最近，美國(guó)對(duì)中國(guó)動(dòng)作頻繁，以華為為代表的中國(guó)科技企業(yè)受到了影響。今天和大家分享一份來自中國(guó)開放指令生態(tài)（RISC-V）聯(lián)盟的權(quán)威報(bào)告——《開源項(xiàng)目風(fēng)險(xiǎn)分析與對(duì)策建議》，幫助大家看清當(dāng)前開源項(xiàng)目所面臨的風(fēng)險(xiǎn)。

開源需獨(dú)立。

近日，美國(guó)對(duì)中國(guó)企業(yè)的限制動(dòng)作不斷：

5月15日，美國(guó)將華為公司及其附屬公司列入出口管制“實(shí)體名單”。

隨后美國(guó)谷歌公司宣布將停止提供安卓（Andriod）系統(tǒng)的技術(shù)支持與服務(wù)，而安卓系統(tǒng)一直是世界知名的開源項(xiàng)目。

進(jìn)一步人們又發(fā)現(xiàn)美國(guó)開源代碼托管平臺(tái)GitHub與美國(guó)非盈利公司Apache基金會(huì)均有明確聲明受美國(guó)出口管制約束。

因而國(guó)內(nèi)各界開始重新審視開源項(xiàng)目的法律約束問題。人們呼吁：我們也需要更多 “開源自立”。

但怎樣實(shí)現(xiàn)“開源自立”，目前的開源項(xiàng)目存在哪些風(fēng)險(xiǎn)，美國(guó)對(duì)開源的出口管制約束對(duì)我們有怎樣的影響呢？

近日，中國(guó)開放指令生態(tài)（RISC-V）聯(lián)盟（英文縮寫為 CRVA)發(fā)布權(quán)威報(bào)告

《開源項(xiàng)目風(fēng)險(xiǎn)分析與對(duì)策建議》，給出了對(duì)“開源自立”的細(xì)致調(diào)研和建議。

報(bào)告鏈接：

http://crva.io/documents/A-Report-on-the-Risks-and-Suggestions-of-Open-Source-Projects.pdf

報(bào)告對(duì)12個(gè)知名開源基金會(huì)、6個(gè)常用開源許可證和3個(gè)代碼托管平臺(tái)進(jìn)行了調(diào)研，分析它們?cè)诔隹诠苤啤⑺痉ü茌牂?quán)和開源許可證下受到的約束以及潛在風(fēng)險(xiǎn)。分析指出：

雖然開源基金會(huì)和開源許可證可以允許不涉及加密功能的開源項(xiàng)目規(guī)避出口管制，但因?yàn)榇a托管平臺(tái)會(huì)受到出口管制，因此存在這些代碼托管平臺(tái)的開源項(xiàng)目仍然會(huì)受到出口管制的影響。

報(bào)告還梳理了國(guó)內(nèi)開源現(xiàn)狀：中國(guó)企業(yè)在以LinuxKernel和GitHub為代表的開源項(xiàng)目和托管平臺(tái)上的貢獻(xiàn)都非常突出，并涌現(xiàn)出眾多開源組織與開源聯(lián)盟，但仍需加快開源代碼托管平臺(tái)建設(shè)，以備極端情況下依然能自由訪問開源項(xiàng)目。

以下是報(bào)告全文：

最大的風(fēng)險(xiǎn)來源：代碼托管平臺(tái)同時(shí)受出口管制和司法管轄權(quán)的限制

開源，是指源代碼、文檔等設(shè)計(jì)內(nèi)容開放的開發(fā)模式，其版權(quán)由開源協(xié)議定義。開源用戶可依據(jù)開源協(xié)議自由獲取設(shè)計(jì)內(nèi)容并根據(jù)需求自行修改。

開源的主要要素包括：

開源基金會(huì)

開源許可證

開源項(xiàng)目

開源代碼托管平臺(tái)等（圖1為各要素之間的關(guān)系）。

當(dāng)前，絕大多數(shù)開源基金會(huì)和開源項(xiàng)目都位于美國(guó)，幾乎所有開源許可證和代碼托管平臺(tái)也都由美國(guó)的學(xué)術(shù)界和工業(yè)界主導(dǎo)。

