如何破解“开源危机”?开源风险分析与对策中国权威报
告出炉
来源:中国开放指令生态RISCV联盟
【新智元导读】最近,美国对中国动作频繁,以华为为代表的中国科技
企业受到了影响。今天和大家分享一份来自中国开放指令生态(RISC-
V)联盟的权威报告——《开源项目风险分析与对策建议》,帮助大家看
清当前开源项目所面临的风险。
开源需独立。
近日,美国对中国企业的限制动作不断:
•5月15日,美国将华为公司及其附属公司列入出口管制“实体
名单”。
•随后美国谷歌公司宣布将停止提供安卓(Andriod)系统的技
术支持与服务,而安卓系统一直是世界知名的开源项目。
•进一步人们又发现美国开源代码托管平台GitHub与美国非盈利
公司Apache基金会均有明确声明受美国出口管制约束。
因而国内各界开始重新审视开源项目的法律约束问题。人们呼吁:我们也
需要更多“开源自立”。
但怎样实现“开源自立”,目前的开源项目存在哪些风险,美国对开源的出口
管制约束对我们有怎样的影响呢?
近日,中国开放指令生态(RISC-V)联盟(英文缩写为CRVA)
发布权威报告
《开源项目风险分析与对策建议》,给出了对“开源自立”的细致调
研和建议。
报告链接:
/documents/A-Report-on-the-Risks-and-Suggestions-of-
报告对12个知名开源基金会、6个常用开源许可证和3个代码托管平台
进行了调研,分析它们在出口管制、司法管辖权和开源许可证下受到的约束
以及潜在风险。分析指出:
虽然开源基金会和开源许可证可以允许不涉及加密功能的开源项目规避出
口管制,但因为代码托管平台会受到出口管制,因此存在这些代码托管
平台的开源项目仍然会受到出口管制的影响。
报告还梳理了国内开源现状:中国企业在以LinuxKernel和GitHub为代表
的开源项目和托管平台上的贡献都非常突出,并涌现出众多开源组织与开源
联盟,但仍需加快开源代码托管平台建设,以备极端情况下依然能自由访问
开源项目。
以下是报告全文:
最大的风险来源:代码托管平台同时受出口管制和司法管辖权
的限制
开源,是指源代码、文档等设计内容开放的开发模式,其版权由开源协议定
义。开源用户可依据开源协议自由获取设计内容并根据需求自行修改。
开源的主要要素包括:
•开源基金会
•开源许可证
•开源项目
•开源代码托管平台等(图1为各要素之间的关系)。
当前,绝大多数开源基金会和开源项目都位于美国,几乎所有开源许可证和
代码托管平台也都由美国的学术界和工业界主导。
因此,一个需要理清的问题是那些或隶属于美国开源基金会、或使用美国主
导的开源许可证、或存放于美国代码托管平台上的开源项目是否会受到美国
的出口管制?
图1开源要素关系图
本报告针对上述问题开展了调研,分析了美国出口管制(ExportControl)
条款、司法管辖权(Jurisdiction)、开源许可证(License)的作用范围以
及相互之间的关系,进一步具体分析了12个知名开源基金会、6个常用的
开源许可证与3个代码托管平台受美国法律的影响,得到以下三点结论与建
议:
1.合理的开源基金会管理办法可以规避美国出口管制。选择开源项目时
务必要同时仔细阅读三个声明:所属开源基金会的声明、开源项目本
身的声明、所用的开源许可证声明。
2.开源许可证关联的是知识产权(版权),与出口管制无关。现有常用
开源许可证并没有在知识产权层面上对中国进行管制,但不排除未来
会出现将使用范围限定在美国的开源许可证的可能。
3.现有GitHub等代码托管平台默认同意遵守美国的出口管制条例和美
国法律,因此代码托管平台同时受出口管制和司法管辖权的限制,是
最大的风险。长远来看,中国必须建立开源项目托管平台,并以更开
放的方式吸引全世界的开源爱好者。
最后,报告梳理了国内开源现状。一方面,中国IT企业受益于开源软件,
但多数仍以使用开源软件为主,只有少数企业积极主导或参与开源项目,但
呈现上升趋势。另一方面,中国开源项目托管平台仍处于起步阶段,与
