如何破解“開源危機”？開源風險分析與對策中國權(quán)威報告出爐

如何破解“開源危機”？開源風險分析與對策中國權(quán)威報

告出爐

來源：中國開放指令生態(tài)RISCV聯(lián)盟

【新智元導讀】最近，美國對中國動作頻繁，以華為為代表的中國科技

企業(yè)受到了影響。今天和大家分享一份來自中國開放指令生態(tài)（RISC-

V）聯(lián)盟的權(quán)威報告——《開源項目風險分析與對策建議》，幫助大家看

清當前開源項目所面臨的風險。

開源需獨立。

近日，美國對中國企業(yè)的限制動作不斷：

?5月15日，美國將華為公司及其附屬公司列入出口管制“實體

名單”。

?隨后美國谷歌公司宣布將停止提供安卓（Andriod）系統(tǒng)的技

術(shù)支持與服務，而安卓系統(tǒng)一直是世界知名的開源項目。

?進一步人們又發(fā)現(xiàn)美國開源代碼托管平臺GitHub與美國非盈利

公司Apache基金會均有明確聲明受美國出口管制約束。

因而國內(nèi)各界開始重新審視開源項目的法律約束問題。人們呼吁：我們也

需要更多“開源自立”。

但怎樣實現(xiàn)“開源自立”，目前的開源項目存在哪些風險，美國對開源的出口

管制約束對我們有怎樣的影響呢？

近日，中國開放指令生態(tài)（RISC-V）聯(lián)盟（英文縮寫為CRVA)

發(fā)布權(quán)威報告

《開源項目風險分析與對策建議》，給出了對“開源自立”的細致調(diào)

研和建議。

報告鏈接：

/documents/A-Report-on-the-Risks-and-Suggestions-of-

報告對12個知名開源基金會、6個常用開源許可證和3個代碼托管平臺

進行了調(diào)研，分析它們在出口管制、司法管轄權(quán)和開源許可證下受到的約束

以及潛在風險。分析指出：

雖然開源基金會和開源許可證可以允許不涉及加密功能的開源項目規(guī)避出

口管制，但因為代碼托管平臺會受到出口管制，因此存在這些代碼托管

平臺的開源項目仍然會受到出口管制的影響。

報告還梳理了國內(nèi)開源現(xiàn)狀：中國企業(yè)在以LinuxKernel和GitHub為代表

的開源項目和托管平臺上的貢獻都非常突出，并涌現(xiàn)出眾多開源組織與開源

聯(lián)盟，但仍需加快開源代碼托管平臺建設(shè)，以備極端情況下依然能自由訪問

開源項目。

以下是報告全文：

最大的風險來源：代碼托管平臺同時受出口管制和司法管轄權(quán)