因此，一個(gè)需要理清的問題是那些或隸屬于美國(guó)開源基金會(huì)、或使用美國(guó)主導(dǎo)的開源許可證、或存放于美國(guó)代碼托管平臺(tái)上的開源項(xiàng)目是否會(huì)受到美國(guó)的出口管制？

圖1 開源要素關(guān)系圖

本報(bào)告針對(duì)上述問題開展了調(diào)研，分析了美國(guó)出口管制（ExportControl）條款、司法管轄權(quán)（Jurisdiction）、開源許可證（License）的作用范圍以及相互之間的關(guān)系，進(jìn)一步具體分析了12個(gè)知名開源基金會(huì)、6個(gè)常用的開源許可證與3個(gè)代碼托管平臺(tái)受美國(guó)法律的影響，得到以下三點(diǎn)結(jié)論與建議：

合理的開源基金會(huì)管理辦法可以規(guī)避美國(guó)出口管制。選擇開源項(xiàng)目時(shí)務(wù)必要同時(shí)仔細(xì)閱讀三個(gè)聲明：所屬開源基金會(huì)的聲明、開源項(xiàng)目本身的聲明、所用的開源許可證聲明。

開源許可證關(guān)聯(lián)的是知識(shí)產(chǎn)權(quán)（版權(quán)），與出口管制無(wú)關(guān)。現(xiàn)有常用開源許可證并沒有在知識(shí)產(chǎn)權(quán)層面上對(duì)中國(guó)進(jìn)行管制，但不排除未來會(huì)出現(xiàn)將使用范圍限定在美國(guó)的開源許可證的可能。

現(xiàn)有GitHub等代碼托管平臺(tái)默認(rèn)同意遵守美國(guó)的出口管制條例和美國(guó)法律，因此代碼托管平臺(tái)同時(shí)受出口管制和司法管轄權(quán)的限制，是最大的風(fēng)險(xiǎn)。長(zhǎng)遠(yuǎn)來看，中國(guó)必須建立開源項(xiàng)目托管平臺(tái)，并以更開放的方式吸引全世界的開源愛好者。

最后，報(bào)告梳理了國(guó)內(nèi)開源現(xiàn)狀。一方面，中國(guó)IT企業(yè)受益于開源軟件，但多數(shù)仍以使用開源軟件為主，只有少數(shù)企業(yè)積極主導(dǎo)或參與開源項(xiàng)目，但呈現(xiàn)上升趨勢(shì)。另一方面，中國(guó)開源項(xiàng)目托管平臺(tái)仍處于起步階段，與GitHub等國(guó)際知名托管平臺(tái)差距甚大，亟需加強(qiáng)。

開源相關(guān)的三大類法律約束

開源相關(guān)的法律約束涉及三類，即出口管制、司法管轄權(quán)與開源許可證。

2.1出口管制（ExportControl）

國(guó)家出于政治、經(jīng)濟(jì)、軍事和對(duì)外政策的需要，制定的商品出口的法律和規(guī)章，以對(duì)出口國(guó)別和出口商品實(shí)行控制。美國(guó)的出口管制條例（EAR，ExportAdministrationRegulations）主要規(guī)定是否能從美國(guó)出口貨物到外國(guó)，以及是否可以從外國(guó)“再出口（re-export）”到另一個(gè)外國(guó)，其中包含了計(jì)算機(jī)軟硬件。而按照EAR的規(guī)定（734.7b和742.15b），所有“公開可獲得（publiclyavailable）”的源代碼（不含加密軟件以及帶加密功能的其他開源軟件），都是不被出口管制的。而“公開可獲得”的帶加密功能的源代碼，雖不會(huì)被限制出口，但需登記備案（5D002）[1][2]，這也就是ASF網(wǎng)站上的ASFProductClassificationMatrix[3]的由來。

