在7月中旬,欧盟委员会公布了史上规模最大的七年预算提案,总额约为两万亿欧元,目标是提升欧盟在全球经济与技术格局中的竞争力、韧性与自治能力。文件在网络安全、人工智能与创新扶持等方面做出明确承诺,试图为欧洲的数字转型与产业升级提供长期资源。然而,一个引人注目的缺失正在逐渐显现:预算并未提供明确且系统化的开源软件投资计划,而开源正是现代数字基础设施不可或缺的核心要素之一。对这一忽视的反思,并非空穴来风,而是基于对欧洲长期数字主权与安全利益的务实考量。 开源软件长期以来构成了互联网与企业服务的技术骨架。从操作系统到编程语言运行时、从数据库到容器编排技术,开源项目在支撑商业平台、科研计算与公共服务方面扮演着关键角色。
Linux、Kubernetes、OpenSSL、PostgreSQL、cURL等项目被广泛嵌入到企业与政府的系统之中,其代码的开放性带来了可审计性、可定制性与互操作性,使得各类主体可以在无需受制于单一供应商的情况下构建复杂系统。正因为这些项目由全球社区维护,欧洲经济体和公共部门形成了对开源生态的深度依赖。如此重要却在预算层面缺乏系统支持,潜藏着长期风险。 开源的优势并非仅限于技术层面。对于中小企业、科研机构和公共服务机构而言,开源提供了低门槛进入高质量技术栈的机会,降低了创新成本并促进竞争格局的多元化。在以往由大型云服务商主导的生态中,开源能够为欧洲企业提供更大的选择空间,增强中小企业在市场中的自主性。
此外,开源项目通常具有显著的社会公共物品属性:代码共享的价值会被横向扩散,强化整个生态的创新能力与互信。然而,正因为其公共品特性,开源维护常常难以通过市场机制获得充分支持,导致所谓的"维护瓶颈"问题日益突出。 近年来,开源项目暴露出的一系列安全与维护挑战已引起全球关注。像Heartbleed、Log4Shell这样的安全事件揭示了关键依赖项中长期积累的脆弱性与潜在风险。许多底层库与工具由少数维护者长期支撑,却缺乏稳定的财政支持与企业化治理。即便是被广泛依赖的项目,也可能在关键时刻因资源不足而难以迅速修补漏洞或响应安全事件,这种脆弱性与欧洲追求数字主权的目标相悖。
在这样的背景下,部分政策研究者与倡导者提出了设立"主权科技基金"(Sovereign Tech Fund)的建议,旨在通过公共资金支持那些对欧洲数字主权至关重要的开源项目与基础设施。德国已经率先设立了类似基金,向关键技术与开源项目提供资助与协作支持。欧盟层面如果能够借鉴并扩展这一模式,不仅能够补齐当前预算中的缺口,更能把开源纳入到整体数字战略中,实现更可持续、更安全的技术生态。 欧盟的欧洲竞争基金(European Competitiveness Fund)被定位为推动产业现代化与数字化的重要工具,但其当前的提案内容在高层规划与具体行动中并未将开源视为优先战略领域。鉴于开源在推动创新、保障安全与提升主权方面的独特价值,这一疏漏显得尤为不合时宜。将开源纳入欧洲竞争基金的数字化侧重点,不仅是对技术现实的回应,也是一种务实的风险管理策略。
针对开源的专项投入可以包括长期维护资助、应急安全响应基金、关键依赖项的审计与重构支持,以及支持面向公共服务的开源解决方案部署。 对欧盟而言,投资开源并非走向技术闭关的孤立主义,而是通过构建更强韧与透明的全球协作网络来增强自身的话语权与竞争力。与美国以平台化与私有化路径占主导、或与中国以国家主导的集中式模式不同,欧洲可以在开源的基础上塑造一种多元、透明且以公共价值为导向的技术治理模式。这样的策略既能保护欧洲免受单一供应商依赖的风险,也能在国际规则与标准制定中争取更多的影响力。 为了使开源真正成为欧盟预算与政策的构件,政策设计应当关注几个关键维度。首先是持续性的资金路线图。
开源维护不是一次性项目,而是长期的基础设施投资,需要稳定且可预测的资金支持。短期拨款无法解决长期维护人员的留任问题,也无法建立起企业级的响应能力。其次是多元化的支持机制。除了直接拨款,可以通过采购政策优先采用开源解决方案、为贡献者提供税收激励、支持学术机构与企业之间的协作项目,以及为开源项目提供法律与合规方面的指导。再次是安全与治理能力的强化。开源项目的透明性带来了可审计性,但并不等于自动安全。
