近幾日來,因基于美國 BIS 將華為列入管制“實體名單”,Google 將向華為停止軟硬件及技術(shù)方面的合作,盡管本身已“開源”的 Android 系統(tǒng)部分依然可以使用,但Google 本身閉源的移動服務(wù) (Google Mobile Service) 以及技術(shù)支持等服務(wù)將無法使用,由此,引發(fā)了廣泛熱議。與此同時,更多人發(fā)現(xiàn),Apache 基金會與 GitHub 也疑似受美國出口法律法規(guī)管制。這引起很多開發(fā)者的恐懼與思考:如果有一天,美國一聲令下,“管制”起來,我們中國企業(yè)和程序員是否陷入艱難的困境呢?
于是有人建議,中國的代碼別托管在國外的代碼倉庫里了!為了安全,趕緊把代碼挪回我們自己的代碼倉庫吧。
可實情真的如大眾所說的“GitHub是美國的,里頭的代碼都受美國管制”嗎?而解決之道真的是“閉關(guān)鎖GitHub”嗎?
對此,CSDN(ID:CSDNnews)采訪到中國開源軟件推進聯(lián)盟副主席兼秘書長劉澎和鈞理知識產(chǎn)權(quán)事務(wù)所、開源社法律咨詢委員會顧問林誠夏,一起為我們解疑釋惑。
主流開源軟件是否會被閉源?
談起開源軟件的版權(quán),劉澎介紹道,平常我們的版權(quán)是叫Copyright,但在自由軟件里是著佐權(quán)(Copyleft),是一種利用現(xiàn)有著作權(quán)體制來保護所有用戶和二次開發(fā)者的自由的授權(quán)方式。它代表這個軟件放棄了極大部分的商業(yè)權(quán)利,是共享、開放、自由的。
而對于很多人擔(dān)心的“當(dāng)前已成為主流進入我們的生活及業(yè)務(wù)研發(fā)中的開源軟硬件、系統(tǒng)工具是否會面臨突然被閉源的困境?”
林誠夏直言道,不會。除非美國大舉修改出口管制條例(Export Administration Regulation, EAR)的相關(guān)內(nèi)容,不然這樣的設(shè)想并不會發(fā)生。
美國出口管制條例的主要控制對象,其實是專利技術(shù),或依該專利技術(shù)產(chǎn)出的硬件產(chǎn)品,例如芯片或內(nèi)嵌軟件專利的程序項目。較少直接影響到軟件著作權(quán),但要就軟件著作權(quán)來做控管,解釋上也是可以,只不過,開源軟件依照EAR 15 CFR § 734.3(b)及15 CFR § 734.7兩項合并解釋:「技術(shù)或軟件已經(jīng)是被一般公眾可以接觸,并不限及其后續(xù)散布者(when it has been made available to the public without restrictions upon its further dissemination),則并不在EAR管制之列。」
雖然說軟件涉及加解密技術(shù),即使是開源軟件,仍必須經(jīng)過美國工業(yè)和安全局(Bureau of Industry and Security, BIS),認(rèn)同其為「公開可用」的加解密技術(shù),才完全不受到EAR拘束,但是,這并不等同說,開源軟件涉及出口時,必須經(jīng)BIS審查并核可。
實際流程,是由出口者向BIS及美國國家安全局(National Security Agency, NSA)發(fā)送通知,以備查的方式,讓這兩個單位了解,所出口的軟件雖涉及加解密,但該加解密技術(shù)確實符合EAR 15 CFR § 742.15(b)款中「公開可用」的標(biāo)準(zhǔn)。
所以說,據(jù)路透社的報道,谷歌無法再提供Google Apps給華為,這是因為這些Apps并非開源軟件,不能滿足EAR「公眾可以接觸,并不限及其后續(xù)散布」的條件,才會有可能被美國政府指示擇日停止出口給華為,與此相較,Android Open Source Project,則并不在擬限制出口清單之列,主因就是AOSP,是采「公開可用」的開源模式發(fā)布。
我們必須要明白,EAR管理限制的是出口行為,而與軟件著作權(quán)利誰屬,沒有必然關(guān)系。
而“出口”的定義,按照美國工業(yè)和安全局(Bureau of Industry and Security, BIS)的解釋,包括:
-
任何運送出美國的行為;
-
任何利用電子交易送出美國的行為;
-
將技術(shù)發(fā)送給任何一個在美國的非美國公民的行為。
所以,若一個開源項目是透過國際協(xié)作的模式來進行,只是由美國當(dāng)?shù)貜S商取之來做商業(yè)服務(wù)的支援,這就未必涉及出口,因為在其他國家,也有可能有其他廠商是直接從非美國的源頭,取得這些開源軟件來進行商業(yè)服務(wù)的。
大家應(yīng)該要理解,原則上國際間協(xié)作、網(wǎng)絡(luò)公開可下載的開源項目,沒有太多EAR方面的疑慮,只是說,像紅帽或谷歌這樣的公司,其實是公開網(wǎng)絡(luò)上提供開源項目是基礎(chǔ)版本,商業(yè)合作上會提供「開源項目+額外元件」。
例如Fedora Distro是紅帽公司的開源基礎(chǔ)版,RedHat Distro是基于Fedora上的加值版;Android Open Source Project是開源基礎(chǔ)版,加上的Google Apps是額外元件,在這些「額外非開源元件」上就比較會有受到EAR管制的可能。換言之,若是開源項目和其商業(yè)項目的內(nèi)容完全一致,理論上便較不會有EAR的出口控管的疑慮。
不同基金會之間的管制有什么區(qū)別呢?
