近幾日來,因基于美國(guó) BIS 將華為列入管制“實(shí)體名單”,Google 將向華為停止軟硬件及技術(shù)方面的合作,盡管本身已“開源”的 Android 系統(tǒng)部分依然可以使用,但Google 本身閉源的移動(dòng)服務(wù) (Google Mobile Service) 以及技術(shù)支持等服務(wù)將無法使用,由此,引發(fā)了廣泛熱議。與此同時(shí),更多人發(fā)現(xiàn),Apache 基金會(huì)與 GitHub 也疑似受美國(guó)出口法律法規(guī)管制。這引起很多開發(fā)者的恐懼與思考:如果有一天,美國(guó)一聲令下,“管制”起來,我們中國(guó)企業(yè)和程序員是否陷入艱難的困境呢?
于是有人建議,中國(guó)的代碼別托管在國(guó)外的代碼倉庫里了!為了安全,趕緊把代碼挪回我們自己的代碼倉庫吧。
可實(shí)情真的如大眾所說的“GitHub是美國(guó)的,里頭的代碼都受美國(guó)管制”嗎?而解決之道真的是“閉關(guān)鎖GitHub”嗎?
對(duì)此,CSDN(ID:CSDNnews)采訪到中國(guó)開源軟件推進(jìn)聯(lián)盟副主席兼秘書長(zhǎng)劉澎和鈞理知識(shí)產(chǎn)權(quán)事務(wù)所、開源社法律咨詢委員會(huì)顧問林誠(chéng)夏,一起為我們解疑釋惑。
主流開源軟件是否會(huì)被閉源?
談起開源軟件的版權(quán),劉澎介紹道,平常我們的版權(quán)是叫Copyright,但在自由軟件里是著佐權(quán)(Copyleft),是一種利用現(xiàn)有著作權(quán)體制來保護(hù)所有用戶和二次開發(fā)者的自由的授權(quán)方式。它代表這個(gè)軟件放棄了極大部分的商業(yè)權(quán)利,是共享、開放、自由的。
而對(duì)于很多人擔(dān)心的“當(dāng)前已成為主流進(jìn)入我們的生活及業(yè)務(wù)研發(fā)中的開源軟硬件、系統(tǒng)工具是否會(huì)面臨突然被閉源的困境?”
林誠(chéng)夏直言道,不會(huì)。除非美國(guó)大舉修改出口管制條例(Export Administration Regulation, EAR)的相關(guān)內(nèi)容,不然這樣的設(shè)想并不會(huì)發(fā)生。
美國(guó)出口管制條例的主要控制對(duì)象,其實(shí)是專利技術(shù),或依該專利技術(shù)產(chǎn)出的硬件產(chǎn)品,例如芯片或內(nèi)嵌軟件專利的程序項(xiàng)目。較少直接影響到軟件著作權(quán),但要就軟件著作權(quán)來做控管,解釋上也是可以,只不過,開源軟件依照EAR 15 CFR § 734.3(b)及15 CFR § 734.7兩項(xiàng)合并解釋:「技術(shù)或軟件已經(jīng)是被一般公眾可以接觸,并不限及其后續(xù)散布者(when it has been made available to the public without restrictions upon its further dissemination),則并不在EAR管制之列。」
雖然說軟件涉及加解密技術(shù),即使是開源軟件,仍必須經(jīng)過美國(guó)工業(yè)和安全局(Bureau of Industry and Security, BIS),認(rèn)同其為「公開可用」的加解密技術(shù),才完全不受到EAR拘束,但是,這并不等同說,開源軟件涉及出口時(shí),必須經(jīng)BIS審查并核可。
實(shí)際流程,是由出口者向BIS及美國(guó)國(guó)家安全局(National Security Agency, NSA)發(fā)送通知,以備查的方式,讓這兩個(gè)單位了解,所出口的軟件雖涉及加解密,但該加解密技術(shù)確實(shí)符合EAR 15 CFR § 742.15(b)款中「公開可用」的標(biāo)準(zhǔn)。
