近幾日來，因基于美國 BIS 將華為列入管制“實體名單”，Google 將向華為停止軟硬件及技術方面的合作，盡管本身已“開源”的 Android 系統部分依然可以使用，但Google 本身閉源的移動服務 (Google Mobile Service) 以及技術支持等服務將無法使用，由此，引發了廣泛熱議。與此同時，更多人發現，Apache 基金會與 GitHub 也疑似受美國出口法律法規管制。這引起很多開發者的恐懼與思考：如果有一天，美國一聲令下，“管制”起來，我們中國企業和程序員是否陷入艱難的困境呢？

于是有人建議，中國的代碼別托管在國外的代碼倉庫里了！為了安全，趕緊把代碼挪回我們自己的代碼倉庫吧。

可實情真的如大眾所說的“GitHub是美國的，里頭的代碼都受美國管制”嗎？而解決之道真的是“閉關鎖GitHub”嗎？

對此，CSDN（ID:CSDNnews）采訪到中國開源軟件推進聯盟副主席兼秘書長劉澎和鈞理知識產權事務所、開源社法律咨詢委員會顧問林誠夏，一起為我們解疑釋惑。

主流開源軟件是否會被閉源？

談起開源軟件的版權，劉澎介紹道，平常我們的版權是叫Copyright，但在自由軟件里是著佐權（Copyleft），是一種利用現有著作權體制來保護所有用戶和二次開發者的自由的授權方式。它代表這個軟件放棄了極大部分的商業權利，是共享、開放、自由的。

而對于很多人擔心的“當前已成為主流進入我們的生活及業務研發中的開源軟硬件、系統工具是否會面臨突然被閉源的困境？”

林誠夏直言道，不會。除非美國大舉修改出口管制條例（Export Administration Regulation, EAR）的相關內容，不然這樣的設想并不會發生。

美國出口管制條例的主要控制對象，其實是專利技術，或依該專利技術產出的硬件產品，例如芯片或內嵌軟件專利的程序項目。較少直接影響到軟件著作權，但要就軟件著作權來做控管，解釋上也是可以，只不過，開源軟件依照EAR 15 CFR § 734.3(b)及15 CFR § 734.7兩項合并解釋：「技術或軟件已經是被一般公眾可以接觸，并不限及其后續散布者(when it has been made available to the public without restrictions upon its further dissemination)，則并不在EAR管制之列。」

雖然說軟件涉及加解密技術，即使是開源軟件，仍必須經過美國工業和安全局（Bureau of Industry and Security, BIS），認同其為「公開可用」的加解密技術，才完全不受到EAR拘束，但是，這并不等同說，開源軟件涉及出口時，必須經BIS審查并核可。

實際流程，是由出口者向BIS及美國國家安全局（National Security Agency, NSA）發送通知，以備查的方式，讓這兩個單位了解，所出口的軟件雖涉及加解密，但該加解密技術確實符合EAR 15 CFR § 742.15(b)款中「公開可用」的標準。

所以說，據路透社的報道，谷歌無法再提供Google Apps給華為，這是因為這些Apps并非開源軟件，不能滿足EAR「公眾可以接觸，并不限及其后續散布」的條件，才會有可能被美國政府指示擇日停止出口給華為，與此相較，Android Open Source Project，則并不在擬限制出口清單之列，主因就是AOSP，是采「公開可用」的開源模式發布。

我們必須要明白，EAR管理限制的是出口行為，而與軟件著作權利誰屬，沒有必然關系。

而“出口”的定義，按照美國工業和安全局（Bureau of Industry and Security, BIS）的解釋，包括：

1. 任何運送出美國的行為；

2. 任何利用電子交易送出美國的行為；

3. 將技術發送給任何一個在美國的非美國公民的行為。

所以，若一個開源項目是透過國際協作的模式來進行，只是由美國當地廠商取之來做商業服務的支援，這就未必涉及出口，因為在其他國家，也有可能有其他廠商是直接從非美國的源頭，取得這些開源軟件來進行商業服務的。

