【以下内容转载自中科院计算所包云冈研究员的重要分享】
开源项目是否受美国出口管制?这个问题今天引起了IT界的恐慌。开源的风险到底在哪里?其实很多人并没有亲自调查确认。我们认为只有获取足够的第一手有效信息,才能做出正确的判断,才能做出合适的应对方案。因此,我们在第一时间开展了调研,同时向一些海外朋友咨询。目前有一些初步的结果,更详细的报告会在后续给出。【同时也推荐台湾开放文化基金会法制顾问、开源社法律咨询委员会成员林诚夏先生的解读,见下文】
针对开源的几个基本要素:开源基金会、开源协议、开源项目、开源代码托管平台。我们对12个知名开源基金会、6个常用的开源协议、3个代码托管平台进行了调研与分析,得出以下初步结论:
1、开源基金会管理开源项目,但基金会的管理办法差异较大,而基金会旗下的开源项目也可以选择不同管理办法。例如:一、Linux基金会自身的管理办法不受美国出口管制,所以旗下的项目包括Linux Kernel等默认遵循该管理办法,但虚拟化项目Xen明确说明遵循美国出口管制,就属于Linux基金会中的特例;二、Apache基金会的管理办法明确说明遵循美国出口管制,所以它旗下所有项目如Hadoop、Spark都将受到出口管制。三、Mozilla基金会明确声明遵守加州法律,出现各类纠纷将必须到Santa Clara的法庭裁决。
2、目前调研的开源许可协议族(GPL、LGPL、BSD、MIT、Mozilla、Apache 2.0)均未涉及与政府出口管制无关的声明。
3、目前调研的3个代码托管平台GitHub、SourceForge、Google Code均明确声明遵守美国出口管制条例,并按加州法律解决纠纷。
小结
√ 合理的开源基金会管理办法可以规避美国出口管制;
√ 开源协议与出口管制无关;
√ 代码托管平台是开源的最大风险。
建议
√ 选择开源软件时务必仔细阅读两个声明:一是所属开源基金会,二是项目本身;
√ 尽快建立已有托管平台在美国以外的镜像平台;
√ 长远来看,中国必须建立起自己的开源项目托管平台,并以更开放的方式吸引全世界的开源爱好者;
√ 如何更开放?需要探索。比如,在这个世界上是否有可能设立一个支撑开源项目的特区——一个完全由开源爱好者自治的法律特区。
关于RISC-V
RISC-V基金会隶属于Linux基金会,没有特别声明受美国出口管制,因此RISC-V基金会拥有的RISC-V开放指令集标准并不会受美国出口管制。这一点上周和RISC-V基金会的现任CEO专门进行了讨论并得到确认。后续我们也会再进一步确认。
上述为目前调研的初步结论,更多信息后续再更新,敬请关注。
盛邦安全服务热线:4006-911-199