PuTTY是开源免费的吗？其许可证类型和使用限制有哪些？

一、基础认知：PuTTY 的“免费 ≠ 开源”本质

PuTTY 是一款广为人知的跨平台 SSH/Telnet 客户端工具，自 1998 年由 Simon Tatham 开发以来，始终以免费（freeware）形态分发——用户无需支付许可费用，亦无功能阉割或时间限制。但需明确：其许可证未获 Open Source Initiative (OSI) 认证，因此严格不符合 OSI 开源定义，不属于法律与社区语境下的“开源软件（Open Source Software, OSS）”。这一区分对合规审计、供应链安全评估及企业级集成具有实质性影响。

二、许可证解析：PuTTY License 的结构化特征

三、组件一致性：全工具链共享同一许可模型

PuTTY 生态并非“主程序开源、附属工具闭源”的混合体，而是高度统一的许可实践：

• PuTTY（终端模拟器）→ PuTTY License
• PSCP / PSFTP（安全文件传输）→ 同一许可证，支持企业自动化脚本集成
• PuTTYgen（密钥生成器）→ 可离线生成 RSA/ECDSA/Ed25519 密钥，许可证允许嵌入至内部运维平台
• Pageant（SSH 认证代理）→ 支持 Windows 登录会话级密钥托管，许可允许静默部署于域环境

该一致性显著降低企业法务审查复杂度——一次合规确认即覆盖全部组件。

四、工程实践警示：常见误用场景与风险规避

1. 误区：将 patch 后的 PuTTY 重命名为 “MyPUTTY-Enterprise” 并宣称“经 PuTTY 官方认证” → 违反许可证第 3 条，构成虚假陈述风险
2. 误区：在 SaaS 产品中集成 PSCP 二进制并屏蔽其启动画面，却未在 EULA 中声明使用 PuTTY 组件 → 虽不违法，但违反免责条款披露义务，削弱法律抗辩力
3. 误区：认为“MIT 风格 = 可忽略许可证”而删除 LICENSE 文件重新打包 → 直接违约，丧失再分发权

五、架构决策参考：为何企业仍广泛采用 PuTTY？

六、合规建议清单（面向 DevOps 与法务协同）

• ✅ 在产品《第三方组件声明》文档中明确标注："PuTTY v0.78, licensed under custom MIT-style license, not OSI-approved"
• ✅ 修改版发布时，命名须规避 “PuTTY” 字样（如：SecureTerm-CLI），并在 About 对话框注明 “Based on PuTTY source, not affiliated with Simon Tatham”
• ✅ 使用 pscp.exe -batch 进行 CI/CD 文件同步时，确保构建镜像中包含原始 LICENSE 文件副本（路径：/third_party/putty/LICENSE）
• ✅ 对 Pageant 进行定制化开发（如增加智能卡支持）后，必须保留原始 COPYRIGHT 声明头注释（含 1997–2024 年份范围）