的限制

開源，是指源代碼、文檔等設(shè)計內(nèi)容開放的開發(fā)模式，其版權(quán)由開源協(xié)議定

義。開源用戶可依據(jù)開源協(xié)議自由獲取設(shè)計內(nèi)容并根據(jù)需求自行修改。

開源的主要要素包括：

?開源基金會

?開源許可證

?開源項目

?開源代碼托管平臺等（圖1為各要素之間的關(guān)系）。

當前，絕大多數(shù)開源基金會和開源項目都位于美國，幾乎所有開源許可證和

代碼托管平臺也都由美國的學術(shù)界和工業(yè)界主導。

因此，一個需要理清的問題是那些或隸屬于美國開源基金會、或使用美國主

導的開源許可證、或存放于美國代碼托管平臺上的開源項目是否會受到美國

的出口管制？

圖1開源要素關(guān)系圖

本報告針對上述問題開展了調(diào)研，分析了美國出口管制（ExportControl）

條款、司法管轄權(quán)（Jurisdiction）、開源許可證（License）的作用范圍以

及相互之間的關(guān)系，進一步具體分析了12個知名開源基金會、6個常用的

開源許可證與3個代碼托管平臺受美國法律的影響，得到以下三點結(jié)論與建

議：

1.合理的開源基金會管理辦法可以規(guī)避美國出口管制。選擇開源項目時

務必要同時仔細閱讀三個聲明：所屬開源基金會的聲明、開源項目本

身的聲明、所用的開源許可證聲明。

2.開源許可證關(guān)聯(lián)的是知識產(chǎn)權(quán)（版權(quán)），與出口管制無關(guān)。現(xiàn)有常用

開源許可證并沒有在知識產(chǎn)權(quán)層面上對中國進行管制，但不排除未來

會出現(xiàn)將使用范圍限定在美國的開源許可證的可能。

3.現(xiàn)有GitHub等代碼托管平臺默認同意遵守美國的出口管制條例和美

國法律，因此代碼托管平臺同時受出口管制和司法管轄權(quán)的限制，是

最大的風險。長遠來看，中國必須建立開源項目托管平臺，并以更開

放的方式吸引全世界的開源愛好者。

最后，報告梳理了國內(nèi)開源現(xiàn)狀。一方面，中國IT企業(yè)受益于開源軟件，

但多數(shù)仍以使用開源軟件為主，只有少數(shù)企業(yè)積極主導或參與開源項目，但

呈現(xiàn)上升趨勢。另一方面，中國開源項目托管平臺仍處于起步階段，與

GitHub等國際知名托管平臺差距甚大，亟需加強。

開源相關(guān)的三大類法律約束

開源相關(guān)的法律約束涉及三類，即出口管制、司法管轄權(quán)與開源許可證。

2.1出口管制（ExportControl）

國家出于政治、經(jīng)濟、軍事和對外政策的需要，制定的商品出口的法律和規(guī)

章，以對出口國別和出口商品實行控制。美國的出口管制條例（EAR，

ExportAdministrationRegulations）主要規(guī)定是否能從美國出口貨物到

外國，以及是否可以從外國“再出口（re-export）”到另一個外國，其中包

含了計算機軟硬件。而按照EAR的規(guī)定（734.7b和742.15b），所有“公

開可獲得（publiclyavailable）”的源代碼（不含加密軟件以及帶加密功能

的其他開源軟件），都是不被出口管制的。而“公開可獲得”的帶加密功能的

源代碼，雖不會被限制出口，但需登記備案（5D002）[1][2]，這也就是

ASF網(wǎng)站上的ASFProductClassificationMatrix[3]的由來。

默認情況：開源項目（除含加密功能的開源項目需備案外），都屬于“公開

可獲得”的代碼，可以正常使用。

極端情況下的潛在風險：如果一個開源項目或開源組織聲明遵從美國的出口

管制條例，此時一旦美國修改EAR，將高性能軟件、EDA軟件等一些核心

基礎(chǔ)軟件加入到管制中（這并非不可能，2018年11月，美國BIS曾就AI

和機器學習等新興技術(shù)是否加入管制名單征求公眾意見[13]），并且將目前

“備案即不被管制”（這其中包含了ASF幾乎所有開源項目），修改為“備案

且需要被管制”，那就意味著大量核心開源項目將受到出口管制。

2.2司法管轄權(quán)（Jurisdiction）

司法管轄權(quán)又稱為審判權(quán)，是指法院或司法機構(gòu)對訴訟進行裁決和判決的權(quán)

力[4]。使用網(wǎng)站或注冊會員時，如果其使用條款（TermsofUse）或會員條

款（MembershipAgreement）中指定了司法管轄權(quán)的歸屬，則代表合同

雙方同意只承認指定的司法機關(guān)做出的判決為賠償?shù)囊罁?jù)。

極端情況下的潛在風險：如果一個開源項目或開源組織指定了司法管轄權(quán)歸

屬于美國某法院，那么所有圍繞使用條款展開的糾紛，都將以該美國法院的

判決為準。

2.3開源許可證（License）

開源許可證屬于軟件許可證的一種，而軟件許可證是一種具有法律性質(zhì)的合

同或指導，目的在于規(guī)范受著作權(quán)保護的軟件的使用或散布行為[5-6]。當

下常用開源許可證，如BSD、MIT、GPL等都是圍繞代碼的版權(quán)說明，修

改后是否可以閉源等問題展開的（早期的開源許可證如MPL1.1等，在協(xié)議

中指定了其司法管轄權(quán)在美國加州，但現(xiàn)在皆已棄用）。換言之，當下常用

的開源許可證保護的是知識產(chǎn)權(quán)，其自身與出口管制和司法管轄權(quán)并無關(guān)

