最近,美國對中國動作頻繁,以華為為代表的中國科技企業受到了影響。今天和大家分享一份來自中國開放指令生態(RISC-V)聯盟的權威報告——《開源項目風險分析與對策建議》,幫助大家看清當前開源項目所面臨的風險。
開源需獨立。
近日,美國對中國企業的限制動作不斷:
5月15日,美國將華為公司及其附屬公司列入出口管制“實體名單”。
隨后美國谷歌公司宣布將停止提供安卓(Andriod)系統的技術支持與服務,而安卓系統一直是世界知名的開源項目。
進一步人們又發現美國開源代碼托管平臺GitHub與美國非盈利公司Apache基金會均有明確聲明受美國出口管制約束。
因而國內各界開始重新審視開源項目的法律約束問題。人們呼吁:我們也需要更多 “開源自立”。
但怎樣實現“開源自立”,目前的開源項目存在哪些風險,美國對開源的出口管制約束對我們有怎樣的影響呢?
近日,中國開放指令生態(RISC-V)聯盟(英文縮寫為 CRVA)發布權威報告
《開源項目風險分析與對策建議》,給出了對“開源自立”的細致調研和建議。
報告鏈接:
http://crva.io/documents/A-Report-on-the-Risks-and-Suggestions-of-Open-Source-Projects.pdf
報告對12個知名開源基金會、6個常用開源許可證和3個代碼托管平臺進行了調研,分析它們在出口管制、司法管轄權和開源許可證下受到的約束以及潛在風險。分析指出:
雖然開源基金會和開源許可證可以允許不涉及加密功能的開源項目規避出口管制,但因為代碼托管平臺會受到出口管制,因此存在這些代碼托管平臺的開源項目仍然會受到出口管制的影響。
報告還梳理了國內開源現狀:中國企業在以LinuxKernel和GitHub為代表的開源項目和托管平臺上的貢獻都非常突出,并涌現出眾多開源組織與開源聯盟,但仍需加快開源代碼托管平臺建設,以備極端情況下依然能自由訪問開源項目。
以下是報告全文:
最大的風險來源:代碼托管平臺同時受出口管制和司法管轄權的限制
開源,是指源代碼、文檔等設計內容開放的開發模式,其版權由開源協議定義。開源用戶可依據開源協議自由獲取設計內容并根據需求自行修改。
開源的主要要素包括:
開源基金會
開源許可證
開源項目
開源代碼托管平臺等(圖1為各要素之間的關系)。
當前,絕大多數開源基金會和開源項目都位于美國,幾乎所有開源許可證和代碼托管平臺也都由美國的學術界和工業界主導。
因此,一個需要理清的問題是那些或隸屬于美國開源基金會、或使用美國主導的開源許可證、或存放于美國代碼托管平臺上的開源項目是否會受到美國的出口管制?
圖1 開源要素關系圖
本報告針對上述問題開展了調研,分析了美國出口管制(ExportControl)條款、司法管轄權(Jurisdiction)、開源許可證(License)的作用范圍以及相互之間的關系,進一步具體分析了12個知名開源基金會、6個常用的開源許可證與3個代碼托管平臺受美國法律的影響,得到以下三點結論與建議:
合理的開源基金會管理辦法可以規避美國出口管制。選擇開源項目時務必要同時仔細閱讀三個聲明:所屬開源基金會的聲明、開源項目本身的聲明、所用的開源許可證聲明。
開源許可證關聯的是知識產權(版權),與出口管制無關。現有常用開源許可證并沒有在知識產權層面上對中國進行管制,但不排除未來會出現將使用范圍限定在美國的開源許可證的可能。
現有GitHub等代碼托管平臺默認同意遵守美國的出口管制條例和美國法律,因此代碼托管平臺同時受出口管制和司法管轄權的限制,是最大的風險。長遠來看,中國必須建立開源項目托管平臺,并以更開放的方式吸引全世界的開源愛好者。
最后,報告梳理了國內開源現狀。一方面,中國IT企業受益于開源軟件,但多數仍以使用開源軟件為主,只有少數企業積極主導或參與開源項目,但呈現上升趨勢。另一方面,中國開源項目托管平臺仍處于起步階段,與GitHub等國際知名托管平臺差距甚大,亟需加強。
