freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

美国出口管制对开源项目有何影响
2019-05-21 15:46:52

【以下内容转载自中科院计算所包云冈研究员的重要分享】

开源项目是否受美国出口管制?这个问题今天引起了IT界的恐慌。开源的风险到底在哪里?其实很多人并没有亲自调查确认。我们认为只有获取足够的第一手有效信息,才能做出正确的判断,才能做出合适的应对方案。因此,我们在第一时间开展了调研,同时向一些海外朋友咨询。目前有一些初步的结果,更详细的报告会在后续给出。【同时也推荐台湾开放文化基金会法制顾问、开源社法律咨询委员会成员林诚夏先生的解读,见下文】

针对开源的几个基本要素:开源基金会、开源协议、开源项目、开源代码托管平台。我们对12个知名开源基金会、6个常用的开源协议、3个代码托管平台进行了调研与分析,得出以下初步结论:

1、开源基金会管理开源项目,但基金会的管理办法差异较大,而基金会旗下的开源项目也可以选择不同管理办法。例如:一、Linux基金会自身的管理办法不受美国出口管制,所以旗下的项目包括Linux Kernel等默认遵循该管理办法,但虚拟化项目Xen明确说明遵循美国出口管制,就属于Linux基金会中的特例;二、Apache基金会的管理办法明确说明遵循美国出口管制,所以它旗下所有项目如Hadoop、Spark都将受到出口管制。三、Mozilla基金会明确声明遵守加州法律,出现各类纠纷将必须到Santa Clara的法庭裁决。

2、目前调研的开源许可协议族(GPL、LGPL、BSD、MIT、Mozilla、Apache 2.0)均未涉及与政府出口管制无关的声明。

3、目前调研的3个代码托管平台GitHub、SourceForge、Google Code均明确声明遵守美国出口管制条例,并按加州法律解决纠纷。

小结

√ 合理的开源基金会管理办法可以规避美国出口管制;

√ 开源协议与出口管制无关;

√ 代码托管平台是开源的最大风险。

建议

√ 选择开源软件时务必仔细阅读两个声明:一是所属开源基金会,二是项目本身;

√ 尽快建立已有托管平台在美国以外的镜像平台;

√ 长远来看,中国必须建立起自己的开源项目托管平台,并以更开放的方式吸引全世界的开源爱好者;

√ 如何更开放?需要探索。比如,在这个世界上是否有可能设立一个支撑开源项目的特区——一个完全由开源爱好者自治的法律特区。

关于RISC-V

RISC-V基金会隶属于Linux基金会,没有特别声明受美国出口管制,因此RISC-V基金会拥有的RISC-V开放指令集标准并不会受美国出口管制。这一点上周和RISC-V基金会的现任CEO专门进行了讨论并得到确认。后续我们也会再进一步确认。


上述为目前调研的初步结论,更多信息后续再更新,敬请关注。

盛邦安全服务热线:4006-911-199

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者