聯(lián)。

默認情況：開源許可證的作用為保護知識產(chǎn)權(quán)，不涉及其他的國家法律層面

的條款（如出口管制、司法管轄權(quán)等）。

極端情況下的潛在風險：如果美國SF、ASA以國防安全為由，制定一

個新的開源許可證，限制其資助的所有開源項目只能在美國使用和發(fā)布，則

美國以外的其他國家將失去這部分開源項目的使用權(quán)。國內(nèi)公司一旦使用，

就會侵犯知識產(chǎn)權(quán)。

2.4三者之間的關(guān)系

表1總結(jié)了三類法律約束。可以看出，出口管制、司法管轄權(quán)和開源許可證

之間并無直接聯(lián)系，它們分別從商品出口、訴訟的審判權(quán)和知識產(chǎn)權(quán)這三個

方面界定了不同的法律約束。

表1.法律約束總結(jié)

2.5對商業(yè)和教育等不同用戶的影響

從出口管制的角度，美國的制裁針對的主要是“商業(yè)行為”，目前尚未發(fā)現(xiàn)對

教育和學術(shù)有明確影響；從知識產(chǎn)權(quán)（亦即開源許可證）的角度，部分許可

證會區(qū)分商業(yè)和教育用途，目前尚未發(fā)現(xiàn)明確變化。

國際開源組織與項目

一個完整的生態(tài)包含開源基金會（組織）、開源項目、開源許可證和代碼托

管平臺等多方面要素，它們各自的條款聲明和受到的法律制約都不盡相同。

3.1開源基金會

開源基金會管理開源項目，但基金會的管理辦法差異較大，而基金會旗下的

開源項目也可以選擇不同管理辦法。詳細內(nèi)容請見文末附表1。舉例：

?Linux基金會自身的管理辦法不受美國出口管制[7]，其旗下的項目包括

LinuxKernel等默認遵循該管理辦法，但虛擬化項目Xen明確要求其

使用并出口者遵循美國出口管制[8]，就屬于Linux基金會中的特例；

?Apache基金會的管理辦法明確說明遵循美國出口管制，旗下絕大多數(shù)

項目如Hadoop、Spark等，在備案（5D002）后即不受出口管制

[3]；

?Mozilla基金會明確聲明司法管轄權(quán)歸屬加州。根據(jù)前述司法管轄區(qū)與

出口管制的關(guān)系，Mozallia基金會聲明司法管轄權(quán)，只是表示出現(xiàn)各

類糾紛都將以加州SantaClara的法庭裁決為準[9]。如前所述，這并

不表示其管理的開源項目默認受到出口管制。

?RISC-V基金會隸屬于Linux基金會，沒有特別聲明受美國出口管制，因

此RISC-V基金會擁有的RISC-V開放指令集標準并不會受美國出口管

制。值得注意的是，RISC-V基金會的會員條款中也指明了其司法管轄

權(quán)在美國特拉華州[17]。根據(jù)前述司法管轄權(quán)與出口管制的關(guān)系，

RISC-V基金會聲明司法管轄權(quán)，表示所有圍繞會員條款產(chǎn)生的糾紛都

將交由指定法庭裁決，但并不表示其管理的開源項目默認受到出口管

制。

3.2開源許可證

報告調(diào)研了6個開源許可證，即GPL、LGPL、BSD、MIT、Mozilla、

Apache，均未涉及與政府出口管制無關(guān)的聲明。詳細內(nèi)容請見文末附表2.