開源相關的三大類法律約束
開源相關的法律約束涉及三類,即出口管制、司法管轄權與開源許可證。
2.1出口管制(ExportControl)
國家出于政治、經濟、軍事和對外政策的需要,制定的商品出口的法律和規章,以對出口國別和出口商品實行控制。美國的出口管制條例(EAR,ExportAdministrationRegulations)主要規定是否能從美國出口貨物到外國,以及是否可以從外國“再出口(re-export)”到另一個外國,其中包含了計算機軟硬件。而按照EAR的規定(734.7b和742.15b),所有“公開可獲得(publiclyavailable)”的源代碼(不含加密軟件以及帶加密功能的其他開源軟件),都是不被出口管制的。而“公開可獲得”的帶加密功能的源代碼,雖不會被限制出口,但需登記備案(5D002)[1][2],這也就是ASF網站上的ASFProductClassificationMatrix[3]的由來。
默認情況:開源項目(除含加密功能的開源項目需備案外),都屬于“公開可獲得”的代碼,可以正常使用。
極端情況下的潛在風險:如果一個開源項目或開源組織聲明遵從美國的出口管制條例,此時一旦美國修改EAR,將高性能軟件、EDA軟件等一些核心基礎軟件加入到管制中(這并非不可能,2018年11月,美國BIS曾就AI和機器學習等新興技術是否加入管制名單征求公眾意見[13]),并且將目前“備案即不被管制”(這其中包含了ASF幾乎所有開源項目),修改為“備案且需要被管制”,那就意味著大量核心開源項目將受到出口管制。
2.2司法管轄權(Jurisdiction)
司法管轄權又稱為審判權,是指法院或司法機構對訴訟進行裁決和判決的權力[4]。使用網站或注冊會員時,如果其使用條款(TermsofUse)或會員條款(MembershipAgreement)中指定了司法管轄權的歸屬,則代表合同雙方同意只承認指定的司法機關做出的判決為賠償的依據。
極端情況下的潛在風險:如果一個開源項目或開源組織指定了司法管轄權歸屬于美國某法院,那么所有圍繞使用條款展開的糾紛,都將以該美國法院的判決為準。
2.3開源許可證(License)
開源許可證屬于軟件許可證的一種,而軟件許可證是一種具有法律性質的合同或指導,目的在于規范受著作權保護的軟件的使用或散布行為[5-6]。當下常用開源許可證,如BSD、MIT、GPL等都是圍繞代碼的版權說明,修改后是否可以閉源等問題展開的(早期的開源許可證如MPL1.1等,在協議中指定了其司法管轄權在美國加州,但現在皆已棄用)。換言之,當下常用的開源許可證保護的是知識產權,其自身與出口管制和司法管轄權并無關聯。
默認情況:開源許可證的作用為保護知識產權,不涉及其他的國家法律層面的條款(如出口管制、司法管轄權等)。
極端情況下的潛在風險:如果美國NSF、NASA以國防安全為由,制定一個新的開源許可證,限制其資助的所有開源項目只能在美國使用和發布,則美國以外的其他國家將失去這部分開源項目的使用權。國內公司一旦使用,就會侵犯知識產權。
2.4三者之間的關系
表1總結了三類法律約束。可以看出,出口管制、司法管轄權和開源許可證之間并無直接聯系,它們分別從商品出口、訴訟的審判權和知識產權這三個方面界定了不同的法律約束。
表1.法律約束總結
2.5對商業和教育等不同用戶的影響
從出口管制的角度,美國的制裁針對的主要是“商業行為”,目前尚未發現對教育和學術有明確影響;從知識產權(亦即開源許可證)的角度,部分許可證會區分商業和教育用途,目前尚未發現明確變化。
國際開源組織與項目
一個完整的生態包含開源基金會(組織)、開源項目、開源許可證和代碼托管平臺等多方面要素,它們各自的條款聲明和受到的法律制約都不盡相同。
3.1開源基金會
開源基金會管理開源項目,但基金會的管理辦法差異較大,而基金會旗下的開源項目也可以選擇不同管理辦法。詳細內容請見文末附表1。舉例:
