最近，美國對中國動作頻繁，以華為為代表的中國科技企業(yè)受到了影響。今天和大家分享一份來自中國開放指令生態(tài)（RISC-V）聯(lián)盟的權(quán)威報告——《開源項目風險分析與對策建議》，幫助大家看清當前開源項目所面臨的風險。

開源需獨立。

近日，美國對中國企業(yè)的限制動作不斷：

5月15日，美國將華為公司及其附屬公司列入出口管制“實體名單”。

隨后美國谷歌公司宣布將停止提供安卓（Andriod）系統(tǒng)的技術(shù)支持與服務(wù)，而安卓系統(tǒng)一直是世界知名的開源項目。

進一步人們又發(fā)現(xiàn)美國開源代碼托管平臺GitHub與美國非盈利公司Apache基金會均有明確聲明受美國出口管制約束。

因而國內(nèi)各界開始重新審視開源項目的法律約束問題。人們呼吁：我們也需要更多 “開源自立”。

但怎樣實現(xiàn)“開源自立”，目前的開源項目存在哪些風險，美國對開源的出口管制約束對我們有怎樣的影響呢？

近日，中國開放指令生態(tài)（RISC-V）聯(lián)盟（英文縮寫為 CRVA)發(fā)布權(quán)威報告

《開源項目風險分析與對策建議》，給出了對“開源自立”的細致調(diào)研和建議。

報告鏈接：

http://crva.io/documents/A-Report-on-the-Risks-and-Suggestions-of-Open-Source-Projects.pdf

報告對12個知名開源基金會、6個常用開源許可證和3個代碼托管平臺進行了調(diào)研，分析它們在出口管制、司法管轄權(quán)和開源許可證下受到的約束以及潛在風險。分析指出：

雖然開源基金會和開源許可證可以允許不涉及加密功能的開源項目規(guī)避出口管制，但因為代碼托管平臺會受到出口管制，因此存在這些代碼托管平臺的開源項目仍然會受到出口管制的影響。

報告還梳理了國內(nèi)開源現(xiàn)狀：中國企業(yè)在以LinuxKernel和GitHub為代表的開源項目和托管平臺上的貢獻都非常突出，并涌現(xiàn)出眾多開源組織與開源聯(lián)盟，但仍需加快開源代碼托管平臺建設(shè)，以備極端情況下依然能自由訪問開源項目。

以下是報告全文：

最大的風險來源：代碼托管平臺同時受出口管制和司法管轄權(quán)的限制

開源，是指源代碼、文檔等設(shè)計內(nèi)容開放的開發(fā)模式，其版權(quán)由開源協(xié)議定義。開源用戶可依據(jù)開源協(xié)議自由獲取設(shè)計內(nèi)容并根據(jù)需求自行修改。

開源的主要要素包括：

開源基金會

開源許可證

開源項目

開源代碼托管平臺等（圖1為各要素之間的關(guān)系）。

當前，絕大多數(shù)開源基金會和開源項目都位于美國，幾乎所有開源許可證和代碼托管平臺也都由美國的學(xué)術(shù)界和工業(yè)界主導(dǎo)。

因此，一個需要理清的問題是那些或隸屬于美國開源基金會、或使用美國主導(dǎo)的開源許可證、或存放于美國代碼托管平臺上的開源項目是否會受到美國的出口管制？

圖1 開源要素關(guān)系圖

本報告針對上述問題開展了調(diào)研，分析了美國出口管制（ExportControl）條款、司法管轄權(quán)（Jurisdiction）、開源許可證（License）的作用范圍以及相互之間的關(guān)系，進一步具體分析了12個知名開源基金會、6個常用的開源許可證與3個代碼托管平臺受美國法律的影響，得到以下三點結(jié)論與建議：

合理的開源基金會管理辦法可以規(guī)避美國出口管制。選擇開源項目時務(wù)必要同時仔細閱讀三個聲明：所屬開源基金會的聲明、開源項目本身的聲明、所用的開源許可證聲明。

