进口开源软件纷纷中招,国产创新路在何方?
作者:星期二, 十月 27, 20200

Docker险遭开源限制?

开源软件 Docker,是一个用于开发、交付和运行应用的开放平台。它作为目前最流行的 Linux 容器解决方案之一,已凭借着便捷性、高效性等优势成为开发者常用的工具之一。

8 月 13 日,Docker 更新了《服务条款》并于当日生效,禁止所有美国禁运国家和被列入【美国财政部指定国民清单】、【美国商务部实体清单】【被拒绝人清单】、【未核实清单】和【美国州界防扩散制裁清单】(统称为【指定国民清单】)的个人或实体使用带有该服务协议链接的 Docker 网站以及所有相关网站。

条款中 1.2 指明:美国【被拒绝人清单】和【被拒绝贸易方清单】中的人或组织禁止使用此服务。

原文如下:

服务协议中一般法律条款部分的20.8说明:【美国禁运国家】与【指定国民清单】中的人或组织禁止使用此服务。【美国禁运国家】与【指定国民清单】列表如有更改,恕不另行通知。具体译文如下:

原文如下:

自美国公布并不断扩张【实体清单】以来,国内科技领域颇有震动。美国政府在2019年5月禁止华为在未经美国政府批准的情况下从美国企业获得元器件和相关技术,声称是出于【国家安全方面的考虑】。截至同年10月,该【实体清单】扩张至其他28家中国实体。甚至在今年6月,哈工大、哈工程的老师和学生们无法使用 MATLAB,谁能想到一个商业数学软件居然也能被美国人禁用呢?

据了解,此次条款仅针对于Docker ,不针对Docker开源版Moby。然而,谁能为这个“不针对”打包票呢?是【实体清单】“制裁”华为的美国政府呢?还是不断扩张【实体清单】的美国商务部产业安全局(BIS)呢?开源项目到底前路如何呢?

如此开源,未来“可期”?

Docker话题在各网站论坛上一石激起千层浪,国内科技圈一片哗然。有网友提出 Docker Hub 之前因出口管制在伊朗被禁用过,而此次更新后的网站服务协议是使用 Docker Hub 必须同意的协议之一,因此认为Docker Hub 肯定会受到影响。数据显示,中国的GitHub用户量位居全球第二,仅次于美国,而GitHub曾在去年切断了包括伊朗、叙利亚和克里米亚在内国家的某些服务,在全球范围内引起了舆论巨浪;Hashi曾在其官网相关条款中作出声明,禁止中国公司使用其 Vault 企业版产品,而后被证实该声明系风险提醒,实际与限制开源软件无关,其旗下相关开源软件在我国的使用尚未受到影响。“虚惊”迭起,不免让国内业界对开源软件安全性的担忧显得更加理所当然。

开源是否无国界?不如问推特可否能治国。

无独有偶,2019年3月,一条来自苏丹的“无法下载安装Elasticsearch ”的信息出现在公众眼前。Elasticsearch 是一个分布式、高扩展、高实时的开源搜索与数据分析引擎。根据DB-Engines的排名显示,Elasticsearch是最受欢迎的企业搜索引擎之一,国内依托于此研发自用或销售软件的厂商不在少数。该留言表示:由于美国的禁运政策,留言人无法直接购买Elasticsearch使用。但是近期禁运政策已部分解除,如Oracle等企业已经开始在苏丹销售软件,然而他仍然无法下载安装Elasticsearch,他希望能获知原因和解决方法。

留言原文如下:

围观群众从 Elastic 内部得到回应:“由于公司内部政策的原因,我们的软件在某些国家和地区不可用”,接着感叹“恐怕您现在是别无选择了”。 Elastic团队成员则表示:“抱歉,我们目前无法作出进一步阐述”。留言者不禁发问:为何会因非法律因素,而无法使用声称为开源的软件呢?

原文回应如下:

开源软件是否能够做到其所声称的如此开源呢?中国是否也将面临类似苏丹的风险呢?

关于Elastic将来是否会面临在中国被禁用的疑问,其在2018年发布的招股说明书中可能已作出相关说明“ 此外,美国出口管制法律和经济制裁禁止出口产品至:美国禁运或受制裁的国家、政府和个人,包括本体或作为最终用户。”

说明原文:

并且,Elastic 在2019年提交至美国证监会的年报上重申了相同观点。

年报原文:

目前中国 IT 行业被列入美国贸易管制【实体名单】的企业包括:
华为、商汤、依图、旷视、海康威视、大华、科大讯飞、美亚柏科、颐信科技、奇虎360、烽火科技集团、东方网力、达闼科技、云从科技、中科曙光、海光等。

正如网友所担忧,【实体清单】未来是否会扩张或被取消?进口开源软件未来是否会面临禁用?答案无法预测。

在当前中美关系形势下,IT从业者有必要知悉并分析美国限制开源软件使用的可能性及风险,以做好应对。 相关机构指出,虽然大部分开源软件不受美国出口管制,但近年来美国仍利用开源软件及其生态对其他国家及公司进行过限制或制裁。
一是限制特定国家、地区使用代码托管平台。
二是限制特定国家公民或企业员工在开源组织的工作。
三是限制使用基于开源软件的增值服务和产品。

中国开放指令生态(RISC-V)联盟(英文缩写为 CRVA )也曾发布权威报告《开源项目风险分析与对策建议》,指出因为代码托管平台会受到出口管制,因此存在这些代码托管平台的开源项目仍然会受到出口管制的影响。

此外,Apache基金会曾在官网明确说明遵循美国出口管制,众所周知 Hadoop、Spark 位在其列;GitHub、Google Code等之类的代码托管平台也均明确声明遵守美国出口管制条例;美国开源软件团体的许可证(例如MPL 1.1)同样规定了其管辖法院为美国法院,且适用美国法律。

开源软件的风险,从来都不只来自于商业,还有政治和法律。开源的蛋糕是否真的那么容易分,我们拭目以待。

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章