Linux基金會自身的管理辦法不受美國出口管制[7],其旗下的項目包括LinuxKernel等默認遵循該管理辦法,但虛擬化項目Xen明確要求其使用并出口者遵循美國出口管制[8],就屬于Linux基金會中的特例;
Apache基金會的管理辦法明確說明遵循美國出口管制,旗下絕大多數項目如Hadoop、Spark等,在備案(5D002)后即不受出口管制[3];
Mozilla基金會明確聲明司法管轄權歸屬加州。根據前述司法管轄區與出口管制的關系,Mozallia基金會聲明司法管轄權,只是表示出現各類糾紛都將以加州SantaClara的法庭裁決為準[9]。如前所述,這并不表示其管理的開源項目默認受到出口管制。
RISC-V基金會隸屬于Linux基金會,沒有特別聲明受美國出口管制,因此RISC-V基金會擁有的RISC-V開放指令集標準并不會受美國出口管制。值得注意的是,RISC-V基金會的會員條款中也指明了其司法管轄權在美國特拉華州[17]。根據前述司法管轄權與出口管制的關系,RISC-V基金會聲明司法管轄權,表示所有圍繞會員條款產生的糾紛都將交由指定法庭裁決,但并不表示其管理的開源項目默認受到出口管制。
3.2開源許可證
報告調研了6個開源許可證,即GPL、LGPL、BSD、MIT、Mozilla、Apache,均未涉及與政府出口管制無關的聲明。詳細內容請見文末附表2.
3.3代碼托管平臺
報告調研了3個代碼托管平臺,即GitHub、SourceForge和GoogleCode。該三個平臺均明確聲明遵守美國出口管制條例,并且司法管轄權均在加州(即需按加州法律解決糾紛)。詳細內容請見文末附表3。
以GitHub為例,GitHub明確聲明其GitHubEnterpriseServer是被出口管制,不能出口到被制裁國家(如伊朗等)的。至于GitHub網站的普通功能,由于架設在美國的GitHub服務器的上傳和下載的行為都需要遵從出口管制和美國法律,所以其正常使用是可能會被管制的。亦即,GitHub上的開源項目代碼在遵守項目自身的開源許可證的同時,也可能作為GitHub上的信息(Information)遵從出口管制和美國法律[18]。表面上看,這兩者在是否受到出口管制這一問題上會有一定的矛盾,但根據前文介紹的司法管轄權,最終如何解讀取決于美國法院的判決。華為也很可能在此次“實體名單”事件中因為GitHub因素使其訪問開源項目受到影響。日前,報告作者通過跟一名伊朗的大學教授郵件咨詢得知,GitHub的訪問和使用功能在伊朗目前是可用的,但不排除GitHub有在將來限制伊朗訪問的可能性。
開源項目如何規避出口管制風險?存在四種情況,但都需要開源項目發起人或開發者支持與配合:
對于已存放于GitHub的開源項目,若同時存放于美國以外其他托管平臺,且開發者分別獨立提交更新到GitHub與其他托管平臺,且開發過程中不從GitHub下載任何信息,那么從美國以外的托管平臺獲取開源項目不受美國出口管制;
對于已存放于GitHub的開源項目,若發起人本地擁有副本,且未從GitHub上下載更新,那么發起人可在美國以外其他托管平臺創建開源項目,并將副本上傳到該托管平臺。此后開發者分別獨立提交更新到GitHub與美國以外的托管平臺,且開發過程中不從GitHub下載任何信息,那么從美國以外的托管平臺獲取開源項目不受美國出口管制;
對于新啟動的開源項目,發起者可在美國以外的托管平臺和GitHub上同時創建項目,且開發者分別獨立提交更新到美國以外的托管平臺與GitHub,且開發過程中不從GitHub下載任何信息,那么從美國以外的托管平臺獲取開源項目不受美國出口管制;
對于新啟動的開源項目,發起者可直接在美國以外的托管平臺創建項目,其后開發者向該托管平臺更新,那么從該托管平臺獲取開源項目不受美國出口管制。
國內開源現狀
4.1開源力量和開源組織
此次“開源危機”在國內開源各界掀起了軒然大波,這無疑凸顯了國內對開源項目的重視。但長期以來,中國用戶以使用為主,對開源社區貢獻較少。