所以說,據(jù)路透社的報(bào)道,谷歌無法再提供Google Apps給華為,這是因?yàn)檫@些Apps并非開源軟件,不能滿足EAR「公眾可以接觸,并不限及其后續(xù)散布」的條件,才會(huì)有可能被美國(guó)政府指示擇日停止出口給華為,與此相較,Android Open Source Project,則并不在擬限制出口清單之列,主因就是AOSP,是采「公開可用」的開源模式發(fā)布。
我們必須要明白,EAR管理限制的是出口行為,而與軟件著作權(quán)利誰屬,沒有必然關(guān)系。
而“出口”的定義,按照美國(guó)工業(yè)和安全局(Bureau of Industry and Security, BIS)的解釋,包括:
-
任何運(yùn)送出美國(guó)的行為;
-
任何利用電子交易送出美國(guó)的行為;
-
將技術(shù)發(fā)送給任何一個(gè)在美國(guó)的非美國(guó)公民的行為。
所以,若一個(gè)開源項(xiàng)目是透過國(guó)際協(xié)作的模式來進(jìn)行,只是由美國(guó)當(dāng)?shù)貜S商取之來做商業(yè)服務(wù)的支援,這就未必涉及出口,因?yàn)樵谄渌麌?guó)家,也有可能有其他廠商是直接從非美國(guó)的源頭,取得這些開源軟件來進(jìn)行商業(yè)服務(wù)的。
大家應(yīng)該要理解,原則上國(guó)際間協(xié)作、網(wǎng)絡(luò)公開可下載的開源項(xiàng)目,沒有太多EAR方面的疑慮,只是說,像紅帽或谷歌這樣的公司,其實(shí)是公開網(wǎng)絡(luò)上提供開源項(xiàng)目是基礎(chǔ)版本,商業(yè)合作上會(huì)提供「開源項(xiàng)目+額外元件」。
例如Fedora Distro是紅帽公司的開源基礎(chǔ)版,RedHat Distro是基于Fedora上的加值版;Android Open Source Project是開源基礎(chǔ)版,加上的Google Apps是額外元件,在這些「額外非開源元件」上就比較會(huì)有受到EAR管制的可能。換言之,若是開源項(xiàng)目和其商業(yè)項(xiàng)目的內(nèi)容完全一致,理論上便較不會(huì)有EAR的出口控管的疑慮。
不同基金會(huì)之間的管制有什么區(qū)別呢?
林誠(chéng)夏說,其實(shí)差別不大,基金會(huì)若設(shè)立在美國(guó),相關(guān)的軟件發(fā)布自然解釋上,有可能落入出口行為的定義范圍,所以各大基金會(huì)多會(huì)揭示聲明,提醒開源軟件的使用者,雖然美國(guó)出口管制條例原則上不嚴(yán)格控管開源軟件的發(fā)布。
但是,EAR此項(xiàng)原則仍有例外的解釋空間,例如加解密技術(shù)必須通報(bào)備查,即為一例。基金會(huì)做這樣的告示聲明,用意在于提供使用者,相關(guān)的出口管制涉及軟件從美國(guó)出口時(shí),仍是有效的,發(fā)布者必須就個(gè)案來自行斟酌,是否主動(dòng)向BIS及NSA進(jìn)行EAR要求的申報(bào)。
中國(guó)不會(huì)進(jìn)“黑名單”
劉澎說,GitHub的原創(chuàng)開發(fā)代碼是不能受管制的,但由于企業(yè)版本(GitHub Enterprise Server)的代碼是私有的,所以將會(huì)受管制。
在GitHub Enterprise Server協(xié)議上寫道:“不得出售,出口或再出口到EAR第740部分補(bǔ)充文件或?yàn)蹩颂m克里米亞地區(qū)的國(guó)家組E:1中列出的任何國(guó)家。 該清單目前包含古巴、伊朗、朝鮮、蘇丹和敘利亞,但可能會(huì)有所變化。”
很多中國(guó)開發(fā)者擔(dān)憂這個(gè)“黑名單”會(huì)不會(huì)加上中國(guó),劉澎說,中國(guó)是經(jīng)濟(jì)強(qiáng)國(guó),如果把中國(guó)列入“黑名單”,將破壞全球經(jīng)濟(jì)秩序。