開源許可證關(guān)聯(lián)的是知識產(chǎn)權(quán)（版權(quán)），與出口管制無關(guān)。現(xiàn)有常用開源許可證并沒有在知識產(chǎn)權(quán)層面上對中國進行管制，但不排除未來會出現(xiàn)將使用范圍限定在美國的開源許可證的可能。

現(xiàn)有GitHub等代碼托管平臺默認同意遵守美國的出口管制條例和美國法律，因此代碼托管平臺同時受出口管制和司法管轄權(quán)的限制，是最大的風險。長遠來看，中國必須建立開源項目托管平臺，并以更開放的方式吸引全世界的開源愛好者。

最后，報告梳理了國內(nèi)開源現(xiàn)狀。一方面，中國IT企業(yè)受益于開源軟件，但多數(shù)仍以使用開源軟件為主，只有少數(shù)企業(yè)積極主導(dǎo)或參與開源項目，但呈現(xiàn)上升趨勢。另一方面，中國開源項目托管平臺仍處于起步階段，與GitHub等國際知名托管平臺差距甚大，亟需加強。

開源相關(guān)的三大類法律約束

開源相關(guān)的法律約束涉及三類，即出口管制、司法管轄權(quán)與開源許可證。

2.1出口管制（ExportControl）

國家出于政治、經(jīng)濟、軍事和對外政策的需要，制定的商品出口的法律和規(guī)章，以對出口國別和出口商品實行控制。美國的出口管制條例（EAR，ExportAdministrationRegulations）主要規(guī)定是否能從美國出口貨物到外國，以及是否可以從外國“再出口（re-export）”到另一個外國，其中包含了計算機軟硬件。而按照EAR的規(guī)定（734.7b和742.15b），所有“公開可獲得（publiclyavailable）”的源代碼（不含加密軟件以及帶加密功能的其他開源軟件），都是不被出口管制的。而“公開可獲得”的帶加密功能的源代碼，雖不會被限制出口，但需登記備案（5D002）[1][2]，這也就是ASF網(wǎng)站上的ASFProductClassificationMatrix[3]的由來。

默認情況：開源項目（除含加密功能的開源項目需備案外），都屬于“公開可獲得”的代碼，可以正常使用。

極端情況下的潛在風險：如果一個開源項目或開源組織聲明遵從美國的出口管制條例，此時一旦美國修改EAR，將高性能軟件、EDA軟件等一些核心基礎(chǔ)軟件加入到管制中（這并非不可能，2018年11月，美國BIS曾就AI和機器學(xué)習(xí)等新興技術(shù)是否加入管制名單征求公眾意見[13]），并且將目前“備案即不被管制”（這其中包含了ASF幾乎所有開源項目），修改為“備案且需要被管制”，那就意味著大量核心開源項目將受到出口管制。

2.2司法管轄權(quán)（Jurisdiction）

司法管轄權(quán)又稱為審判權(quán)，是指法院或司法機構(gòu)對訴訟進行裁決和判決的權(quán)力[4]。使用網(wǎng)站或注冊會員時，如果其使用條款（TermsofUse）或會員條款（MembershipAgreement）中指定了司法管轄權(quán)的歸屬，則代表合同雙方同意只承認指定的司法機關(guān)做出的判決為賠償?shù)囊罁?jù)。

極端情況下的潛在風險：如果一個開源項目或開源組織指定了司法管轄權(quán)歸屬于美國某法院，那么所有圍繞使用條款展開的糾紛，都將以該美國法院的判決為準。

2.3開源許可證（License）

開源許可證屬于軟件許可證的一種，而軟件許可證是一種具有法律性質(zhì)的合同或指導(dǎo)，目的在于規(guī)范受著作權(quán)保護的軟件的使用或散布行為[5-6]。當下常用開源許可證，如BSD、MIT、GPL等都是圍繞代碼的版權(quán)說明，修改后是否可以閉源等問題展開的（早期的開源許可證如MPL1.1等，在協(xié)議中指定了其司法管轄權(quán)在美國加州，但現(xiàn)在皆已棄用）。換言之，當下常用的開源許可證保護的是知識產(chǎn)權(quán)，其自身與出口管制和司法管轄權(quán)并無關(guān)聯(lián)。