GitHub等国际知名托管平台差距甚大,亟需加强。
开源相关的三大类法律约束
开源相关的法律约束涉及三类,即出口管制、司法管辖权与开源许可证。
2.1出口管制(ExportControl)
国家出于政治、经济、军事和对外政策的需要,制定的商品出口的法律和规
章,以对出口国别和出口商品实行控制。美国的出口管制条例(EAR,
ExportAdministrationRegulations)主要规定是否能从美国出口货物到
外国,以及是否可以从外国“再出口(re-export)”到另一个外国,其中包
含了计算机软硬件。而按照EAR的规定(734.7b和742.15b),所有“公
开可获得(publiclyavailable)”的源代码(不含加密软件以及带加密功能
的其他开源软件),都是不被出口管制的。而“公开可获得”的带加密功能的
源代码,虽不会被限制出口,但需登记备案(5D002)[1][2],这也就是
ASF网站上的ASFProductClassificationMatrix[3]的由来。
默认情况:开源项目(除含加密功能的开源项目需备案外),都属于“公开
可获得”的代码,可以正常使用。
极端情况下的潜在风险:如果一个开源项目或开源组织声明遵从美国的出口
管制条例,此时一旦美国修改EAR,将高性能软件、EDA软件等一些核心
基础软件加入到管制中(这并非不可能,2018年11月,美国BIS曾就AI
和机器学习等新兴技术是否加入管制名单征求公众意见[13]),并且将目前
“备案即不被管制”(这其中包含了ASF几乎所有开源项目),修改为“备案
且需要被管制”,那就意味着大量核心开源项目将受到出口管制。
2.2司法管辖权(Jurisdiction)
司法管辖权又称为审判权,是指法院或司法机构对诉讼进行裁决和判决的权
力[4]。使用网站或注册会员时,如果其使用条款(TermsofUse)或会员条
款(MembershipAgreement)中指定了司法管辖权的归属,则代表合同
双方同意只承认指定的司法机关做出的判决为赔偿的依据。
极端情况下的潜在风险:如果一个开源项目或开源组织指定了司法管辖权归
属于美国某法院,那么所有围绕使用条款展开的纠纷,都将以该美国法院的
判决为准。
2.3开源许可证(License)
开源许可证属于软件许可证的一种,而软件许可证是一种具有法律性质的合
同或指导,目的在于规范受著作权保护的软件的使用或散布行为[5-6]。当
下常用开源许可证,如BSD、MIT、GPL等都是围绕代码的版权说明,修
改后是否可以闭源等问题展开的(早期的开源许可证如MPL1.1等,在协议
中指定了其司法管辖权在美国加州,但现在皆已弃用)。换言之,当下常用
的开源许可证保护的是知识产权,其自身与出口管制和司法管辖权并无关
联。
默认情况:开源许可证的作用为保护知识产权,不涉及其他的国家法律层面
的条款(如出口管制、司法管辖权等)。
极端情况下的潜在风险:如果美国SF、ASA以国防安全为由,制定一
个新的开源许可证,限制其资助的所有开源项目只能在美国使用和发布,则
美国以外的其他国家将失去这部分开源项目的使用权。国内公司一旦使用,
就会侵犯知识产权。
2.4三者之间的关系
表1总结了三类法律约束。可以看出,出口管制、司法管辖权和开源许可证
之间并无直接联系,它们分别从商品出口、诉讼的审判权和知识产权这三个
方面界定了不同的法律约束。
表1.法律约束总结
2.5对商业和教育等不同用户的影响
从出口管制的角度,美国的制裁针对的主要是“商业行为”,目前尚未发现对
教育和学术有明确影响;从知识产权(亦即开源许可证)的角度,部分许可
证会区分商业和教育用途,目前尚未发现明确变化。
国际开源组织与项目
一个完整的生态包含开源基金会(组织)、开源项目、开源许可证和代码托
管平台等多方面要素,它们各自的条款声明和受到的法律制约都不尽相同。
3.1开源基金会
开源基金会管理开源项目,但基金会的管理办法差异较大,而基金会旗下的
