開源軟體會不會被卡脖子,在華為列入實體清單,高校不能用MATLAB時已經鬧得沸沸揚揚。
當時Apache基金會,Linux基金會等大佬做了回應,各路大神也已經下了結論。
達成的共識就是:
按照美國出口管制規定(以下簡稱EAR):可以公開獲得的軟體(publicly available software),不在EAR管制範圍之內,可以自由出口。
開源軟體屬於publicly available software, 所以不受管制。
這裡邊有個例外,如果開源專案中包含加密功能,需要向美國政府備案,告知軟體公開的網際網路地址,原始碼,升級資訊等等。
中國網際網路可以鬆一口氣了,開源那麼多輪子,可以放心食用,對吧?
最近看到中國RISC-V聯盟的一個報告《開源專案風險分析與對策建議》(http://crva.ict.ac.cn/documents/A-Report-on-the-Risks-and-Suggestions-of-Open-Source-Projects.pdf), 發現這事兒不是字面上寫的這麼簡單,水很深。
這裡給小夥伴們分享一下,也歡迎大家積極討論。
我們擔心美帝卡脖子,主要是因為開源軟體大部分發源於美國, 並且被位於美國的組織主導,連程式碼也託管於美國的程式碼平臺之上,所以美國可以管轄。
雖然開源軟體的License大都宣告可以自由使用和分發,但是有開源組織和託管平臺這兩個隱患。
1. 開源組織宣告遵循美國EAR
開源軟體一般都屬於某個開源組織,比如Linux屬於Linux基金會,Hadoop屬於Apache基金會,這些開源組織可能會宣告遵循EAR。
Apache基金會就是這麼宣告的:
The Apache Software Foundation (ASF) is a 501(c)(3) nonprofit charity based in the United States of America. All of our products are developed via online collaboration in public forums and distributed from a central server within the U.S. Therefore, U.S. export laws and regulations apply to our distributions and remain in force as products and technology are re-exported to different parties and places around the world.
大意就是Apache基金會是位於美國的非盈利組織,所有產品都從美國伺服器分發,因此適用於美國出口的法律法規,遵守EAR。
雖然前面提到可以公開獲得軟體不受EAR管制,但是這裡邊就存在極端情況下的隱患:
如果美國修改EAR,將一些核心開源軟體新增到出口管制當中,並且將目前“備案就不被管制”(這其中包含了 Apache基金會幾乎所有開源專案),修改為“備案且需要被管制”, 那就意味著大量核心軟體(Apache HTTP Server,Hadoop, Spark等)就沒法用了。
這並不是危言聳聽, 2018年11月, 美國商務部下屬的工業及安全域性(BIS)就新興技術管制名單徵詢過公眾意見,名單就包括AI、微處理器、量子計算、生物識別、3D列印等在內的14個新興技術。
2. 程式碼託管平臺宣告遵守美國EAR
現在最大的程式碼託管平臺是GitHub,以及Google Code , SourceForge,它們都明確宣告遵守美國出口管制條例EAR。
它暗含的意思就是:伺服器架設在美國,那麼程式碼的上傳和下載行為需要遵守EAR。
所以,如果美國政府禁止GitHub某個開源專案出口,不讓某個公司使用,理論上是可以做到的。
這似乎又和開源License中寫的原始碼可以自由使用相矛盾的,是聽程式碼託管平臺的還是聽特定開源軟體的?
如何最終解讀要看司法管轄權, 如果開源組織指定司法管轄權歸屬美國某法院,那圍繞使用條款展開的糾紛,都已美國法院判決為準。
美國的平臺,司法管轄權不可能指定中國地區的法院。例如GitHub、SourceForge 和 Google Code,該三個平臺都宣告司法管轄權均在美國加州,有糾紛找加州法院判決。
3. 總結
開源軟體是全世界程式設計師的勞動成果,美國不太可能冒天下之大不韙,大規模對開源軟體開刀。
如果發生這種情況,估計開源軟體的組織和平臺很快就會“逃離”美國,重新尋找安身之所,這對美國來說也是極大傷害。
但是並不排除極端情況下,美帝針對某個國家,某個公司動手,以所謂國家安全的名義限制軟體出口。
所以如果想完全獨立,不被美帝卡脖子,還是要發展中國自己的開源社群,建立自己的程式碼託管平臺。
彩蛋時間
美國計算機密碼學家齊默爾曼寫了一個保護個人通訊隱私的軟體:PGP,這是個非常棒的加密軟體,美國政府自然不允許出口。
後來有人給齊默爾曼支招, 美國憲法第一修正案規定:雖然出口槍支彈藥和軟體受到限制,但是書籍的出口不受限制。
於是,齊默爾曼透過MIT出版社出了一本書《PGP Source Code and Internals》,有600頁,這本書沒別的東西,全是PGP這個軟體的原始碼!
任何人,只要你購買了這本書(不受美國出口的限制),你就獲得了PGP軟體,前提是,需要用OCR軟體掃描一下——齊默爾曼在書的開頭非常貼心地告訴了大家如何使用OCR來操作。
齊默爾曼的故事參見我寫的另外一篇文章《我寫了一個軟體,差點被投入監獄!》
