权威解读 GitHub、Apache 疑云:主流开源软件究竟是否会被闭源?

2019-05-22 13:40 稿源:CSDN公众号  0条评论

58看 www.zhongenkeji.cn GitHub

图片版权所属:站长之家

声明:本文来自于微信公众号CSDN(ID:CSDNnews),作者:伍杏玲,授权站长之家转载发布。

近几日来,因基于美国 BIS 将华为列入管制“实体名单”,Google 将向华为停止软硬件及技术方面的合作,尽管本身已“开源”的 Android 系统部分依然可以使用,但Google 本身闭源的移动服务 (Google Mobile Service) 以及技术支持等服务将无法使用,由此,引发了广泛热议。与此同时,更多人发现,Apache 基金会与 GitHub 也疑似受美国出口法律法规管制。这引起很多开发者的恐惧与思考:如果有一天,美国一声令下,“管制”起来,我们中国企业和程序员是否陷入艰难的困境呢?

于是有人建议,中国的代码别托管在国外的代码仓库里了!为了安全,赶紧把代码挪回我们自己的代码仓库吧。

可实情真的如大众所说的“GitHub是美国的,里头的代码都受美国管制”吗?而解决之道真的是“闭关锁GitHub”吗?

对此,CSDN(ID:CSDNnews)采访到中国开源软件推进联盟副主席兼秘书长刘澎和钧理知识产权事务所、开源社法律咨询委员会顾问林诚夏,一起为我们解疑释惑。

主流开源软件是否会被闭源?

谈起开源软件的版权,刘澎介绍道,平常我们的版权是叫Copyright,但在自由软件里是著佐权(Copyleft),是一种利用现有著作权体制来?;に杏没Ш投慰⒄叩淖杂傻氖谌ǚ绞?。它代表这个软件放弃了极大部分的商业权利,是共享、开放、自由的。

而对于很多人担心的“当前已成为主流进入我们的生活及业务研发中的开源软硬件、系统工具是否会面临突然被闭源的困境?”

林诚夏直言道,不会。除非美国大举修改出口管制条例(Export Administration Regulation, EAR)的相关内容,不然这样的设想并不会发生。

美国出口管制条例的主要控制对象,其实是专利技术,或依该专利技术产出的硬件产品,例如芯片或内嵌软件专利的程序项目。较少直接影响到软件著作权,但要就软件著作权来做控管,解释上也是可以,只不过,开源软件依照EAR 15 CFR § 734.3(b)及15 CFR § 734. 7 两项合并解释:「技术或软件已经是被一般公众可以接触,并不限及其后续散布者(when it has been made available to the public without restrictions upon its further dissemination),则并不在EAR管制之列?!?/p>

虽然说软件涉及加解密技术,即使是开源软件,仍必须经过美国工业和安全局(Bureau of Industry and Security, BIS),认同其为「公开可用」的加解密技术,才完全不受到EAR拘束,但是,这并不等同说,开源软件涉及出口时,必须经BIS审查并核可。

实际流程,是由出口者向BIS及美国国家安全局(National Security Agency, NSA)发送通知,以备查的方式,让这两个单位了解,所出口的软件虽涉及加解密,但该加解密技术确实符合EAR 15 CFR § 742.15(b)款中「公开可用」的标准。

所以说,据路透社的报道,谷歌无法再提供Google Apps给华为,这是因为这些Apps并非开源软件,不能满足EAR「公众可以接触,并不限及其后续散布」的条件,才会有可能被美国政府指示择日停止出口给华为,与此相较,Android Open Source Project,则并不在拟限制出口清单之列,主因就是AOSP,是采「公开可用」的开源模式发布。

我们必须要明白,EAR管理限制的是出口行为,而与软件著作权利谁属,没有必然关系。

而“出口”的定义,按照美国工业和安全局(Bureau of Industry and Security, BIS)的解释,包括:

  1. 任何运送出美国的行为;

  2. 任何利用电子交易送出美国的行为;

  3. 将技术发送给任何一个在美国的非美国公民的行为。

所以,若一个开源项目是透过国际协作的模式来进行,只是由美国当地厂商取之来做商业服务的支援,这就未必涉及出口,因为在其他国家,也有可能有其他厂商是直接从非美国的源头,取得这些开源软件来进行商业服务的。

大家应该要理解,原则上国际间协作、网络公开可下载的开源项目,没有太多EAR方面的疑虑,只是说,像红帽或谷歌这样的公司,其实是公开网络上提供开源项目是基础版本,商业合作上会提供「开源项目+额外元件」。

例如Fedora Distro是红帽公司的开源基础版,RedHat Distro是基于Fedora上的加值版;Android Open Source Project是开源基础版,加上的Google Apps是额外元件,在这些「额外非开源元件」上就比较会有受到EAR管制的可能?;谎灾?,若是开源项目和其商业项目的内容完全一致,理论上便较不会有EAR的出口控管的疑虑。

不同基金会之间的管制有什么区别呢?