默認(rèn)情況：開源項(xiàng)目（除含加密功能的開源項(xiàng)目需備案外），都屬于“公開可獲得”的代碼，可以正常使用。

極端情況下的潛在風(fēng)險(xiǎn)：如果一個(gè)開源項(xiàng)目或開源組織聲明遵從美國(guó)的出口管制條例，此時(shí)一旦美國(guó)修改EAR，將高性能軟件、EDA軟件等一些核心基礎(chǔ)軟件加入到管制中（這并非不可能，2018年11月，美國(guó)BIS曾就AI和機(jī)器學(xué)習(xí)等新興技術(shù)是否加入管制名單征求公眾意見[13]），并且將目前“備案即不被管制”（這其中包含了ASF幾乎所有開源項(xiàng)目），修改為“備案且需要被管制”，那就意味著大量核心開源項(xiàng)目將受到出口管制。

2.2司法管轄權(quán)（Jurisdiction）

司法管轄權(quán)又稱為審判權(quán)，是指法院或司法機(jī)構(gòu)對(duì)訴訟進(jìn)行裁決和判決的權(quán)力[4]。使用網(wǎng)站或注冊(cè)會(huì)員時(shí)，如果其使用條款（TermsofUse）或會(huì)員條款（MembershipAgreement）中指定了司法管轄權(quán)的歸屬，則代表合同雙方同意只承認(rèn)指定的司法機(jī)關(guān)做出的判決為賠償?shù)囊罁?jù)。

極端情況下的潛在風(fēng)險(xiǎn)：如果一個(gè)開源項(xiàng)目或開源組織指定了司法管轄權(quán)歸屬于美國(guó)某法院，那么所有圍繞使用條款展開的糾紛，都將以該美國(guó)法院的判決為準(zhǔn)。

2.3開源許可證（License）

開源許可證屬于軟件許可證的一種，而軟件許可證是一種具有法律性質(zhì)的合同或指導(dǎo)，目的在于規(guī)范受著作權(quán)保護(hù)的軟件的使用或散布行為[5-6]。當(dāng)下常用開源許可證，如BSD、MIT、GPL等都是圍繞代碼的版權(quán)說明，修改后是否可以閉源等問題展開的（早期的開源許可證如MPL1.1等，在協(xié)議中指定了其司法管轄權(quán)在美國(guó)加州，但現(xiàn)在皆已棄用）。換言之，當(dāng)下常用的開源許可證保護(hù)的是知識(shí)產(chǎn)權(quán)，其自身與出口管制和司法管轄權(quán)并無(wú)關(guān)聯(lián)。

默認(rèn)情況：開源許可證的作用為保護(hù)知識(shí)產(chǎn)權(quán)，不涉及其他的國(guó)家法律層面的條款（如出口管制、司法管轄權(quán)等）。

極端情況下的潛在風(fēng)險(xiǎn)：如果美國(guó)NSF、NASA以國(guó)防安全為由，制定一個(gè)新的開源許可證，限制其資助的所有開源項(xiàng)目只能在美國(guó)使用和發(fā)布，則美國(guó)以外的其他國(guó)家將失去這部分開源項(xiàng)目的使用權(quán)。國(guó)內(nèi)公司一旦使用，就會(huì)侵犯知識(shí)產(chǎn)權(quán)。

2.4三者之間的關(guān)系

表1總結(jié)了三類法律約束?？梢钥闯?，出口管制、司法管轄權(quán)和開源許可證之間并無(wú)直接聯(lián)系，它們分別從商品出口、訴訟的審判權(quán)和知識(shí)產(chǎn)權(quán)這三個(gè)方面界定了不同的法律約束。

表1.法律約束總結(jié)

2.5對(duì)商業(yè)和教育等不同用戶的影響

從出口管制的角度，美國(guó)的制裁針對(duì)的主要是“商業(yè)行為”，目前尚未發(fā)現(xiàn)對(duì)教育和學(xué)術(shù)有明確影響；從知識(shí)產(chǎn)權(quán)（亦即開源許可證）的角度，部分許可證會(huì)區(qū)分商業(yè)和教育用途，目前尚未發(fā)現(xiàn)明確變化。

國(guó)際開源組織與項(xiàng)目

一個(gè)完整的生態(tài)包含開源基金會(huì)（組織）、開源項(xiàng)目、開源許可證和代碼托管平臺(tái)等多方面要素，它們各自的條款聲明和受到的法律制約都不盡相同。

3.1開源基金會(huì)

