dibd)。Bhashini 2022 年 7 月由总理启动。

  25. India Stack 官方页面。Link →

  26. BusinessToday: “Here’s how India’s Digital Public Infrastructure is going global”. 包括 23 国合作协议数据。Link →

  27. Liontrust Asset Management: “India’s tech stack: public rails, private ingenuity”. Link →

  28. Communications of the ACM: “Anti-Sanctions: New Operating System for Mobile Devices”. 关于伊朗等被切断国家应对的描述。Link →

  29. 各种独立媒体对“被切断”开发者实际处境的报道。

  30. Tom’s Hardware: “Alibaba’s new RISC-V chip hits the mark for China’s tech self-sufficiency drive”. Link →

  31. eeDesignIt: “Can China’s RISC-V Revolution Reshape the Global Chip Industry?”. Link →