近年來,國內開源社區對國際開源項目的貢獻已經日趨矚目,以華為、阿里、百度、騰訊等公司為首的公司和個人已經在國際各開源項目中占據了越來越重要的角色。例如華為在LinuxKernel5.1中的patch提交數量位居全球第五(如圖2所示);阿里、騰訊和百度在GitHub上的貢獻分列全球第九、十二和十五(如圖3所示),這都說明了國內各界對開源領域的貢獻。
國內的開源組織也正逐漸走上舞臺,例如倡導發展開源芯片的中國開放指令生態(RISC-V)聯盟和中國RISC-V產業聯盟,致力于開源軟件的中國開源軟件推進聯盟,關注開源人工智能等的新一代人工智能產業技術創新戰略聯盟,聚焦工業4.0的開源工業互聯網聯盟,著力于云計算行業的云計算開源產業聯盟和中國開源云聯盟等,都彰顯了國內開源社區蓬勃的生命力。
圖2 華為在LinuxKernel5.1中的patch提交數量位居全球第五
圖3 阿里、騰訊和百度在GitHub上的貢獻分列全球第九、十二和十五
4.2代碼托管平臺和開源許可證
中國開源項目托管平臺仍處于起步階段,與GitHub等國際知名托管平臺差距甚大,亟需加強。近年來,托管平臺也受到越來越重視。國內的開源代碼托管平臺,如openI啟智平臺[16]和開源中國的碼云[12]等,展示出不凡的潛力。如openI啟智平臺提供代碼托管服務,并建立了開源社區,積極促進人工智能領域的軟硬件開源。
在開源許可證方面,中國開始重視起來。例如openI啟智平臺發布的“啟智開源許可證1.1”,也說明了國內對開源項目的知識產權意識正在逐步增強,為將來發展國內主導的開源項目奠定了良好的基礎。
總結和建議
綜上,本報告總結如下:
其一,合理的開源基金會管理辦法可以規避美國出口管制。選擇開源項目時務必要同時仔細閱讀三個聲明:所屬開源基金會的聲明,項目本身的聲明,所用的開源許可證聲明。
其二,開源許可證關聯的是知識產權(版權),與出口管制無關?,F有常用開源許可證并沒有在知識產權層面上對中國進行管制,但不排除未來會出現將使用范圍限定在美國的開源許可證的可能。
其三,代碼托管平臺同時受出口管制和司法管轄權的限制,是開源最大的風險,因為現有GitHub等平臺是默認同意遵守美國的出口管制條例和美國法律的。在開源項目發起人與開發者的支持和配合下,一部分開源項目有可能規避托管平臺帶來的出口管制。但從長遠來看,中國必須建立起自己的開源項目托管平臺,發展自身的開源力量,并以更開放的方式吸引全世界的開源愛好者。
此次“危機”折射出的是國內工業界和學術界對國外開源軟件的依賴,一旦美國在法律層面上限制開源項目的使用范圍,即使僅對部分核心開源軟件進行限制,也會對國內各界產生釜底抽薪式的影響。因此,提倡和發展不受美國出口管制和司法管轄權限制的開源項目,完善中國自己的開源社區與托管平臺等開源基礎設施,才能更好地解決這個問題。如何探索發展更加開放和自由的開源社區,也將是未來開源各界需要重點思考的問題。
關于CRVA
中國開放指令生態(RISC-V)聯盟(英文縮寫為 CRVA ; China RISC-V Alliance)圍繞 RISC-V 指令集,以促進開源開放生態發展為目標,以重點骨干企業、科研院所為主體,整合各方資源,建立產、學、研、用深度融合的聯盟,推動協同創新攻關,促進 RISC-V 相關開源技術的開發與共享,推廣相關技術和產品的應用,探索體制機制創新,推進 RISC-V 生態在國內的快速發展。
-
知識產權
+關注
關注
1文章
80瀏覽量
13554 -
RISC-V
+關注
關注
45文章
2300瀏覽量
46272 -
開源項目
+關注
關注
0文章
38瀏覽量
7211
原文標題:如何破解“開源危機”?開源風險分析與對策中國權威報告出爐
文章出處:【微信號:AI_era,微信公眾號:新智元】歡迎添加關注!文章轉載請注明出處。
發布評論請先 登錄
相關推薦
評論