林誠夏說,其實差別不大,基金會若設(shè)立在美國,相關(guān)的軟件發(fā)布自然解釋上,有可能落入出口行為的定義范圍,所以各大基金會多會揭示聲明,提醒開源軟件的使用者,雖然美國出口管制條例原則上不嚴(yán)格控管開源軟件的發(fā)布。
但是,EAR此項原則仍有例外的解釋空間,例如加解密技術(shù)必須通報備查,即為一例。基金會做這樣的告示聲明,用意在于提供使用者,相關(guān)的出口管制涉及軟件從美國出口時,仍是有效的,發(fā)布者必須就個案來自行斟酌,是否主動向BIS及NSA進行EAR要求的申報。
中國不會進“黑名單”
劉澎說,GitHub的原創(chuàng)開發(fā)代碼是不能受管制的,但由于企業(yè)版本(GitHub Enterprise Server)的代碼是私有的,所以將會受管制。
在GitHub Enterprise Server協(xié)議上寫道:“不得出售,出口或再出口到EAR第740部分補充文件或烏克蘭克里米亞地區(qū)的國家組E:1中列出的任何國家。 該清單目前包含古巴、伊朗、朝鮮、蘇丹和敘利亞,但可能會有所變化。”
很多中國開發(fā)者擔(dān)憂這個“黑名單”會不會加上中國,劉澎說,中國是經(jīng)濟強國,如果把中國列入“黑名單”,將破壞全球經(jīng)濟秩序。
林誠夏也表示,這個可能性是非常低的。上述清單所涉及的國家與美國之間曾有武力沖突,或有涉及武力沖突的可能性,所以相關(guān)的出口管制,美國采取最嚴(yán)格的審驗標(biāo)準(zhǔn),若要將這樣的標(biāo)準(zhǔn)套用到中國,是全球二大經(jīng)濟市場的直接沖突,牽連極大。所以,林誠夏認(rèn)為這樣的管制清單,不會是指定國家或地域,而可能是商業(yè)實體的特定公司。
還有,對于“涉及加解密者則會被管制”的說法,林誠夏進一步解釋道,依照EAR 15 CFR § 742.15該項的說明理由,加密項目(Encryption items)原則上受到EAR高度管制。因為這樣的項目會被用來隱藏信息的內(nèi)容,所以有可能會被外國人士拿來傷害美國的國家安全、外交政策,及其他依法執(zhí)行的利益。
所以說,內(nèi)含加解密技術(shù)的軟件,可被用來制造加密項目,這是為什么原則已開源的軟件不受EAR管控,但若涉及加解密技術(shù)的開源軟件,即使該加解密技術(shù)公開可及,仍被要求做申報備查的處理。
例如OpenSSL這樣的開源軟件項目,是一個開放源代碼的軟件庫包,應(yīng)用程序可以使用這個包來進行安全通信,避免竊聽。也就是說,這個軟件可以協(xié)助使用者進行加密通訊,主要是可以實作SSL與TLS這種可以加密的通訊協(xié)議,用到OpenSSL代碼的軟件,依過往習(xí)慣,EAR仍然要求出口者,必須時時主動向BIS及NSA發(fā)送通知,來讓這兩個單位掌握相關(guān)信息。
中國開發(fā)者的原創(chuàng)性較弱
“被管制”新聞出來后,有一些開發(fā)者開始有“放棄GitHub,遷移代碼到國內(nèi)的代碼倉庫”的說法,劉澎直言,這是不可取的。
他說,目前我們最大的問題是原創(chuàng)性不夠,如果我們?yōu)榱硕惚蹽itHub,而遷移代碼回國內(nèi)的代碼倉庫的話,這樣不就成了“閉源”了嗎?這樣會影響我們開發(fā)者的創(chuàng)新性的。
劉澎表示,其實中國是有一些優(yōu)秀的原創(chuàng)項目,如TiDB newSQL數(shù)據(jù)庫和Rocket MQ消息隊列,是世界級優(yōu)秀的開源軟件。
像這樣的開源項目,中國是有的,但是數(shù)量還遠遠不夠,目前很多“自有”操作系統(tǒng),其實內(nèi)核也是基于Linux的,非全是自主原創(chuàng)研發(fā)的。不像美國有谷歌的Android、Linux系統(tǒng)那樣有原創(chuàng)決定性的基礎(chǔ)軟件。例如Linux僅去年就更新890萬行代碼,這是集中全球的資源來更改的,這就是開源的好處。
目前中國沒有屬于自己的操作系統(tǒng),假如我們想開發(fā)自己的操作系統(tǒng),難度有多難呢?
