近日，谷歌旗下安卓將對華為進行系統「封鎖」的報道，給國內科技界投下了一枚震撼彈。「覆巢之下復有完卵乎」，一時間人人感到自危，尤其當大家發現，向來以「開源」著稱的開源基金會及開源代碼托管平臺，實際上也受美國出口管理條例 ( Export Administration Regulation , EAR ) 管制，過去深信「開源無國界」的國內開發者們開始擔心，類似的「封鎖」事件也會在這個領域上演。



在 5 月 20 日的一篇《開源界也要注意，Apache 基金會與 GitHub 都受美國法律約束》文中，「開源中國」通過展示 Apache 軟件基金會以及 GitHub 官網中涉及出口限制部分的內容，表示對開源項目在未來的「自由度」會否受到限制感到擔憂。

文中指出，條款明確表明 GitHub Enterprise Server 不被允許出口至 EAR 限制清單中的國家，當中包括古巴、伊朗、朝鮮、蘇丹和敘利亞：

「GitHub Enterprise Server may not be sold to, exported, or re-exported to any country listed in Country Group E:1 in Supplement No. 1 to part 740 of the EAR or to the Crimea region of Ukraine. This list currently contains Cuba, Iran, North Korea, Sudan & Syria, but is subject to change.」

「那幾時突然再加進來一個中國呢？」「開源中國」在文中反問道。

開源項目受不受美國出口管制？

該文出來后，話題迅速發酵。其中，來自中科院計算所的包云崗研究員反應最為迅速，他立馬組織人員開展調研，對 12 個知名開源基金會、6 個常用的開源協議、3 個代碼托管平臺進行了調研與分析，并向海外朋友進行咨詢，最終得出以下結論：

1. 開源基金會管理開源項目，但基金會的管理辦法差異較大，而基金會旗下的開源項目也可以選擇不同管理辦法。例如：一、Linux 基金會自身的管理辦法不受美國出口管制，所以旗下的項目包括 Linux Kernel 等默認遵循該管理辦法，但虛擬化項目 Xen 明確說明遵循美國出口管制，就屬于 Linux 基金會中的特例；二、Apache 基金會的管理辦法明確說明遵循美國出口管制，所以它旗下所有項目如 Hadoop、Spark 都將受到出口管制。三、Mozilla 基金會明確聲明遵守加州法律，出現各類糾紛將必須到 Santa Clara 的法庭裁決。
2. 目前調研的開源許可協議族（GPL、LGPL、BSD、MIT、Mozilla、Apache 2.0）均未涉及與政府出口管制無關的聲明。
3. 目前調研的 3 個代碼托管平臺 GitHub、SourceForge、Google Code 均明確聲明遵守美國出口管制條例，并按加州法律解決糾紛。
4.  小結：

    合理的開源基金會管理辦法可以規避美國出口管制

    開源協議與出口管制無關

    代碼托管平臺是開源的最大風險

雷鋒網 AI 科技評論認為，如果單就平臺/協議聲明進行解讀的話，一切依然存在模糊性。
如果從美國出口管理條例入手解讀，會不會對我們有更多啟發？

在個人微博上，包云崗推薦了一篇由臺灣開放文化基金會法制顧問、開源社法律咨詢委員會成員林誠夏先生撰寫的解讀文章《專家解讀：開源軟件項目是否會被限制出口？》，雷鋒網 AI 科技評論對原文進行了不改變原義的總結： 

根據美國出口管理條例 EAR 734.7 (a) 條款，只要符合「公開可及 (Publicly available)」定義的軟件，就不在 EAR 的管制范圍內，也就不需要申請相關許可。

注：Part 734 章節里的 734.7 對于何謂「公開可及 (§ 734.7 PUBLISHED ) 做了定義說明及例示，簡要來說：「技術或軟件已經是被一般公眾可以接觸，并不限及其后續散布者 ( when it has been made available to the public without restrictions upon its further dissemination）。

目前看來，這個解讀基本上可以打消大部分人的顧慮，不過文中也強調一點：

EAR 734.7 (b) 說明「公開可及」的軟件雖然不要取得許可，可一旦軟件涉及加解密技術，申請許可就成為必要的流程。除非是這個加解密技術也是「公開可及」的，那么只需要向美國 BIS 匯報備查即可。

只要不涉及加解密技術，我們就安全了嗎？

「開源中國」隨后發布的一篇文章《所以 Apache 基金會不受美國法律約束？》指出，經過與同行專家討論后，他們認為 Apache 軟件基金會官網關于產品出口說明的內容「表達的含義其實模棱兩可，充滿了不確定性。」：

Therefore, U.S. export laws and regulations apply to our distributions and remain in force as products and technology are re-exported to different parties and places around the world. 

美國的出口法律和法規適用于我們的分發，并且隨著產品和技術再出口到不同的地方依舊保持有效。

再者，基金會的聲明是否會直接影響項目的開源情況？兩者之間究竟是一個什么樣的關系？這些我們依然未有明確答案。


雷鋒網 AI 科技評論相信，這應該也是包云崗研究員在個人微博上呼吁「盡快建立已有托管平臺在美國以外的鏡像平臺」的原因：


雖然這個建議受到一些網友的質疑：

無論如何，從長遠來看，他認為「中國必須建立起自己的開源項目托管平臺」，這個措施的必要性，相信是毋庸置疑的。