默認情況：開源許可證的作用為保護知識產(chǎn)權(quán)，不涉及其他的國家法律層面的條款（如出口管制、司法管轄權(quán)等）。

極端情況下的潛在風險：如果美國NSF、NASA以國防安全為由，制定一個新的開源許可證，限制其資助的所有開源項目只能在美國使用和發(fā)布，則美國以外的其他國家將失去這部分開源項目的使用權(quán)。國內(nèi)公司一旦使用，就會侵犯知識產(chǎn)權(quán)。

2.4三者之間的關(guān)系

表1總結(jié)了三類法律約束。可以看出，出口管制、司法管轄權(quán)和開源許可證之間并無直接聯(lián)系，它們分別從商品出口、訴訟的審判權(quán)和知識產(chǎn)權(quán)這三個方面界定了不同的法律約束。

表1.法律約束總結(jié)

2.5對商業(yè)和教育等不同用戶的影響

從出口管制的角度，美國的制裁針對的主要是“商業(yè)行為”，目前尚未發(fā)現(xiàn)對教育和學(xué)術(shù)有明確影響；從知識產(chǎn)權(quán)（亦即開源許可證）的角度，部分許可證會區(qū)分商業(yè)和教育用途，目前尚未發(fā)現(xiàn)明確變化。

國際開源組織與項目

一個完整的生態(tài)包含開源基金會（組織）、開源項目、開源許可證和代碼托管平臺等多方面要素，它們各自的條款聲明和受到的法律制約都不盡相同。

3.1開源基金會

開源基金會管理開源項目，但基金會的管理辦法差異較大，而基金會旗下的開源項目也可以選擇不同管理辦法。詳細內(nèi)容請見文末附表1。舉例：

Linux基金會自身的管理辦法不受美國出口管制[7]，其旗下的項目包括LinuxKernel等默認遵循該管理辦法，但虛擬化項目Xen明確要求其使用并出口者遵循美國出口管制[8]，就屬于Linux基金會中的特例；

Apache基金會的管理辦法明確說明遵循美國出口管制，旗下絕大多數(shù)項目如Hadoop、Spark等，在備案（5D002）后即不受出口管制[3]；

Mozilla基金會明確聲明司法管轄權(quán)歸屬加州。根據(jù)前述司法管轄區(qū)與出口管制的關(guān)系，Mozallia基金會聲明司法管轄權(quán)，只是表示出現(xiàn)各類糾紛都將以加州SantaClara的法庭裁決為準[9]。如前所述，這并不表示其管理的開源項目默認受到出口管制。

RISC-V基金會隸屬于Linux基金會，沒有特別聲明受美國出口管制，因此RISC-V基金會擁有的RISC-V開放指令集標準并不會受美國出口管制。值得注意的是，RISC-V基金會的會員條款中也指明了其司法管轄權(quán)在美國特拉華州[17]。根據(jù)前述司法管轄權(quán)與出口管制的關(guān)系，RISC-V基金會聲明司法管轄權(quán)，表示所有圍繞會員條款產(chǎn)生的糾紛都將交由指定法庭裁決，但并不表示其管理的開源項目默認受到出口管制。

3.2開源許可證

報告調(diào)研了6個開源許可證，即GPL、LGPL、BSD、MIT、Mozilla、Apache，均未涉及與政府出口管制無關(guān)的聲明。詳細內(nèi)容請見文末附表2.

