事件回顧 

最近，俄羅斯研究員Sergey Bobrov在Twitter上用表情符表達了自己GitHub賬戶被封禁一事的心情：

圖片來源@Twitter截圖

賬號被封的不止他一人。

據俄媒Habr報道，從4月13日起，GitHub 開始封鎖受美國制裁公司的俄羅斯開發(fā)者賬戶。

目前，至少有數十個賬戶被屏蔽，其中包括包括Sberbank Technology、 Sberbank AI Lab和 Alfa Bank Laboratory在內的GitHub企業(yè)帳戶，以及個體開發(fā)商的賬戶。

企業(yè)賬號會標記為“flagged”，repo的訪問權限會保留幾個小時；個人帳戶會標記為“suspended”，所有repo都不再能夠使用，包括issue和pull request也是如此。

據俄媒Habr.com報道，有俄羅斯開發(fā)者聯系了GitHub，GitHub給出的解釋是他們的賬號被禁用是因為政府的經濟制裁法規(guī)。

GitHub給俄羅斯開發(fā)者的回復郵件，圖片來源@網絡

對于封禁一事，GitHub官方在回復外媒Bleeping Computer時進一步表示：“與在美國運營的其他公司一樣，GitHub會限制受到封鎖制裁（SDN名單）或者代表受制裁方使用 GitHub 的用戶訪問賬戶。此外，GitHub的愿景是成為全球開發(fā)者協(xié)作的平臺，無論開發(fā)者居住在哪里。我們將審查政府的制裁措施，以確保用戶和客戶不會受到超出法律規(guī)定的影響?！?/p>

?封禁不過是老調重彈

早在2月28日，俄國準官方大報《生意人報》就放出消息，稱GitHub正在考慮限制俄羅斯軟件開發(fā)者訪問開源軟件源代碼儲存庫。

隨后，GitHub官方回應稱，GitHub 雖然公開表示支持烏克蘭，但“將繼續(xù)確保所有人都可以使用免費的開源服務，包括俄羅斯的開發(fā)人員。”

不過，GitHub同時聲明，GitHub會遵守政府提出的出口管制和貿易法規(guī)，其中包括嚴格限制俄羅斯獲得其維持侵略性軍事能力所需的技術。

這就為GitHub最近的封禁事件留了一個伏筆。

GitHub提到的出口管制和貿易法規(guī)，全稱是《美國出口管理條例》，即Export Administration Regulation，簡稱EAR， 這個條例主要用于對購買或使用美國企業(yè)產品及知識產權的外國企業(yè)施加管控。

這個條例最被國內熟知的是這個條例中的一份商務部管制清單，即曾將華為、科大訊飛、曠視科技、商湯科技中國企業(yè)列入其中的“實體名單”。

其實，很多開源組織都要遵守EAR，世界上著名的開源基金會Apache基金會，也有明確規(guī)定：“美國的出口法律和法規(guī)適用于我們的發(fā)行版?！?/p>

圖片來源@Apache官方網站

從這個角度看，GitHub對俄羅斯開發(fā)者賬號進行封禁，在法律和企業(yè)合規(guī)操作層面上倒是不容易挑出毛病的。

從過往的歷史來看，出于政策因素對開發(fā)者賬號進行封禁，對GitHub來說可謂“輕車熟路”：

• 2019年7月，GitHub限制了來自多個國家和地區(qū)賬戶的訪問，包括克里米亞、古巴、朝鮮、伊朗和敘利亞；
• 2020年3月，GitHub封禁了一個屬于微軟的前端開源項目Aurelia，理由是項目中有兩名來自伊朗的外部貢獻者。

既然GitHub會受美國政策的影響，考慮到這幾年中美競爭正在加劇，將來會不會有一天，GitHub也會封禁我國開發(fā)者的賬號？

這并非沒有可能，不過我們還有機會，能盡量減少這種可能帶來的負面影響。

我們該怎么做

對于此次GitHub封禁俄羅斯開發(fā)者賬號，有很多網友表示，好在GitHub的去中心化特征，開發(fā)者備份自己的項目代碼很方便。甚至還可以托管在不同國家的不同云存儲上。

外國網友的討論，圖片來源@網絡

事實上，俄羅斯的企業(yè)也是這樣做的。

在被GitHub封禁賬戶后，俄羅斯銀行Sberbank表示，他們仍會將所有的開源模型留在公共領域，因為有許多第三方開發(fā)人員仍在使用它們。目前，Sberbank旗下技術部門SberTech正在將項目與資源庫轉移到其他網站。Sbertech在使用Platform V Works，這是自己的基于云的數字平臺，用于敏捷開發(fā)，它有一個托管項目及其合作開發(fā)的工具，可兼容Git的倉庫。