开源项目也可以选择不同管理办法。详细内容请见文末附表1。举例:
•Linux基金会自身的管理办法不受美国出口管制[7],其旗下的项目包括
LinuxKernel等默认遵循该管理办法,但虚拟化项目Xen明确要求其
使用并出口者遵循美国出口管制[8],就属于Linux基金会中的特例;
•Apache基金会的管理办法明确说明遵循美国出口管制,旗下绝大多数
项目如Hadoop、Spark等,在备案(5D002)后即不受出口管制
[3];
•Mozilla基金会明确声明司法管辖权归属加州。根据前述司法管辖区与
出口管制的关系,Mozallia基金会声明司法管辖权,只是表示出现各
类纠纷都将以加州SantaClara的法庭裁决为准[9]。如前所述,这并
不表示其管理的开源项目默认受到出口管制。
•RISC-V基金会隶属于Linux基金会,没有特别声明受美国出口管制,因
此RISC-V基金会拥有的RISC-V开放指令集标准并不会受美国出口管
制。值得注意的是,RISC-V基金会的会员条款中也指明了其司法管辖
权在美国特拉华州[17]。根据前述司法管辖权与出口管制的关系,
RISC-V基金会声明司法管辖权,表示所有围绕会员条款产生的纠纷都
将交由指定法庭裁决,但并不表示其管理的开源项目默认受到出口管
制。
3.2开源许可证
报告调研了6个开源许可证,即GPL、LGPL、BSD、MIT、Mozilla、
Apache,均未涉及与政府出口管制无关的声明。详细内容请见文末附表2.
3.3代码托管平台
报告调研了3个代码托管平台,即GitHub、SourceForge和
GoogleCode。该三个平台均明确声明遵守美国出口管制条例,并且司法管
辖权均在加州(即需按加州法律解决纠纷)。详细内容请见文末附表3。
以GitHub为例,GitHub明确声明其GitHubEnterpriseServer是被出口
管制,不能出口到被制裁国家(如伊朗等)的。至于GitHub网站的普通功
能,由于架设在美国的GitHub服务器的上传和下载的行为都需要遵从出口
管制和美国法律,所以其正常使用是可能会被管制的。亦即,GitHub上的
开源项目代码在遵守项目自身的开源许可证的同时,也可能作为GitHub上的
信息(Information)遵从出口管制和美国法律[18]。表面上看,这两者在
是否受到出口管制这一问题上会有一定的矛盾,但根据前文介绍的司法管辖
权,最终如何解读取决于美国法院的判决。华为也很可能在此次“实体名单”
事件中因为GitHub因素使其访问开源项目受到影响。日前,报告作者通过
跟一名伊朗的大学教授邮件咨询得知,GitHub的访问和使用功能在伊朗目
前是可用的,但不排除GitHub有在将来限制伊朗访问的可能性。
开源项目如何规避出口管制风险?存在四种情况,但都需要开源项目发起人
或开发者支持与配合:
•对于已存放于GitHub的开源项目,若同时存放于美国以外其他托管平
台,且开发者分别独立提交更新到GitHub与其他托管平台,且开发
过程中不从GitHub下载任何信息,那么从美国以外的托管平台获取
开源项目不受美国出口管制;
•对于已存放于GitHub的开源项目,若发起人本地拥有副本,且未从
GitHub上下载更新,那么发起人可在美国以外其他托管平台创建开源
项目,并将副本上传到该托管平台。此后开发者分别独立提交更新到
GitHub与美国以外的托管平台,且开发过程中不从GitHub下载任何
信息,那么从美国以外的托管平台获取开源项目不受美国出口管制;
•对于新启动的开源项目,发起者可在美国以外的托管平台和GitHub上
同时创建项目,且开发者分别独立提交更新到美国以外的托管平台与
GitHub,且开发过程中不从GitHub下载任何信息,那么从美国以外
的托管平台获取开源项目不受美国出口管制;
•对于新启动的开源项目,发起者可直接在美国以外的托管平台创建项
目,其后开发者向该托管平台更新,那么从该托管平台获取开源项目
不受美国出口管制。
国内开源现状