3.3代碼托管平臺

報告調(diào)研了3個代碼托管平臺，即GitHub、SourceForge和

GoogleCode。該三個平臺均明確聲明遵守美國出口管制條例，并且司法管

轄權(quán)均在加州（即需按加州法律解決糾紛）。詳細內(nèi)容請見文末附表3。

以GitHub為例，GitHub明確聲明其GitHubEnterpriseServer是被出口

管制，不能出口到被制裁國家（如伊朗等）的。至于GitHub網(wǎng)站的普通功

能，由于架設(shè)在美國的GitHub服務器的上傳和下載的行為都需要遵從出口

管制和美國法律，所以其正常使用是可能會被管制的。亦即，GitHub上的

開源項目代碼在遵守項目自身的開源許可證的同時,也可能作為GitHub上的

信息（Information）遵從出口管制和美國法律[18]。表面上看，這兩者在

是否受到出口管制這一問題上會有一定的矛盾，但根據(jù)前文介紹的司法管轄

權(quán)，最終如何解讀取決于美國法院的判決。華為也很可能在此次“實體名單”

事件中因為GitHub因素使其訪問開源項目受到影響。日前，報告作者通過

跟一名伊朗的大學教授郵件咨詢得知，GitHub的訪問和使用功能在伊朗目

前是可用的，但不排除GitHub有在將來限制伊朗訪問的可能性。

開源項目如何規(guī)避出口管制風險？存在四種情況，但都需要開源項目發(fā)起人

或開發(fā)者支持與配合：

?對于已存放于GitHub的開源項目，若同時存放于美國以外其他托管平

臺，且開發(fā)者分別獨立提交更新到GitHub與其他托管平臺，且開發(fā)