開源基金會(huì)管理開源項(xiàng)目，但基金會(huì)的管理辦法差異較大，而基金會(huì)旗下的開源項(xiàng)目也可以選擇不同管理辦法。詳細(xì)內(nèi)容請(qǐng)見文末附表1。舉例：

Linux基金會(huì)自身的管理辦法不受美國(guó)出口管制[7]，其旗下的項(xiàng)目包括LinuxKernel等默認(rèn)遵循該管理辦法，但虛擬化項(xiàng)目Xen明確要求其使用并出口者遵循美國(guó)出口管制[8]，就屬于Linux基金會(huì)中的特例；

Apache基金會(huì)的管理辦法明確說明遵循美國(guó)出口管制，旗下絕大多數(shù)項(xiàng)目如Hadoop、Spark等，在備案（5D002）后即不受出口管制[3]；

Mozilla基金會(huì)明確聲明司法管轄權(quán)歸屬加州。根據(jù)前述司法管轄區(qū)與出口管制的關(guān)系，Mozallia基金會(huì)聲明司法管轄權(quán)，只是表示出現(xiàn)各類糾紛都將以加州SantaClara的法庭裁決為準(zhǔn)[9]。如前所述，這并不表示其管理的開源項(xiàng)目默認(rèn)受到出口管制。

RISC-V基金會(huì)隸屬于Linux基金會(huì)，沒有特別聲明受美國(guó)出口管制，因此RISC-V基金會(huì)擁有的RISC-V開放指令集標(biāo)準(zhǔn)并不會(huì)受美國(guó)出口管制。值得注意的是，RISC-V基金會(huì)的會(huì)員條款中也指明了其司法管轄權(quán)在美國(guó)特拉華州[17]。根據(jù)前述司法管轄權(quán)與出口管制的關(guān)系，RISC-V基金會(huì)聲明司法管轄權(quán)，表示所有圍繞會(huì)員條款產(chǎn)生的糾紛都將交由指定法庭裁決，但并不表示其管理的開源項(xiàng)目默認(rèn)受到出口管制。

3.2開源許可證

報(bào)告調(diào)研了6個(gè)開源許可證，即GPL、LGPL、BSD、MIT、Mozilla、Apache，均未涉及與政府出口管制無(wú)關(guān)的聲明。詳細(xì)內(nèi)容請(qǐng)見文末附表2.

3.3代碼托管平臺(tái)

報(bào)告調(diào)研了3個(gè)代碼托管平臺(tái)，即GitHub、SourceForge和GoogleCode。該三個(gè)平臺(tái)均明確聲明遵守美國(guó)出口管制條例，并且司法管轄權(quán)均在加州（即需按加州法律解決糾紛）。詳細(xì)內(nèi)容請(qǐng)見文末附表3。

以GitHub為例，GitHub明確聲明其GitHubEnterpriseServer是被出口管制，不能出口到被制裁國(guó)家（如伊朗等）的。至于GitHub網(wǎng)站的普通功能，由于架設(shè)在美國(guó)的GitHub服務(wù)器的上傳和下載的行為都需要遵從出口管制和美國(guó)法律，所以其正常使用是可能會(huì)被管制的。亦即，GitHub上的開源項(xiàng)目代碼在遵守項(xiàng)目自身的開源許可證的同時(shí),也可能作為GitHub上的信息（Information）遵從出口管制和美國(guó)法律[18]。表面上看，這兩者在是否受到出口管制這一問題上會(huì)有一定的矛盾，但根據(jù)前文介紹的司法管轄權(quán)，最終如何解讀取決于美國(guó)法院的判決。華為也很可能在此次“實(shí)體名單”事件中因?yàn)镚itHub因素使其訪問開源項(xiàng)目受到影響。日前，報(bào)告作者通過跟一名伊朗的大學(xué)教授郵件咨詢得知，GitHub的訪問和使用功能在伊朗目前是可用的，但不排除GitHub有在將來限制伊朗訪問的可能性。

開源項(xiàng)目如何規(guī)避出口管制風(fēng)險(xiǎn)？存在四種情況，但都需要開源項(xiàng)目發(fā)起人或開發(fā)者支持與配合：