4.1开源力量和开源组织
此次“开源危机”在国内开源各界掀起了轩然大波,这无疑凸显了国内对开源
项目的重视。但长期以来,中国用户以使用为主,对开源社区贡献较少。
近年来,国内开源社区对国际开源项目的贡献已经日趋瞩目,以华为、阿
里、百度、腾讯等公司为首的公司和个人已经在国际各开源项目中占据了越
来越重要的角。例如华为在LinuxKernel5.1中的patch提交数量位居全
球第五(如图2所示);阿里、腾讯和百度在GitHub上的贡献分列全球第
九、十二和十五(如图3所示),这都说明了国内各界对开源领域的贡献。
国内的开源组织也正逐渐走上舞台,例如倡导发展开源芯片的中国开放指令
生态(RISC-V)联盟和中国RISC-V产业联盟,致力于开源软件的中国开
源软件推进联盟,关注开源人工智能等的新一代人工智能产业技术创新战略
联盟,聚焦工业4.0的开源工业互联网联盟,着力于云计算行业的云计算开
源产业联盟和中国开源云联盟等,都彰显了国内开源社区蓬勃的生命力。
图2华为在LinuxKernel5.1中的patch提交数量位居全球第五
图3阿里、腾讯和百度在GitHub上的贡献分列全球第九、十二和十五
4.2代码托管平台和开源许可证
中国开源项目托管平台仍处于起步阶段,与GitHub等国际知名托管平台差
距甚大,亟需加强。近年来,托管平台也受到越来越重视。国内的开源代码
托管平台,如openI启智平台[16]和开源中国的码云[12]等,展示出不凡的
潜力。如openI启智平台提供代码托管服务,并建立了开源社区,积极促
进人工智能领域的软硬件开源。
在开源许可证方面,中国开始重视起来。例如openI启智平台发布的“启智
开源许可证1.1”,也说明了国内对开源项目的知识产权意识正在逐步增强,
为将来发展国内主导的开源项目奠定了良好的基础。
总结和建议
综上,本报告总结如下:
其一,合理的开源基金会管理办法可以规避美国出口管制。选择开源项目时
务必要同时仔细阅读三个声明:所属开源基金会的声明,项目本身的声明,
所用的开源许可证声明。
其二,开源许可证关联的是知识产权(版权),与出口管制无关。现有常用
开源许可证并没有在知识产权层面上对中国进行管制,但不排除未来会出现
将使用范围限定在美国的开源许可证的可能。
其三,代码托管平台同时受出口管制和司法管辖权的限制,是开源最大的风
险,因为现有GitHub等平台是默认同意遵守美国的出口管制条例和美国法
律的。在开源项目发起人与开发者的支持和配合下,一部分开源项目有可能
规避托管平台带来的出口管制。但从长远来看,中国必须建立起自己的开源
项目托管平台,发展自身的开源力量,并以更开放的方式吸引全世界的开源
爱好者。
此次“危机”折射出的是国内工业界和学术界对国外开源软件的依赖,一旦美
国在法律层面上限制开源项目的使用范围,即使仅对部分核心开源软件进行
限制,也会对国内各界产生釜底抽薪式的影响。因此,提倡和发展不受美国
出口管制和司法管辖权限制的开源项目,完善中国自己的开源社区与托管平
台等开源基础设施,才能更好地解决这个问题。如何探索发展更加开放和自
由的开源社区,也将是未来开源各界需要重点思考的问题。
关于CRVA
中国开放指令生态(RISC-V)联盟(英文缩写为CRVA;ChinaRISC-V
Alliance)围绕RISC-V指令集,以促进开源开放生态发展为目标,以重点
骨干企业、科研院所为主体,整合各方资源,建立产、学、研、用深度融合
的联盟,推动协同创新攻关,促进RISC-V相关开源技术的开发与共享,推
广相关技术和产品的应用,探索体制机制创新,推进RISC-V生态在国内的
快速发展。
本文发布于:2022-07-28 15:24:04,感谢您对本站的认可!
本文链接:http://www.wtabcd.cn/falv/fa/82/43278.html
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。
留言与评论(共有 0 条评论) |