林誠(chéng)夏也表示,這個(gè)可能性是非常低的。上述清單所涉及的國(guó)家與美國(guó)之間曾有武力沖突,或有涉及武力沖突的可能性,所以相關(guān)的出口管制,美國(guó)采取最嚴(yán)格的審驗(yàn)標(biāo)準(zhǔn),若要將這樣的標(biāo)準(zhǔn)套用到中國(guó),是全球二大經(jīng)濟(jì)市場(chǎng)的直接沖突,牽連極大。所以,林誠(chéng)夏認(rèn)為這樣的管制清單,不會(huì)是指定國(guó)家或地域,而可能是商業(yè)實(shí)體的特定公司。
還有,對(duì)于“涉及加解密者則會(huì)被管制”的說法,林誠(chéng)夏進(jìn)一步解釋道,依照EAR 15 CFR § 742.15該項(xiàng)的說明理由,加密項(xiàng)目(Encryption items)原則上受到EAR高度管制。因?yàn)檫@樣的項(xiàng)目會(huì)被用來隱藏信息的內(nèi)容,所以有可能會(huì)被外國(guó)人士拿來傷害美國(guó)的國(guó)家安全、外交政策,及其他依法執(zhí)行的利益。
所以說,內(nèi)含加解密技術(shù)的軟件,可被用來制造加密項(xiàng)目,這是為什么原則已開源的軟件不受EAR管控,但若涉及加解密技術(shù)的開源軟件,即使該加解密技術(shù)公開可及,仍被要求做申報(bào)備查的處理。
例如OpenSSL這樣的開源軟件項(xiàng)目,是一個(gè)開放源代碼的軟件庫包,應(yīng)用程序可以使用這個(gè)包來進(jìn)行安全通信,避免竊聽。也就是說,這個(gè)軟件可以協(xié)助使用者進(jìn)行加密通訊,主要是可以實(shí)作SSL與TLS這種可以加密的通訊協(xié)議,用到OpenSSL代碼的軟件,依過往習(xí)慣,EAR仍然要求出口者,必須時(shí)時(shí)主動(dòng)向BIS及NSA發(fā)送通知,來讓這兩個(gè)單位掌握相關(guān)信息。
中國(guó)開發(fā)者的原創(chuàng)性較弱
“被管制”新聞出來后,有一些開發(fā)者開始有“放棄GitHub,遷移代碼到國(guó)內(nèi)的代碼倉庫”的說法,劉澎直言,這是不可取的。
他說,目前我們最大的問題是原創(chuàng)性不夠,如果我們?yōu)榱硕惚蹽itHub,而遷移代碼回國(guó)內(nèi)的代碼倉庫的話,這樣不就成了“閉源”了嗎?這樣會(huì)影響我們開發(fā)者的創(chuàng)新性的。
劉澎表示,其實(shí)中國(guó)是有一些優(yōu)秀的原創(chuàng)項(xiàng)目,如TiDB newSQL數(shù)據(jù)庫和Rocket MQ消息隊(duì)列,是世界級(jí)優(yōu)秀的開源軟件。
像這樣的開源項(xiàng)目,中國(guó)是有的,但是數(shù)量還遠(yuǎn)遠(yuǎn)不夠,目前很多“自有”操作系統(tǒng),其實(shí)內(nèi)核也是基于Linux的,非全是自主原創(chuàng)研發(fā)的。不像美國(guó)有谷歌的Android、Linux系統(tǒng)那樣有原創(chuàng)決定性的基礎(chǔ)軟件。例如Linux僅去年就更新890萬行代碼,這是集中全球的資源來更改的,這就是開源的好處。
目前中國(guó)沒有屬于自己的操作系統(tǒng),假如我們想開發(fā)自己的操作系統(tǒng),難度有多難呢?
劉澎形容道:“比原子彈還難”,因?yàn)樯婕扒Ъ胰f戶的使用檢驗(yàn)。
目前,在開源生態(tài)環(huán)境中,缺少開源軟件項(xiàng)目基金會(huì),產(chǎn)業(yè)資本投入的不足,有影響力的本土原創(chuàng)開源軟件項(xiàng)目不多,導(dǎo)致現(xiàn)在中國(guó)沒有自己的開源許可證,反映了開源生態(tài)要素不完備。
開發(fā)者在托管代碼、選擇開源軟件,
該如何選擇呢?
