开源软件会不会卡?当华为被列入实体清单,高校不能使用MATLAB时,已经闹得沸沸扬扬。当时Apache基金会、Linux基金会等大佬纷纷响应,各路高手也纷纷得出结论。达成的共识是:根据美国出口管制条例(以下简称EAR):公开可用软件(publiclyavailablesoftware)不在EAR管制范围内,可以自由出口。开源软件是公开可用的软件,因此不受监管。这里有一个例外。开源项目如果包含加密功能,需要向美国政府备案,并告知软件的公网地址、源代码、升级信息等。中国互联网可以松一口气了,开源这么多轮子,可以放心用了吧?最近看到了中国RISC-V联盟的一篇报道《开源项目风险分析与对策建议》,发现这件事并没有字面上写的那么简单,水很深。在这里分享给你的朋友,欢迎大家积极讨论。我们担心美国会被卡住,主要是因为大多数开源软件起源于美国,并且被位于美国的组织所主导。连代码都托管在美国的代码平台上,所以美国可以管。虽然大多数开源软件的许可证都声明可以自由使用和分发,但开源组织和托管平台存在两个隐患。1、开源组织声明遵循美国EAR开源软件一般都属于一个开源组织,比如Linux属于Linux基金会,Hadoop属于Apache基金会,这些开源组织都可以声明遵循EAR。这就是Apache基金会的声明:Apache软件基金会(ASF)是一家总部位于美国的501(c)(3)非营利慈善机构。我们所有的产品都是通过公共论坛的在线协作开发的,并从美国境内的中央服务器分发。因此,美国出口法律和法规适用于我们的分发,并且随着产品和技术被重新出口到周围的不同方和地方而继续有效世界。大意是ApacheFoundation是一个位于美国的非营利组织,所有产品均从美国服务器分发,因此适用美国出口法律法规,符合EAR。虽然前面提到公开软件不受EAR管制,但极端情况下也存在隐患:如果美国修改EAR,一些核心的开源软件将被加入出口管制,而目前的“注册”不会被管控”(这包括Apache基金会几乎所有的开源项目),如果改为“已记录,需要管控”,则意味着大量核心软件(ApacheHTTPServer、Hadoop、Spark等)不能使用。这不是危言耸听。2018年11月,美国商务部工业与安全局(BIS)就新兴技术管制清单向公众征求意见,其中包括人工智能、微处理器、量子计算、生物识别、3D打印等14项新兴技术。2.代码托管平台声明符合美国EAR。现在最大的代码托管平台是GitHub、GoogleCode、SourceForge。他们都明确声明他们遵守美国出口管制条例EAR。暗示:服务器架设在美国,所以代码的上传下载行为需要遵守EAR。因此,如果美国政府禁止GitHub上的一个开源项目出口,不让其被某家公司使用,理论上是有可能的。这似乎与开源许可证中编写的源代码可以自由使用这一事实相矛盾。是基于代码托管平台还是特定的开源软件?最终解释取决于司法管辖区。如果开源组织指定管辖权属于美国的某个法院,则围绕使用条款的争议已由美国法院判决。对于美国平台,无法指定中国法院管辖。比如GitHub、SourceForge和GoogleCode,这三个平台都声明自己的管辖权在美国加州,纠纷由加州法院裁决。3、得出结论,开源软件是全世界程序员的劳动成果,美国冒着丢世界的脸大规模攻击开源软件的可能性不大。如果发生这种情况,估计开源软件组织和平台很快就会“逃离”美国,重新找地方安身立命,这对美国来说也是一个很大的伤害。但也不排除在极端情况下,美帝国主义以所谓国家安全为名,针对某个国家或某个企业限制软件出口。所以想要完全独立,不被美帝卡住,还是要发展中国自己的开源社区,搭建自己的代码托管平台。美国计算机密码学家齐默尔曼写了一个保护个人通信隐私的软件:PGP,这是一个非常好的加密软件,美国政府自然不允许出口。后来,有人给了齐默尔曼小费。美国宪法第一修正案规定,虽然枪支、弹药和软件的出口受到限制,但图书的出口不受限制。于是,齐默尔曼通过麻省理工出版社出版了一本书《PGP Source Code and Internals》,有600页。本书没有别的,全是软件PGP的源代码!任何人,只要你买了这本书(不受美国出口限制),你就获得了PGP软件,前提是你需要用OCR软件扫描它——Zimmerman在开篇就非常贴心地告诉大家如何使用OCR进行操作这本书。