對(duì)于已存放于GitHub的開源項(xiàng)目，若同時(shí)存放于美國(guó)以外其他托管平臺(tái)，且開發(fā)者分別獨(dú)立提交更新到GitHub與其他托管平臺(tái)，且開發(fā)過程中不從GitHub下載任何信息，那么從美國(guó)以外的托管平臺(tái)獲取開源項(xiàng)目不受美國(guó)出口管制；

對(duì)于已存放于GitHub的開源項(xiàng)目，若發(fā)起人本地?fù)碛懈北?，且未從GitHub上下載更新，那么發(fā)起人可在美國(guó)以外其他托管平臺(tái)創(chuàng)建開源項(xiàng)目，并將副本上傳到該托管平臺(tái)。此后開發(fā)者分別獨(dú)立提交更新到GitHub與美國(guó)以外的托管平臺(tái)，且開發(fā)過程中不從GitHub下載任何信息,那么從美國(guó)以外的托管平臺(tái)獲取開源項(xiàng)目不受美國(guó)出口管制；

對(duì)于新啟動(dòng)的開源項(xiàng)目，發(fā)起者可在美國(guó)以外的托管平臺(tái)和GitHub上同時(shí)創(chuàng)建項(xiàng)目，且開發(fā)者分別獨(dú)立提交更新到美國(guó)以外的托管平臺(tái)與GitHub，且開發(fā)過程中不從GitHub下載任何信息，那么從美國(guó)以外的托管平臺(tái)獲取開源項(xiàng)目不受美國(guó)出口管制；

對(duì)于新啟動(dòng)的開源項(xiàng)目，發(fā)起者可直接在美國(guó)以外的托管平臺(tái)創(chuàng)建項(xiàng)目，其后開發(fā)者向該托管平臺(tái)更新，那么從該托管平臺(tái)獲取開源項(xiàng)目不受美國(guó)出口管制。

國(guó)內(nèi)開源現(xiàn)狀

4.1開源力量和開源組織

此次“開源危機(jī)”在國(guó)內(nèi)開源各界掀起了軒然大波，這無(wú)疑凸顯了國(guó)內(nèi)對(duì)開源項(xiàng)目的重視。但長(zhǎng)期以來，中國(guó)用戶以使用為主，對(duì)開源社區(qū)貢獻(xiàn)較少。

近年來，國(guó)內(nèi)開源社區(qū)對(duì)國(guó)際開源項(xiàng)目的貢獻(xiàn)已經(jīng)日趨矚目，以華為、阿里、百度、騰訊等公司為首的公司和個(gè)人已經(jīng)在國(guó)際各開源項(xiàng)目中占據(jù)了越來越重要的角色。例如華為在LinuxKernel5.1中的patch提交數(shù)量位居全球第五(如圖2所示)；阿里、騰訊和百度在GitHub上的貢獻(xiàn)分列全球第九、十二和十五(如圖3所示)，這都說明了國(guó)內(nèi)各界對(duì)開源領(lǐng)域的貢獻(xiàn)。

國(guó)內(nèi)的開源組織也正逐漸走上舞臺(tái)，例如倡導(dǎo)發(fā)展開源芯片的中國(guó)開放指令生態(tài)（RISC-V）聯(lián)盟和中國(guó)RISC-V產(chǎn)業(yè)聯(lián)盟，致力于開源軟件的中國(guó)開源軟件推進(jìn)聯(lián)盟，關(guān)注開源人工智能等的新一代人工智能產(chǎn)業(yè)技術(shù)創(chuàng)新戰(zhàn)略聯(lián)盟，聚焦工業(yè)4.0的開源工業(yè)互聯(lián)網(wǎng)聯(lián)盟，著力于云計(jì)算行業(yè)的云計(jì)算開源產(chǎn)業(yè)聯(lián)盟和中國(guó)開源云聯(lián)盟等，都彰顯了國(guó)內(nèi)開源社區(qū)蓬勃的生命力。