3.3代碼托管平臺

報告調(diào)研了3個代碼托管平臺，即GitHub、SourceForge和GoogleCode。該三個平臺均明確聲明遵守美國出口管制條例，并且司法管轄權(quán)均在加州（即需按加州法律解決糾紛）。詳細內(nèi)容請見文末附表3。

以GitHub為例，GitHub明確聲明其GitHubEnterpriseServer是被出口管制，不能出口到被制裁國家（如伊朗等）的。至于GitHub網(wǎng)站的普通功能，由于架設(shè)在美國的GitHub服務(wù)器的上傳和下載的行為都需要遵從出口管制和美國法律，所以其正常使用是可能會被管制的。亦即，GitHub上的開源項目代碼在遵守項目自身的開源許可證的同時,也可能作為GitHub上的信息（Information）遵從出口管制和美國法律[18]。表面上看，這兩者在是否受到出口管制這一問題上會有一定的矛盾，但根據(jù)前文介紹的司法管轄權(quán)，最終如何解讀取決于美國法院的判決。華為也很可能在此次“實體名單”事件中因為GitHub因素使其訪問開源項目受到影響。日前，報告作者通過跟一名伊朗的大學(xué)教授郵件咨詢得知，GitHub的訪問和使用功能在伊朗目前是可用的，但不排除GitHub有在將來限制伊朗訪問的可能性。

開源項目如何規(guī)避出口管制風險？存在四種情況，但都需要開源項目發(fā)起人或開發(fā)者支持與配合：

對于已存放于GitHub的開源項目，若同時存放于美國以外其他托管平臺，且開發(fā)者分別獨立提交更新到GitHub與其他托管平臺，且開發(fā)過程中不從GitHub下載任何信息，那么從美國以外的托管平臺獲取開源項目不受美國出口管制；

對于已存放于GitHub的開源項目，若發(fā)起人本地擁有副本，且未從GitHub上下載更新，那么發(fā)起人可在美國以外其他托管平臺創(chuàng)建開源項目，并將副本上傳到該托管平臺。此后開發(fā)者分別獨立提交更新到GitHub與美國以外的托管平臺，且開發(fā)過程中不從GitHub下載任何信息,那么從美國以外的托管平臺獲取開源項目不受美國出口管制；

對于新啟動的開源項目，發(fā)起者可在美國以外的托管平臺和GitHub上同時創(chuàng)建項目，且開發(fā)者分別獨立提交更新到美國以外的托管平臺與GitHub，且開發(fā)過程中不從GitHub下載任何信息，那么從美國以外的托管平臺獲取開源項目不受美國出口管制；

對于新啟動的開源項目，發(fā)起者可直接在美國以外的托管平臺創(chuàng)建項目，其后開發(fā)者向該托管平臺更新，那么從該托管平臺獲取開源項目不受美國出口管制。

國內(nèi)開源現(xiàn)狀

4.1開源力量和開源組織

此次“開源危機”在國內(nèi)開源各界掀起了軒然大波，這無疑凸顯了國內(nèi)對開源項目的重視。但長期以來，中國用戶以使用為主，對開源社區(qū)貢獻較少。

近年來，國內(nèi)開源社區(qū)對國際開源項目的貢獻已經(jīng)日趨矚目，以華為、阿里、百度、騰訊等公司為首的公司和個人已經(jīng)在國際各開源項目中占據(jù)了越來越重要的角色。例如華為在LinuxKernel5.1中的patch提交數(shù)量位居全球第五(如圖2所示)；阿里、騰訊和百度在GitHub上的貢獻分列全球第九、十二和十五(如圖3所示)，這都說明了國內(nèi)各界對開源領(lǐng)域的貢獻。

國內(nèi)的開源組織也正逐漸走上舞臺，例如倡導(dǎo)發(fā)展開源芯片的中國開放指令生態(tài)（RISC-V）聯(lián)盟和中國RISC-V產(chǎn)業(yè)聯(lián)盟，致力于開源軟件的中國開源軟件推進聯(lián)盟，關(guān)注開源人工智能等的新一代人工智能產(chǎn)業(yè)技術(shù)創(chuàng)新戰(zhàn)略聯(lián)盟，聚焦工業(yè)4.0的開源工業(yè)互聯(lián)網(wǎng)聯(lián)盟，著力于云計算行業(yè)的云計算開源產(chǎn)業(yè)聯(lián)盟和中國開源云聯(lián)盟等，都彰顯了國內(nèi)開源社區(qū)蓬勃的生命力。

