開源軟件會(huì)不會(huì)被卡脖子，在華為列入實(shí)體清單，高校不能用MATLAB時(shí)已經(jīng)鬧得沸沸揚(yáng)揚(yáng)。

當(dāng)時(shí)Apache基金會(huì)，Linux基金會(huì)等大佬做了回應(yīng)，各路大神也已經(jīng)下了結(jié)論。

達(dá)成的共識就是：

按照美國出口管制規(guī)定(以下簡稱EAR)：可以公開獲得的軟件(publicly available software)，不在EAR管制范圍之內(nèi)，可以自由出口。

開源軟件屬于publicly available software， 所以不受管制。

這里邊有個(gè)例外，如果開源項(xiàng)目中包含加密功能，需要向美國政府備案，告知軟件公開的互聯(lián)網(wǎng)地址，源碼，升級信息等等。

中國互聯(lián)網(wǎng)可以松一口氣了，開源那么多輪子，可以放心使用，對吧?

最近看到中國RISC-V聯(lián)盟的一個(gè)報(bào)告《開源項(xiàng)目風(fēng)險(xiǎn)分析與對策建議》， 發(fā)現(xiàn)這事兒不是字面上寫的這么簡單，水很深。

這里給小伙伴們分享一下，也歡迎大家積極討論。

我們擔(dān)心美帝卡脖子，主要是因?yàn)殚_源軟件大部分發(fā)源于美國， 并且被位于美國的組織主導(dǎo)，連代碼也托管于美國的代碼平臺之上，所以美國可以管轄。

雖然開源軟件的License大都聲明可以自由使用和分發(fā)，但是有開源組織和托管平臺這兩個(gè)隱患。

1. 開源組織聲明遵循美國EAR

開源軟件一般都屬于某個(gè)開源組織，比如Linux屬于Linux基金會(huì)，Hadoop屬于Apache基金會(huì)，這些開源組織可能會(huì)聲明遵循EAR。

Apache基金會(huì)就是這么聲明的：

The Apache Software Foundation (ASF) is a 501(c)(3) nonprofit charity based in the United States of America. All of our products are developed via online collaboration in public forums and distributed from a central server within the U.S. Therefore, U.S. export laws and regulations apply to our distributions and remain in force as products and technology are re-exported to different parties and places around the world.

大意就是Apache基金會(huì)是位于美國的非盈利組織，所有產(chǎn)品都從美國服務(wù)器分發(fā)，因此適用于美國出口的法律法規(guī)，遵守EAR。

雖然前面提到可以公開獲得軟件不受EAR管制，但是這里邊就存在極端情況下的隱患：

如果美國修改EAR，將一些核心開源軟件添加到出口管制當(dāng)中，并且將目前“備案就不被管制”(這其中包含了 Apache基金會(huì)幾乎所有開源項(xiàng)目)，修改為“備案且需要被管制”， 那就意味著大量核心軟件(Apache HTTP Server，Hadoop, Spark等)就沒法用了。

這并不是危言聳聽， 2018年11月， 美國商務(wù)部下屬的工業(yè)及安全局(BIS)就新興技術(shù)管制名單征詢過公眾意見，名單就包括AI、微處理器、量子計(jì)算、生物識別、3D打印等在內(nèi)的14個(gè)新興技術(shù)。

2. 代碼托管平臺聲明遵守美國EAR

現(xiàn)在最大的代碼托管平臺是GitHub，以及Google Code , SourceForge，它們都明確聲明遵守美國出口管制條例EAR。

它暗含的意思就是：服務(wù)器架設(shè)在美國，那么代碼的上傳和下載行為需要遵守EAR。

所以，如果美國政府禁止GitHub某個(gè)開源項(xiàng)目出口，不讓某個(gè)公司使用，理論上是可以做到的。

這似乎又和開源License中寫的源碼可以自由使用相矛盾的，是聽代碼托管平臺的還是聽特定開源軟件的?

如何最終解讀要看司法管轄權(quán)， 如果開源組織指定司法管轄權(quán)歸屬美國某法院，那圍繞使用條款展開的糾紛，都已美國法院判決為準(zhǔn)。

美國的平臺，司法管轄權(quán)不可能指定中國地區(qū)的法院。例如GitHub、SourceForge 和 Google Code，該三個(gè)平臺都聲明司法管轄權(quán)均在美國加州，有糾紛找加州法院判決。

3. 總結(jié)

開源軟件是全世界程序員的勞動(dòng)成果，美國不太可能冒天下之大不韙，大規(guī)模對開源軟件開刀。

如果發(fā)生這種情況，估計(jì)開源軟件的組織和平臺很快就會(huì)“逃離”美國，重新尋找安身之所，這對美國來說也是極大傷害。

但是并不排除極端情況下，美帝針對某個(gè)國家，某個(gè)公司動(dòng)手，以所謂國家安全的名義限制軟件出口。

所以如果想完全獨(dú)立，不被美帝卡脖子，還是要發(fā)展中國自己的開源社區(qū)，建立自己的代碼托管平臺。

美國計(jì)算機(jī)密碼學(xué)家齊默爾曼寫了一個(gè)保護(hù)個(gè)人通信隱私的軟件：PGP，這是個(gè)非常棒的加密軟件，美國政府自然不允許出口。

后來有人給齊默爾曼支招， 美國憲法第一修正案規(guī)定：雖然出口槍支彈藥和軟件受到限制，但是書籍的出口不受限制。

于是，齊默爾曼通過MIT出版社出了一本書《PGP Source Code and Internals》，有600頁，這本書沒別的東西，全是PGP這個(gè)軟件的源代碼!

任何人，只要你購買了這本書(不受美國出口的限制)，你就獲得了PGP軟件，前提是，需要用OCR軟件掃描一下——齊默爾曼在書的開頭非常貼心地告訴了大家如何使用OCR來操作。