大家應該要理解，原則上國際間協作、網絡公開可下載的開源項目，沒有太多EAR方面的疑慮，只是說，像紅帽或谷歌這樣的公司，其實是公開網絡上提供開源項目是基礎版本，商業合作上會提供「開源項目+額外元件」。

例如Fedora Distro是紅帽公司的開源基礎版，RedHat Distro是基于Fedora上的加值版；Android Open Source Project是開源基礎版，加上的Google Apps是額外元件，在這些「額外非開源元件」上就比較會有受到EAR管制的可能。換言之，若是開源項目和其商業項目的內容完全一致，理論上便較不會有EAR的出口控管的疑慮。

不同基金會之間的管制有什么區別呢？

林誠夏說，其實差別不大，基金會若設立在美國，相關的軟件發布自然解釋上，有可能落入出口行為的定義范圍，所以各大基金會多會揭示聲明，提醒開源軟件的使用者，雖然美國出口管制條例原則上不嚴格控管開源軟件的發布。

但是，EAR此項原則仍有例外的解釋空間，例如加解密技術必須通報備查，即為一例。基金會做這樣的告示聲明，用意在于提供使用者，相關的出口管制涉及軟件從美國出口時，仍是有效的，發布者必須就個案來自行斟酌，是否主動向BIS及NSA進行EAR要求的申報。

中國不會進“黑名單”

劉澎說，GitHub的原創開發代碼是不能受管制的，但由于企業版本（GitHub Enterprise Server）的代碼是私有的，所以將會受管制。

在GitHub Enterprise Server協議上寫道：“不得出售，出口或再出口到EAR第740部分補充文件或烏克蘭克里米亞地區的國家組E：1中列出的任何國家。 該清單目前包含古巴、伊朗、朝鮮、蘇丹和敘利亞，但可能會有所變化。”

很多中國開發者擔憂這個“黑名單”會不會加上中國，劉澎說，中國是經濟強國，如果把中國列入“黑名單”，將破壞全球經濟秩序。

林誠夏也表示，這個可能性是非常低的。上述清單所涉及的國家與美國之間曾有武力沖突，或有涉及武力沖突的可能性，所以相關的出口管制，美國采取最嚴格的審驗標準，若要將這樣的標準套用到中國，是全球二大經濟市場的直接沖突，牽連極大。所以，林誠夏認為這樣的管制清單，不會是指定國家或地域，而可能是商業實體的特定公司。

還有，對于“涉及加解密者則會被管制”的說法，林誠夏進一步解釋道，依照EAR 15 CFR § 742.15該項的說明理由，加密項目(Encryption items)原則上受到EAR高度管制。因為這樣的項目會被用來隱藏信息的內容，所以有可能會被外國人士拿來傷害美國的國家安全、外交政策，及其他依法執行的利益。

所以說，內含加解密技術的軟件，可被用來制造加密項目，這是為什么原則已開源的軟件不受EAR管控，但若涉及加解密技術的開源軟件，即使該加解密技術公開可及，仍被要求做申報備查的處理。

例如OpenSSL這樣的開源軟件項目，是一個開放源代碼的軟件庫包，應用程序可以使用這個包來進行安全通信，避免竊聽。也就是說，這個軟件可以協助使用者進行加密通訊，主要是可以實作SSL與TLS這種可以加密的通訊協議，用到OpenSSL代碼的軟件，依過往習慣，EAR仍然要求出口者，必須時時主動向BIS及NSA發送通知，來讓這兩個單位掌握相關信息。