過程中不從GitHub下載任何信息，那么從美國以外的托管平臺獲取

開源項目不受美國出口管制；

?對于已存放于GitHub的開源項目，若發(fā)起人本地擁有副本，且未從

GitHub上下載更新，那么發(fā)起人可在美國以外其他托管平臺創(chuàng)建開源

項目，并將副本上傳到該托管平臺。此后開發(fā)者分別獨立提交更新到

GitHub與美國以外的托管平臺，且開發(fā)過程中不從GitHub下載任何

信息,那么從美國以外的托管平臺獲取開源項目不受美國出口管制；

?對于新啟動的開源項目，發(fā)起者可在美國以外的托管平臺和GitHub上

同時創(chuàng)建項目，且開發(fā)者分別獨立提交更新到美國以外的托管平臺與

GitHub，且開發(fā)過程中不從GitHub下載任何信息，那么從美國以外

的托管平臺獲取開源項目不受美國出口管制；

?對于新啟動的開源項目，發(fā)起者可直接在美國以外的托管平臺創(chuàng)建項

目，其后開發(fā)者向該托管平臺更新，那么從該托管平臺獲取開源項目

不受美國出口管制。

國內(nèi)開源現(xiàn)狀

4.1開源力量和開源組織

此次“開源危機”在國內(nèi)開源各界掀起了軒然大波，這無疑凸顯了國內(nèi)對開源

項目的重視。但長期以來，中國用戶以使用為主，對開源社區(qū)貢獻較少。

近年來，國內(nèi)開源社區(qū)對國際開源項目的貢獻已經(jīng)日趨矚目，以華為、阿

里、百度、騰訊等公司為首的公司和個人已經(jīng)在國際各開源項目中占據(jù)了越

來越重要的角。例如華為在LinuxKernel5.1中的patch提交數(shù)量位居全

球第五(如圖2所示)；阿里、騰訊和百度在GitHub上的貢獻分列全球第

九、十二和十五(如圖3所示)，這都說明了國內(nèi)各界對開源領(lǐng)域的貢獻。

國內(nèi)的開源組織也正逐漸走上舞臺，例如倡導發(fā)展開源芯片的中國開放指令

生態(tài)（RISC-V）聯(lián)盟和中國RISC-V產(chǎn)業(yè)聯(lián)盟，致力于開源軟件的中國開

源軟件推進聯(lián)盟，關(guān)注開源人工智能等的新一代人工智能產(chǎn)業(yè)技術(shù)創(chuàng)新戰(zhàn)略

聯(lián)盟，聚焦工業(yè)4.0的開源工業(yè)互聯(lián)網(wǎng)聯(lián)盟，著力于云計算行業(yè)的云計算開

源產(chǎn)業(yè)聯(lián)盟和中國開源云聯(lián)盟等，都彰顯了國內(nèi)開源社區(qū)蓬勃的生命力。

圖2華為在LinuxKernel5.1中的patch提交數(shù)量位居全球第五

圖3阿里、騰訊和百度在GitHub上的貢獻分列全球第九、十二和十五

4.2代碼托管平臺和開源許可證

中國開源項目托管平臺仍處于起步階段，與GitHub等國際知名托管平臺差

距甚大，亟需加強。近年來，托管平臺也受到越來越重視。國內(nèi)的開源代碼

托管平臺，如openI啟智平臺[16]和開源中國的碼云[12]等，展示出不凡的

潛力。如openI啟智平臺提供代碼托管服務，并建立了開源社區(qū)，積極促

進人工智能領(lǐng)域的軟硬件開源。

在開源許可證方面，中國開始重視起來。例如openI啟智平臺發(fā)布的“啟智

開源許可證1.1”，也說明了國內(nèi)對開源項目的知識產(chǎn)權(quán)意識正在逐步增強，

為將來發(fā)展國內(nèi)主導的開源項目奠定了良好的基礎(chǔ)。

總結(jié)和建議

綜上，本報告總結(jié)如下：

其一，合理的開源基金會管理辦法可以規(guī)避美國出口管制。選擇開源項目時

務必要同時仔細閱讀三個聲明：所屬開源基金會的聲明，項目本身的聲明，

所用的開源許可證聲明。

其二，開源許可證關(guān)聯(lián)的是知識產(chǎn)權(quán)（版權(quán)），與出口管制無關(guān)。現(xiàn)有常用

開源許可證并沒有在知識產(chǎn)權(quán)層面上對中國進行管制，但不排除未來會出現(xiàn)

將使用范圍限定在美國的開源許可證的可能。

其三，代碼托管平臺同時受出口管制和司法管轄權(quán)的限制，是開源最大的風

險，因為現(xiàn)有GitHub等平臺是默認同意遵守美國的出口管制條例和美國法

律的。在開源項目發(fā)起人與開發(fā)者的支持和配合下，一部分開源項目有可能

規(guī)避托管平臺帶來的出口管制。但從長遠來看，中國必須建立起自己的開源

項目托管平臺，發(fā)展自身的開源力量，并以更開放的方式吸引全世界的開源

愛好者。

此次“危機”折射出的是國內(nèi)工業(yè)界和學術(shù)界對國外開源軟件的依賴，一旦美

國在法律層面上限制開源項目的使用范圍，即使僅對部分核心開源軟件進行

限制，也會對國內(nèi)各界產(chǎn)生釜底抽薪式的影響。因此，提倡和發(fā)展不受美國

出口管制和司法管轄權(quán)限制的開源項目，完善中國自己的開源社區(qū)與托管平

臺等開源基礎(chǔ)設(shè)施，才能更好地解決這個問題。如何探索發(fā)展更加開放和自

由的開源社區(qū)，也將是未來開源各界需要重點思考的問題。

關(guān)于CRVA

中國開放指令生態(tài)（RISC-V）聯(lián)盟（英文縮寫為CRVA;ChinaRISC-V

Alliance）圍繞RISC-V指令集，以促進開源開放生態(tài)發(fā)展為目標，以重點

骨干企業(yè)、科研院所為主體，整合各方資源，建立產(chǎn)、學、研、用深度融合

的聯(lián)盟，推動協(xié)同創(chuàng)新攻關(guān)，促進RISC-V相關(guān)開源技術(shù)的開發(fā)與共享，推

廣相關(guān)技術(shù)和產(chǎn)品的應用，探索體制機制創(chuàng)新，推進RISC-V生態(tài)在國內(nèi)的

快速發(fā)展。