林誠(chéng)夏表示,如果想把跨國(guó)影響的疑慮降到最低,下列幾款「舊時(shí)」的開源許可證,除非有特別理由,建議盡量不要使用,因?yàn)槠湓缙谇队袦?zhǔn)據(jù)法條款(Choice of law),或指定地區(qū)性的管轄法院,然而除了下列這些許可證之外,目前全球多數(shù)的開源許可證,皆沒有指定準(zhǔn)據(jù)法和審判法院。
林誠(chéng)夏再簡(jiǎn)要重申,并不是說與MPL-1.0、MPL-1.1、QPL-1.0、MS-RL,以及MS-PL許可證有關(guān)軟件項(xiàng)目就是美國(guó)出口軟件,事實(shí)上它也可以是無關(guān)的,但這幾款舊款的開源許可證或嵌有準(zhǔn)據(jù)法要求,或要求解釋依美國(guó)法律。
如果希望開源項(xiàng)目未來在使用上,在法律或管轄解釋上不被限縮的話,這幾款舊時(shí)許可證有關(guān)的軟件項(xiàng)目,建議低度使用。另外,MPL-2.0 已取消指定法院和準(zhǔn)據(jù)法,故這個(gè)最新版本是沒有相關(guān)疑慮的。
-
MOZILLA PUBLIC LICENSE Version 1.0 (MPL-1.0),指定美國(guó)加州法院
-
Mozilla Public License Version 1.1 (MPL-1.1),指定美國(guó)加州法院
-
The Q Public License Version (QPL-1.0) ,指定挪威奧斯陸法院
-
Microsoft Reciprocal License (MS-RL),名詞定義指定依美國(guó)著作權(quán)法
-
Microsoft Public License (MS-PL),名詞定義指定依美國(guó)著作權(quán)法
除此之外,我們?cè)谶x擇托管代碼的方式之余,最重要的問題是:我們?cè)撊绾巫龅?ldquo;開源自立”呢?
開發(fā)者:成為優(yōu)秀的代碼守護(hù)者
為什么我們會(huì)處于目前困窘的現(xiàn)狀呢?
劉澎說,國(guó)內(nèi)開源僅有20多年,知識(shí)傳遞過程需要時(shí)間來學(xué)習(xí)理解,而現(xiàn)在的我們還是蹣跚學(xué)步的過程,尚未能奔跑。
而這次的EAR事件,未必是一件壞事,它讓國(guó)內(nèi)開發(fā)者開始思考一個(gè)問題:作為開發(fā)者,我們?cè)撊绾?ldquo;開源自立”?
他建議:作為開發(fā)者,應(yīng)該積極投入開源社區(qū),從貢獻(xiàn)者到持續(xù)貢獻(xiàn)者,再到代碼審核者,然后到代碼守護(hù)者。
劉澎坦言道,目前國(guó)內(nèi)沒有特別優(yōu)秀的項(xiàng)目,導(dǎo)致優(yōu)秀的代碼審核者、代碼守護(hù)者的數(shù)量很少,更別說開源社區(qū)的領(lǐng)袖了。
所以提升我們代碼貢獻(xiàn)和代碼審核質(zhì)量,并成為優(yōu)秀的代碼守護(hù)者,是我們開發(fā)者需要做的。
另外,劉澎談到國(guó)內(nèi)優(yōu)秀的超級(jí)使用者,例如阿里巴巴、京東、百度、騰訊、華為、聯(lián)想等企業(yè),均為開源貢獻(xiàn)很多優(yōu)秀的代碼,還對(duì)開源軟件應(yīng)用商業(yè)模式進(jìn)行創(chuàng)新。
這次中國(guó)開源界的“大地震”,對(duì)于中國(guó)開發(fā)者來說并非僅是壞事,而是加強(qiáng)我們自身技術(shù)創(chuàng)新意識(shí),可能后續(xù)將會(huì)加速中國(guó)開源的發(fā)展。
正如霍金所說,“科學(xué)的整個(gè)歷史是一個(gè)漸進(jìn)的自我實(shí)現(xiàn)的歷程,重大的事件不會(huì)任意發(fā)生,它們反映了一種潛在的次序,而不會(huì)簡(jiǎn)單地產(chǎn)生。
來源 | CSDN