圖2 華為在LinuxKernel5.1中的patch提交數(shù)量位居全球第五

圖3 阿里、騰訊和百度在GitHub上的貢獻分列全球第九、十二和十五

4.2代碼托管平臺和開源許可證

中國開源項目托管平臺仍處于起步階段，與GitHub等國際知名托管平臺差距甚大，亟需加強。近年來，托管平臺也受到越來越重視。國內(nèi)的開源代碼托管平臺，如openI啟智平臺[16]和開源中國的碼云[12]等，展示出不凡的潛力。如openI啟智平臺提供代碼托管服務(wù)，并建立了開源社區(qū)，積極促進人工智能領(lǐng)域的軟硬件開源。

在開源許可證方面，中國開始重視起來。例如openI啟智平臺發(fā)布的“啟智開源許可證1.1”，也說明了國內(nèi)對開源項目的知識產(chǎn)權(quán)意識正在逐步增強，為將來發(fā)展國內(nèi)主導(dǎo)的開源項目奠定了良好的基礎(chǔ)。

總結(jié)和建議

綜上，本報告總結(jié)如下：

其一，合理的開源基金會管理辦法可以規(guī)避美國出口管制。選擇開源項目時務(wù)必要同時仔細閱讀三個聲明：所屬開源基金會的聲明，項目本身的聲明，所用的開源許可證聲明。

其二，開源許可證關(guān)聯(lián)的是知識產(chǎn)權(quán)（版權(quán)），與出口管制無關(guān)。現(xiàn)有常用開源許可證并沒有在知識產(chǎn)權(quán)層面上對中國進行管制，但不排除未來會出現(xiàn)將使用范圍限定在美國的開源許可證的可能。

其三，代碼托管平臺同時受出口管制和司法管轄權(quán)的限制，是開源最大的風險，因為現(xiàn)有GitHub等平臺是默認同意遵守美國的出口管制條例和美國法律的。在開源項目發(fā)起人與開發(fā)者的支持和配合下，一部分開源項目有可能規(guī)避托管平臺帶來的出口管制。但從長遠來看，中國必須建立起自己的開源項目托管平臺，發(fā)展自身的開源力量，并以更開放的方式吸引全世界的開源愛好者。

此次“危機”折射出的是國內(nèi)工業(yè)界和學(xué)術(shù)界對國外開源軟件的依賴，一旦美國在法律層面上限制開源項目的使用范圍，即使僅對部分核心開源軟件進行限制，也會對國內(nèi)各界產(chǎn)生釜底抽薪式的影響。因此，提倡和發(fā)展不受美國出口管制和司法管轄權(quán)限制的開源項目，完善中國自己的開源社區(qū)與托管平臺等開源基礎(chǔ)設(shè)施，才能更好地解決這個問題。如何探索發(fā)展更加開放和自由的開源社區(qū)，也將是未來開源各界需要重點思考的問題。

關(guān)于CRVA

中國開放指令生態(tài)（RISC-V）聯(lián)盟（英文縮寫為 CRVA ; China RISC-V Alliance）圍繞 RISC-V 指令集，以促進開源開放生態(tài)發(fā)展為目標，以重點骨干企業(yè)、科研院所為主體，整合各方資源，建立產(chǎn)、學(xué)、研、用深度融合的聯(lián)盟，推動協(xié)同創(chuàng)新攻關(guān)，促進 RISC-V 相關(guān)開源技術(shù)的開發(fā)與共享，推廣相關(guān)技術(shù)和產(chǎn)品的應(yīng)用，探索體制機制創(chuàng)新，推進 RISC-V 生態(tài)在國內(nèi)的快速發(fā)展。