開源也要有備胎!安卓遭禁GitHub會閉源?專家:無需恐慌但要警醒
文章推薦指數: 80 %
【新智元導讀】安卓遭禁風波未平,Apache許可證分發的軟體也將受美國出口管制?專家解讀:無需恐慌,但要警醒了!
開源軟體也要遭禁?專家:無需恐慌。
昨日,安卓遭禁的新聞引發軒然大波。
隨後,開源中國在其博客中指出:Apache 許可證分發的軟體也受美國出口管制。
此消息一出,眾多網友呼籲程式設計師們:請儘快將代碼在國內備份!
Apache 軟體基金會這個全球最大的開源軟體基金會官網上有這樣的內容:
這段話的大概意思是除非經美國政府正式授權,否則 ASF 軟體或技術不得直接或間接出口或再出口到受美國禁運或貿易制裁的任何地方。
除此之外,GitHub 這個全球最大的開原始碼託管平台官網上也赫然寫著:
GitHub.com、GitHub Enterprise Server 以及您上傳到任一產品的信息可能受美國出口管制法律的約束,包括美國出口管理條例(EAR)。
該條款指出,GitHub Enterprise Server 不得出售、出口或再出口到清單中的國家,清單目前已經包含古巴、伊朗、朝鮮、蘇丹與敘利亞,並且隨時可能會發生變化。
細思極恐,開源軟體何去何從
除了GitHub之外,知名公眾號博主魏永明指出還有一個至關重要的開源軟體也值得關注 :Linux 內核。
Linux 內核是由來自世界各地的開發者一同協作完成的,智慧財產權所有者遍布全球。
然而,Linux 基金會是在美國註冊的,且 Linux 內核的分發伺服器(www.kernel.org)、git
倉庫伺服器也都在美國的,所以美國如果說 Linux 內核也受美國的出口法律法規管轄,我們也無法反駁。
其實還遠不止這些!
人工智慧領域的同學應該對當前最火的開源框架TensorFlow並不陌生,但余凱(原百度研究院副院長、深度學習實驗室主任)早前就曾在朋友圈發表呼籲大家用 caffe、mxnet 等框架,避免使用 TensorFlow。
他表示:「任TensorFlow成為世界上占統治地位的人工智慧開發平台對世界是危險的。
儘管這個平台目前是開源的,但是隨著時間的推移,人工智慧變得越來越強大,這個系統會變得極端複雜到失去透明性,而且會很可怕的變成全世界數據,計算,硬體,編譯器等的標準制定者。
這樣會導致一個不健康的生態,阻礙年輕人掌握技術的自由,讓個人,公司甚至國家在人工智慧領域的自主發展,最終被一家商業公司所控制。
這不是危言聳聽。
可惜現在絕大部分人都還意識不到這點。
「
此言論一出就曾引發眾多網友討論。
現在看來,確實不無道理。
開源軟體不涉及加解密技術,就不會被管制?
根據林誠夏先生(台灣開放文化基金會法制顧問,開源社法律諮詢委員會成員)的分析與說明,「開源軟體,只要不涉加解密技術,不會被美國 EAR ( Export Administration Regulation , EAR ) 管制,但涉及加解密者則會被管制。
「
以下為詳細說明:
- 依美國 EAR (Export Administration Regulation, EAR),美國人、美國公司將軟體出口至美國境外,或在美國境內提供給外國人作為出口的預備行為,必須申請取得許可。
- 但符合「公開可及(Publicly available)」定義的軟體,不在 EAR 管制範圍,亦即不需要申請許可;也就是說,多數的開源軟體,皆為公開可及並能後續散布,符合這條但書,出口上不需要申請許可。
(EAR 734.7 (a)) - 但 EAR 734.7 (b) 同時說明,公開可及軟體雖不需許可,但若涉及加解密技術,仍然必須申請許可。
- 除非是這個加解密技術,除了代碼本身公開可及外,其加密方式原則上也是公開可及的,那就可以再主張它在 ECCN 5D002 的列表里,可以采 EAR 742.15(b) 款提供原始碼或揭露原始碼來源的方式,來登錄備查。
或是更簡要的說,在美國:
-
軟體出口必須申請許可。
- 除非該軟體是公開可及的,那就不需要申請許可。
- 但公開可及的軟體,若涉及信息加密技術仍然要申請許可。
- 除非該公開可及的軟體,除了代碼公開可及外,連加密技術本身也公開可及,那就再進入例外不需要申請許可。
- 雖然不需要申請許可,但這樣的代碼公開可及、加密技術公開可及的軟體仍然要向美國 BIS 匯報備查,並提供相關訊息供其事前事後查驗。
像 Red Hat 及 Mozilla 是有定期提供備查清單出來給美國政府的。
亦即有列備查清單者的,原則不能被管制出口。