欧盟可以为关键项目提供代码审计、漏洞赏金、第三方供应链审查与应急响应能力建设,形成快速处置机制,降低系统性风险。最后是对社区与人才的扶持。许多关键的开源项目依赖志愿者与学术界贡献,公共资金应当用于培养人才、支持维护者职业化与建立跨国协作平台。 具体到预算工具与政策路径上,欧盟可以在欧洲竞争基金中设立明确的开源技术拨款窗口,并出台配套监管与采购政策,鼓励成员国在公共项目中优先采用受资助的开源方案。同时应建立欧盟级的主权科技基金,聚焦那些具有战略价值且对欧洲数字主权构成基础的技术堆栈。基金运作上可以采用混合模式,公共资金与私募资本、慈善资助共同入池,设定透明的资助标准与治理机制,确保资金用于维护、可维护性提升、安全加固与人才培养。
在立法层面,欧盟近期通过或正在讨论的多项法律,如网络复原力法案(Cyber Resilience Act)、人工智能法案(AI Act)与拟议的云与人工智能发展法案,都对开源有直接或间接的影响。立法者应当意识到,若在相关法规中忽视开源生态的特殊性,可能会造成合规负担过重,从而阻碍社区参与与创新。相反,通过在法规中为开源项目设定合理的合规过渡期、提供合规支持与明确对责任主体的界定,可以平衡安全与创新之间的关系,避免使高昂的合规成本把开源维护压垮。 资金之外,欧盟还可以在标准与治理层面发挥作用。通过推动开放标准、增强互操作性要求与公共代码共享政策,欧盟能够在公共采购与研究项目中放大开源的影响力。公共部门可以率先成为开源实践的表率,将由公共资金开发的代码优先以开源方式发布,进而促进跨国协作与重复利用。
这一做法不仅能节省公共开支,还能将公共项目的透明度与信任度转化为更强的社会价值。 在国际合作方面,欧盟应当把支持开源视为一种外交工具。通过与志同道合的伙伴国共同资助关键项目、共享威胁情报与协同开展安全审计,欧盟既能扩大其技术影响力,也能在全球范围内推广符合其价值观的技术治理模式。这样的合作不但有助于分担维护成本,也能够在标准制定与技术治理话语权方面获得更大回旋余地。 反驳认为公共资助会扭曲市场的观点,需要从经验与现实需求出发。开源生态的市场失灵主要体现在公共品特性与外部性。
没有公共介入,许多必要但不直接产生利润的维护工作会被忽视。公共资金的介入不是取代市场,而是填补市场无法有效覆盖的基础性投入,以实现更大的社会与经济回报。当关键基础设施免于单点失效、当中小企业能够在公平的技术基础上竞争、当公共服务数字化更安全可控,整个社会都将获益于这一投资。 欧洲面临的技术竞争并非单纯的经济博弈,它还涉及价值观与治理模式的较量。选择支持开源,就是选择一种更开放、透明与多元的技术路线。这一选择不仅能够保证欧洲在技术层面的可控性,还能在更广泛的国际舞台上展现出不同于美中两极化的第三条路径。
要实现这一目标,财政资源与政策设计必须联手,避免把开源继续留在"自下而上"的草根创新范畴,而应把它上升为"自上而下"的战略资产。 面向未来,欧盟需要在正在审议的两万亿欧元预算框架内,补上对开源的系统性投资。只有通过设立专门的主权科技基金、在欧洲竞争基金中为开源设立专项条款、优化法律与采购环境、并在国际层面展开协同合作,欧洲才能把开源真正变成提升数字主权、保障网络安全与推动产业竞争力的持久引擎。忽视这一点,短期看或许不会立刻暴露成本,但长期来看,欧洲将为一时的预算遗漏付出更高的代价。 在全球技术格局不断演变的当下,开源不应只是开发者社区的"附属品",也不应成为预算之外的隐性依赖。要让欧洲在未来的数字世界中既有韧性又有话语权,支持开源既是必要的战略选择,也是务实的财政投资。
欧盟若能在财政与政策上迈出这一步,不仅能保护自身利益,更能为全球技术治理提供一种更具公共价值的示范模式。如今是把开源放到预算版图中央,而不是留在边缘的时候。 作者为技术与开源观察者,关注开源治理、数字主权与公共政策的交叉议题。欢迎政策制定者、行业从业者与开源社区共同参与讨论,共同推动一项既能保障安全又能激发创新的欧洲开源战略。 。