劉澎形容道:“比原子彈還難”,因為涉及千家萬戶的使用檢驗。
目前,在開源生態(tài)環(huán)境中,缺少開源軟件項目基金會,產(chǎn)業(yè)資本投入的不足,有影響力的本土原創(chuàng)開源軟件項目不多,導(dǎo)致現(xiàn)在中國沒有自己的開源許可證,反映了開源生態(tài)要素不完備。
開發(fā)者在托管代碼、選擇開源軟件,
該如何選擇呢?
林誠夏表示,如果想把跨國影響的疑慮降到最低,下列幾款「舊時」的開源許可證,除非有特別理由,建議盡量不要使用,因為其早期嵌有準(zhǔn)據(jù)法條款(Choice of law),或指定地區(qū)性的管轄法院,然而除了下列這些許可證之外,目前全球多數(shù)的開源許可證,皆沒有指定準(zhǔn)據(jù)法和審判法院。
林誠夏再簡要重申,并不是說與MPL-1.0、MPL-1.1、QPL-1.0、MS-RL,以及MS-PL許可證有關(guān)軟件項目就是美國出口軟件,事實上它也可以是無關(guān)的,但這幾款舊款的開源許可證或嵌有準(zhǔn)據(jù)法要求,或要求解釋依美國法律。
如果希望開源項目未來在使用上,在法律或管轄解釋上不被限縮的話,這幾款舊時許可證有關(guān)的軟件項目,建議低度使用。另外,MPL-2.0 已取消指定法院和準(zhǔn)據(jù)法,故這個最新版本是沒有相關(guān)疑慮的。
-
MOZILLA PUBLIC LICENSE Version 1.0 (MPL-1.0),指定美國加州法院
-
Mozilla Public License Version 1.1 (MPL-1.1),指定美國加州法院
-
The Q Public License Version (QPL-1.0) ,指定挪威奧斯陸法院
-
Microsoft Reciprocal License (MS-RL),名詞定義指定依美國著作權(quán)法
-
Microsoft Public License (MS-PL),名詞定義指定依美國著作權(quán)法
除此之外,我們在選擇托管代碼的方式之余,最重要的問題是:我們該如何做到“開源自立”呢?
開發(fā)者:成為優(yōu)秀的代碼守護者
為什么我們會處于目前困窘的現(xiàn)狀呢?
劉澎說,國內(nèi)開源僅有20多年,知識傳遞過程需要時間來學(xué)習(xí)理解,而現(xiàn)在的我們還是蹣跚學(xué)步的過程,尚未能奔跑。
而這次的EAR事件,未必是一件壞事,它讓國內(nèi)開發(fā)者開始思考一個問題:作為開發(fā)者,我們該如何“開源自立”?
他建議:作為開發(fā)者,應(yīng)該積極投入開源社區(qū),從貢獻者到持續(xù)貢獻者,再到代碼審核者,然后到代碼守護者。
劉澎坦言道,目前國內(nèi)沒有特別優(yōu)秀的項目,導(dǎo)致優(yōu)秀的代碼審核者、代碼守護者的數(shù)量很少,更別說開源社區(qū)的領(lǐng)袖了。
所以提升我們代碼貢獻和代碼審核質(zhì)量,并成為優(yōu)秀的代碼守護者,是我們開發(fā)者需要做的。
另外,劉澎談到國內(nèi)優(yōu)秀的超級使用者,例如阿里巴巴、京東、百度、騰訊、華為、聯(lián)想等企業(yè),均為開源貢獻很多優(yōu)秀的代碼,還對開源軟件應(yīng)用商業(yè)模式進行創(chuàng)新。
這次中國開源界的“大地震”,對于中國開發(fā)者來說并非僅是壞事,而是加強我們自身技術(shù)創(chuàng)新意識,可能后續(xù)將會加速中國開源的發(fā)展。
正如霍金所說,“科學(xué)的整個歷史是一個漸進的自我實現(xiàn)的歷程,重大的事件不會任意發(fā)生,它們反映了一種潛在的次序,而不會簡單地產(chǎn)生。
來源 | CSDN