註:Part 734 章節里的 734.7 對於何謂「公開可及(§ 734.7 PUBLISHED )做了定義說明及例示,簡要來說:「技術或軟體已經是被一般公眾可以接觸,並不限及其後續散布者( when it has been made available to the public without restrictions upon its further dissemination
)。
概念辨析
Apache License 與 Apache 基金會項目
有很多開源軟體,都會選擇使用 Apache License 2.0,但是這並不代表這個開源項目已經屬於 Apache 基金會,只有當項目被明確的捐贈給 Apache 基金會,才是屬於 Apache 基金會的項目,受到美國法律的監管。
但是,只要這個項目不涉及加密,同樣不在 EAR 管制範圍。
開源軟體不等於美國的軟體
有很多人擔心,美國一聲令下,會禁止所有的開源軟體被中國使用。
這樣的擔憂是不必要的。
有太多的自由軟體/開源軟體,不屬於任何一個公司,也不屬於任何一家開源基金會,或者屬於美國之外的組織,這些都是美國管不到的地方。
Github.com,Github 上託管的開源項目,與 Github 企業版
針對開源中國上述的文章,我們擔心存在一些混淆。
Github 是一家美國公司,當然受美國法律的約束。
Github.com 上託管的項目,卻未必受美國法律的約束。
Github 企業版是 Github 公司的一個產品,而且是一個閉源的產品,這個產品不屬於「公開可及( Publicly available )」的範圍,因此會受到 EAR
管制。
確實可能存在無法出口的問題。
但是,這個產品,大多數情況下是企業採購之後,在本公司內部部署並使用的產品,對於開源社區,幾乎沒有任何影響。
因此,我們認為除了 EAR 限制的加密技術之外,由於開源軟體在網絡公開下載傳播的屬性,ASF 軟體基金會或是其他開源軟體項目不會也很難被美國政府限制出口。
您的看法如何呢?歡迎評論!
專家解讀:不必過度恐慌
開源項目是否受美國出口管制?是否有可能全線「閉源「?知名科技博主@包雲崗 進行了相關調查,並在微博上發表了調查結論,以下內容援引自其博文:
針對開源的幾個基本要素:開源基金會、開源協議、開源項目、開原始碼託管平台。
我們對12個知名開源基金會、6個常用的開源協議、3個代碼託管平台進行了調研與分析,得出以下初步結論:
1、開源基金會管理開源項目,但基金會的管理辦法差異較大,而基金會旗下的開源項目也可以選擇不同管理辦法。
例如:
- Linux基金會自身的管理辦法不受美國出口管制,所以旗下的項目包括Linux Kernel等默認遵循該管理辦法,但虛擬化項目Xen明確說明遵循美國出口管制,就屬於Linux基金會中的特例;
- Apache基金會的管理辦法明確說明遵循美國出口管制,所以它旗下所有項目如Hadoop、Spark都將受到出口管制。
- Mozilla基金會明確聲明遵守加州法律,出現各類糾紛將必須到Santa Clara的法庭裁決。
2、目前調研的開源許可協議族(GPL、LGPL、BSD、MIT、Mozilla、Apache 2.0)均未涉及與政府出口管制無關的聲明。
3、目前調研的3個代碼託管平台GitHub、SourceForge、Google Code均明確聲明遵守美國出口管制條例,並按加州法律解決糾紛。
4、小結:
* 合理的開源基金會管理辦法可以規避美國出口管制
* 開源協議與出口管制無關
* 代碼託管平台是開源的最大風險
5、關於RISC-V
RISC-V基金會隸屬於Linux基金會,沒有特別聲明受美國出口管制,因此RISC-V基金會擁有的RISC-V開放指令集標準並不會受美國出口管制。
這一點上周和RISC-V基金會的現任CEO專門進行了討論並得到確認。
後續我們也會再進一步確認。
開源自立迫在眉睫
這次華為事件促使我們思考:當我們日常所使用的程式語言、作業系統、開發框架與工具、服務,被注入了國家政府或是商業集團的意志時,究竟該怎麼辦?
科技自立、開源自立是唯一的出路。
科技行業在政治和商業的壓力下,也早已不是曾經的「烏托邦」。
近年來,高通收購案、Facebook「數據門」、去年的中興事件、今年的華為事件,都可以看到,科技界並不是完全自由開放的,背後也同樣有各個國家政府或是商業集團的意志。
這給國內的廣大用戶、廠商敲響了警鐘:基礎軟體不能過分依賴開源,需要自主研發,開源自立已迫在眉睫!
正如包雲崗在文中所說,「我們應儘快建立已有託管平台在美國以外的鏡像平台,長遠來看,中國必須建立起自己的開源項目託管平台,並以更開放的方式吸引全世界的開源愛好者。
」
本文經授權轉載自微信公眾號「圖靈TOPIA」,ID:turingtopia
部分內容轉載自微信公眾號「開源社」,ID:kaiyuanshe