中國開發者的原創性較弱

“被管制”新聞出來后，有一些開發者開始有“放棄GitHub，遷移代碼到國內的代碼倉庫”的說法，劉澎直言，這是不可取的。

他說，目前我們最大的問題是原創性不夠，如果我們為了躲避GitHub，而遷移代碼回國內的代碼倉庫的話，這樣不就成了“閉源”了嗎？這樣會影響我們開發者的創新性的。

劉澎表示，其實中國是有一些優秀的原創項目，如TiDB newSQL數據庫和Rocket MQ消息隊列，是世界級優秀的開源軟件。

像這樣的開源項目，中國是有的，但是數量還遠遠不夠，目前很多“自有”操作系統，其實內核也是基于Linux的，非全是自主原創研發的。不像美國有谷歌的Android、Linux系統那樣有原創決定性的基礎軟件。例如Linux僅去年就更新890萬行代碼，這是集中全球的資源來更改的，這就是開源的好處。

目前中國沒有屬于自己的操作系統，假如我們想開發自己的操作系統，難度有多難呢？

劉澎形容道：“比原子彈還難”，因為涉及千家萬戶的使用檢驗。

目前，在開源生態環境中，缺少開源軟件項目基金會，產業資本投入的不足，有影響力的本土原創開源軟件項目不多，導致現在中國沒有自己的開源許可證，反映了開源生態要素不完備。

開發者在托管代碼、選擇開源軟件，

該如何選擇呢？

林誠夏表示，如果想把跨國影響的疑慮降到最低，下列幾款「舊時」的開源許可證，除非有特別理由，建議盡量不要使用，因為其早期嵌有準據法條款（Choice of law），或指定地區性的管轄法院，然而除了下列這些許可證之外，目前全球多數的開源許可證，皆沒有指定準據法和審判法院。

林誠夏再簡要重申，并不是說與MPL-1.0、MPL-1.1、QPL-1.0、MS-RL，以及MS-PL許可證有關軟件項目就是美國出口軟件，事實上它也可以是無關的，但這幾款舊款的開源許可證或嵌有準據法要求，或要求解釋依美國法律。

如果希望開源項目未來在使用上，在法律或管轄解釋上不被限縮的話，這幾款舊時許可證有關的軟件項目，建議低度使用。另外，MPL-2.0 已取消指定法院和準據法，故這個最新版本是沒有相關疑慮的。

1. MOZILLA PUBLIC LICENSE Version 1.0 (MPL-1.0)，指定美國加州法院

2. Mozilla Public License Version 1.1 (MPL-1.1)，指定美國加州法院

3. The Q Public License Version (QPL-1.0) ，指定挪威奧斯陸法院

4. Microsoft Reciprocal License (MS-RL)，名詞定義指定依美國著作權法

5. Microsoft Public License (MS-PL)，名詞定義指定依美國著作權法

除此之外，我們在選擇托管代碼的方式之余，最重要的問題是：我們該如何做到“開源自立”呢？

開發者：成為優秀的代碼守護者

為什么我們會處于目前困窘的現狀呢？

劉澎說，國內開源僅有20多年，知識傳遞過程需要時間來學習理解，而現在的我們還是蹣跚學步的過程，尚未能奔跑。

而這次的EAR事件，未必是一件壞事，它讓國內開發者開始思考一個問題：作為開發者，我們該如何“開源自立”？

他建議：作為開發者，應該積極投入開源社區，從貢獻者到持續貢獻者，再到代碼審核者，然后到代碼守護者。

劉澎坦言道，目前國內沒有特別優秀的項目，導致優秀的代碼審核者、代碼守護者的數量很少，更別說開源社區的領袖了。

所以提升我們代碼貢獻和代碼審核質量，并成為優秀的代碼守護者，是我們開發者需要做的。

另外，劉澎談到國內優秀的超級使用者，例如阿里巴巴、京東、百度、騰訊、華為、聯想等企業，均為開源貢獻很多優秀的代碼，還對開源軟件應用商業模式進行創新。

這次中國開源界的“大地震”，對于中國開發者來說并非僅是壞事，而是加強我們自身技術創新意識，可能后續將會加速中國開源的發展。

正如霍金所說，“科學的整個歷史是一個漸進的自我實現的歷程，重大的事件不會任意發生，它們反映了一種潛在的次序，而不會簡單地產生。

來源 | CSDN