這種做法的思路是否值得我國借鑒？

應當說，建立自己的開源項目托管平臺，發(fā)展自身的開源力量，減少對國外開源軟件的依賴，這當然是很有必要的做法，從更長遠的角度看，這是最能規(guī)避出口管制和司法管轄權限制的途徑。

不過，根據中國開放指令生態(tài)（RISC-V）聯盟在《開源項目風險分析與對策建議》的分析，盡管我國已經成為國際開源社區(qū)的重要貢獻者，但我國開源項目托管平臺仍處于起步階段，與GitHub等國際知名托管平臺差距甚大。

從數據來看，GitHub有7300多萬的開發(fā)者，400多萬的企業(yè)客戶，2億多代碼倉庫，而國內名氣最大的Gitee只有800多萬開發(fā)者，20多萬的企業(yè)用戶，2000多萬的代碼倉庫，主要指標差了一個數量級。

此外，國家信息中心公共技術服務部王曉冬處長在《信息安全研究》期刊上發(fā)表的論文也指出，我國開源社區(qū)主要還以利用國外開源代碼、依托國外開源社區(qū)為主，總體上仍是國際開源社區(qū)的次生社區(qū)，當前我國主流的開源社區(qū)仍不成熟，自主創(chuàng)新能力仍然不高。

因此要想建設一個可以與GitHub相媲美的開源代碼、項目托管平臺，任重而道遠。

而由貿易戰(zhàn)等導致的政策風險，在時間上是無法準確預測的，那么在未來的一段時間里，除了堅持自主研發(fā)，我們是否還有別的選擇呢？

我們不妨再回頭看看這次GitHub封禁俄羅斯開發(fā)者賬號事件。

表面看，GitHub此次如此“聽話”地按照美國政府的要求封禁俄羅斯開發(fā)者賬號，是因為俄羅斯與烏克蘭的戰(zhàn)爭。

但更深層次的原因，開源界沒那么依賴俄羅斯。

盡管有網友在網上主要總結了由俄羅斯開發(fā)者參與開發(fā)制作的最佳項目，但不得不說，俄羅斯開發(fā)者在開源領域的影響力還是不夠大，以至于不僅大部分人不知道，而且很多俄羅斯的開發(fā)者可能都不知道，這些項目的作者是俄羅斯人。

圖片來源@https://github.com/igoradamenko/awesome-made-by-russians

這與俄羅斯開發(fā)者人數太少有很大的關系。

根據一家荷蘭公司DAXX統(tǒng)計，俄羅斯在2021年共有41.2萬開發(fā)者。即便這41.2萬開發(fā)者都參與開源，同GitHub上的7300萬開發(fā)者相比，這個數字還是顯得微不足道。

相比之下，根據GitHub 2021年度報告，中國共有755萬GitHub開發(fā)者，僅次于美國（1355萬）。

此外，據歐洲調查機構 MERICS 于2021年年中發(fā)布的《中國開源技術發(fā)展》研究報告，GitHub 上關注者最多的前5個賬號中，有2個是中國人，GitHub Top 500榜單中也有26個中國項目。

可以預見，隨著越來越多的中國開發(fā)者在國際開源社區(qū)中扮演著越來越重要的角色，如果GitHub要全面封禁中國開發(fā)者的賬號，其必定要三思而后行。

事實上，美國各界對中國企業(yè)的態(tài)度并不是鐵板一塊。

2020年初，美國防部和財政部反對，美國商務部撤回了此前提議的對美國企業(yè)通過海外機構向華為供貨的限制措施。國防部的擔憂是，限制美國企業(yè)與華為的商業(yè)往來，將損害美國企業(yè)的利潤，從而導致研究經費的下降，不利于美國企業(yè)的技術競爭力。

2021年1月，美國商務部下達針對微信與TikTok的禁令，但擁護微信和TikTok的美國用戶，不斷向美國法院提起訴訟，這道禁令被美國法官下令阻止執(zhí)行。與中國有業(yè)務往來的美國公司，包括蘋果公司、福特汽車公司、沃爾瑪公司和迪士尼公司，都反對特朗普針對微信的行政命令，稱這對于在中國開展業(yè)務至關重要。

可以推測，如果中國與美國乃至全世界的開源界有深度的利益綁定，即便美國政府想要單方面與中國脫鉤，其遭遇的阻力將會非常大，即便其要求GitHub全面封禁中國開發(fā)者的賬號，GitHub是否會不打折扣地執(zhí)行，很可能要打個大大的問號。

因此，我們固然要加強獨立自主的能力，但獨立自主不代表要“閉關鎖國”。只有積極參與全球開源社區(qū)，成為GitHub上不可或缺的角色，才是未來一段時間里我們最應該做的事。