林诚夏说,其实差别不大,基金会若设立在美国,相关的软件发布自然解释上,有可能落入出口行为的定义范围,所以各大基金会多会揭示声明,提醒开源软件的使用者,虽然美国出口管制条例原则上不严格控管开源软件的发布。

但是,EAR此项原则仍有例外的解释空间,例如加解密技术必须通报备查,即为一例?;鸹嶙稣庋母媸旧?,用意在于提供使用者,相关的出口管制涉及软件从美国出口时,仍是有效的,发布者必须就个案来自行斟酌,是否主动向BIS及NSA进行EAR要求的申报。

中国不会进“黑名单”

刘澎说,GitHub的原创开发代码是不能受管制的,但由于企业版本(GitHub Enterprise Server)的代码是私有的,所以将会受管制。

在GitHub Enterprise Server协议上写道:“不得出售,出口或再出口到EAR第 740 部分补充文件或乌克兰克里米亚地区的国家组E: 1 中列出的任何国家。 该清单目前包含古巴、伊朗、朝鲜、苏丹和叙利亚,但可能会有所变化?!?/p>

很多中国开发者担忧这个“黑名单”会不会加上中国,刘澎说,中国是经济强国,如果把中国列入“黑名单”,将破坏全球经济秩序。

林诚夏也表示,这个可能性是非常低的。上述清单所涉及的国家与美国之间曾有武力冲突,或有涉及武力冲突的可能性,所以相关的出口管制,美国采取最严格的审验标准,若要将这样的标准套用到中国,是全球二大经济市场的直接冲突,牵连极大。所以,林诚夏认为这样的管制清单,不会是指定国家或地域,而可能是商业实体的特定公司。

还有,对于“涉及加解密者则会被管制”的说法,林诚夏进一步解释道,依照EAR 15 CFR § 742. 15 该项的说明理由,加密项目(Encryption items)原则上受到EAR高度管制。因为这样的项目会被用来隐藏信息的内容,所以有可能会被外国人士拿来伤害美国的国家安全、外交政策,及其他依法执行的利益。

所以说,内含加解密技术的软件,可被用来制造加密项目,这是为什么原则已开源的软件不受EAR管控,但若涉及加解密技术的开源软件,即使该加解密技术公开可及,仍被要求做申报备查的处理。

例如OpenSSL这样的开源软件项目,是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听。也就是说,这个软件可以协助使用者进行加密通讯,主要是可以实作SSL与TLS这种可以加密的通讯协议,用到OpenSSL代码的软件,依过往习惯,EAR仍然要求出口者,必须时时主动向BIS及NSA发送通知,来让这两个单位掌握相关信息。

声明:本文转载自第三方媒体,如需转载,请联系版权方授权转载。协助申请

相关文章

相关热点

查看更多
?
昆明助孕 | 广州助孕中介 | 厦门代孕 | 哪个网站招聘代孕 | 苏州代孕 | 武汉途欣悦信息服务有限公司 | 广州代孕 | 美国代孕生子 | 广州代孕 | 婴儿花助孕网 | 爱河娱乐网 | 遇见助孕网 | 北京代孕 |
  • 不要以为升高冲突没有实质影响,金马奖就是最新一例!
  • 沪7名非法捕捞不起诉人增殖放流鱼苗8万余尾
  • “另类”哪吒引教育反思:善待“孤独的熊孩子”
  • 竟有这般存在 试阿斯顿·马丁DB11 AMR
  • “洋面孔”就能当外教?这些误区不得不防!
  • 2019年6月27日“数”说中国经济
  • 西藏启动综合立体交通网规划工作
  • 510aee1cac4358ead8612e1be7140d40
  • 给食品贴上追溯“身份证”
  • 阳光玫瑰,甜!现代农业,甜!
  • 中国经济半年报出炉,看点在哪儿?
  • 科创板中止审核企业补财报节奏加快 大部分会在8月中下旬恢复审核
  • 美国前财长表示将中国列为“汇率操纵国”有损美方信誉
  • 拉萨市目前有9件地理标志商标
  • 绍兴供电公司开展学雷锋志愿服务活动