圖2 華為在LinuxKernel5.1中的patch提交數(shù)量位居全球第五

圖3 阿里、騰訊和百度在GitHub上的貢獻(xiàn)分列全球第九、十二和十五

4.2代碼托管平臺(tái)和開源許可證

中國(guó)開源項(xiàng)目托管平臺(tái)仍處于起步階段，與GitHub等國(guó)際知名托管平臺(tái)差距甚大，亟需加強(qiáng)。近年來，托管平臺(tái)也受到越來越重視。國(guó)內(nèi)的開源代碼托管平臺(tái)，如openI啟智平臺(tái)[16]和開源中國(guó)的碼云[12]等，展示出不凡的潛力。如openI啟智平臺(tái)提供代碼托管服務(wù)，并建立了開源社區(qū)，積極促進(jìn)人工智能領(lǐng)域的軟硬件開源。

在開源許可證方面，中國(guó)開始重視起來。例如openI啟智平臺(tái)發(fā)布的“啟智開源許可證1.1”，也說明了國(guó)內(nèi)對(duì)開源項(xiàng)目的知識(shí)產(chǎn)權(quán)意識(shí)正在逐步增強(qiáng)，為將來發(fā)展國(guó)內(nèi)主導(dǎo)的開源項(xiàng)目奠定了良好的基礎(chǔ)。

總結(jié)和建議

綜上，本報(bào)告總結(jié)如下：

其一，合理的開源基金會(huì)管理辦法可以規(guī)避美國(guó)出口管制。選擇開源項(xiàng)目時(shí)務(wù)必要同時(shí)仔細(xì)閱讀三個(gè)聲明：所屬開源基金會(huì)的聲明，項(xiàng)目本身的聲明，所用的開源許可證聲明。

其二，開源許可證關(guān)聯(lián)的是知識(shí)產(chǎn)權(quán)（版權(quán)），與出口管制無(wú)關(guān)。現(xiàn)有常用開源許可證并沒有在知識(shí)產(chǎn)權(quán)層面上對(duì)中國(guó)進(jìn)行管制，但不排除未來會(huì)出現(xiàn)將使用范圍限定在美國(guó)的開源許可證的可能。

其三，代碼托管平臺(tái)同時(shí)受出口管制和司法管轄權(quán)的限制，是開源最大的風(fēng)險(xiǎn)，因?yàn)楝F(xiàn)有GitHub等平臺(tái)是默認(rèn)同意遵守美國(guó)的出口管制條例和美國(guó)法律的。在開源項(xiàng)目發(fā)起人與開發(fā)者的支持和配合下，一部分開源項(xiàng)目有可能規(guī)避托管平臺(tái)帶來的出口管制。但從長(zhǎng)遠(yuǎn)來看，中國(guó)必須建立起自己的開源項(xiàng)目托管平臺(tái)，發(fā)展自身的開源力量，并以更開放的方式吸引全世界的開源愛好者。

此次“危機(jī)”折射出的是國(guó)內(nèi)工業(yè)界和學(xué)術(shù)界對(duì)國(guó)外開源軟件的依賴，一旦美國(guó)在法律層面上限制開源項(xiàng)目的使用范圍，即使僅對(duì)部分核心開源軟件進(jìn)行限制，也會(huì)對(duì)國(guó)內(nèi)各界產(chǎn)生釜底抽薪式的影響。因此，提倡和發(fā)展不受美國(guó)出口管制和司法管轄權(quán)限制的開源項(xiàng)目，完善中國(guó)自己的開源社區(qū)與托管平臺(tái)等開源基礎(chǔ)設(shè)施，才能更好地解決這個(gè)問題。如何探索發(fā)展更加開放和自由的開源社區(qū)，也將是未來開源各界需要重點(diǎn)思考的問題。

關(guān)于CRVA

中國(guó)開放指令生態(tài)（RISC-V）聯(lián)盟（英文縮寫為 CRVA ; China RISC-V Alliance）圍繞 RISC-V 指令集，以促進(jìn)開源開放生態(tài)發(fā)展為目標(biāo)，以重點(diǎn)骨干企業(yè)、科研院所為主體，整合各方資源，建立產(chǎn)、學(xué)、研、用深度融合的聯(lián)盟，推動(dòng)協(xié)同創(chuàng)新攻關(guān)，促進(jìn) RISC-V 相關(guān)開源技術(shù)的開發(fā)與共享，推廣相關(guān)技術(shù)和產(chǎn)品的應(yīng)用，探索體制機(jī)制創(chuàng)新，推進(jìn) RISC-V 生態(tài)在國(guó)內(nèi)的快速發(fā)展。