威尼斯手机平台-电子正规官网登录首页

热门关键词: 威尼斯手机平台,威尼斯登录首页,威尼斯正规官网
威尼斯正规官网许可证分发的软件也受美利坚合营国开口拘押,所以看起来开源软件是一件事
分类:新闻公告

本文来自霍炬的微信公共帐号“歪理邪说”,已获授权转载。
原文链接:

威尼斯正规官网 1

开源软件到底受不受美国政府管制?会不会应美国政府的要求禁运?最近这个话题成了热点。遗憾的是,到现在中文文章里我没看到能把这个事情说清楚的文章,这让我非常惊讶。中国科技和互联网行业从开源软件中受益极大,也有无数直接和间接参与者,但是这些基本事实还是糊涂的,比较遗憾。 

安卓遭禁风波未平,Apache许可证分发的软件也将受美国出口管制?专家解读:无需恐慌,但要警醒了!

不卖关子,我先说结论,再来讲历史和过程。这个事情的奥秘在“开源软件”这四个字上,用一个不太精确的说法概括结论,“开源(源代码)”是受美国宪法第一修正案保护的言论自由,而“软件”是一种产品,受出口管制法律管制。所以看起来开源软件是一件事,其实它包含了两个不同的部分。无论任何许可证,无论是GPL还是Apache或是MIT,采用它们的代码都不会受到美国管制法律影响。但是分发尤其是分发编译打包之后的成品,那个叫做软件,软件就脱离了第一修正案保护的范围, 和大部分真实商品一样,适用于所有管制法律。所以丝毫不用担心有一天美国不允许别人使用源码,不允许别人使用Linux内核,这件事美国政府几乎是不可能做到的。 

开源软件也要遭禁?专家:无需恐慌。

大多数人认为软件和源码是一回事,理解不了为什么它们适用法律完全不同?答案也很简单,源码被判定属于言论自由,这是一群美国工程师、科学家、法学家冒着生命危险和职业代价,和美国政府以及几大执法部门抗争而争取回来的权利。他们这么做是为了对抗把加密软件列入军火管制范围的法律,而为什么加密软件被算作军火管控?这要从历史说起。 

昨日,安卓遭禁的新闻引发轩然大波。随后,开源中国在其博客中指出:Apache 许可证分发的软件也受美国出口管制。

我们要追溯到80年前,二战时期,那是计算机行业的祖师爷阿兰图灵活跃的时代,那个时候,今天我们所说的计算机还没有诞生,“图灵机”这个计算机的理论模型刚刚提出不久。尽管计算机还没有产生,但是机械驱动的加密机已经开始在军队中普及,纳粹德国使用的“Enigma”密码机就是其中最可靠的一种。为了破译德军密码,盟国各国都有相当大的投入,法国人贡献了情报,波兰数学家和密码学家贡献了破解理论…英国军情部门统筹了全局,图灵带领的小组在这里制造出了专门用来解密的“密码炸弹”破译机,最终使得盟军可以完全掌握德军情报,这和盟军取得二战胜利有密不可分的关系。不要认为这只是欧洲的事,亚洲战场上日本同样使用了德军的密码机。关于这段历史,70年代英国档案解密之后已经有无数作品讲述它,这里不说细节了。

此消息一出,众多网友呼吁程序员们:请尽快将代码在国内备份

威尼斯正规官网 2

Apache 软件基金会这个全球最大的开源软件基金会官网上有这样的内容:

图:图灵的破译机密码炸弹照片

这段话的大概意思是除非经美国政府正式授权,否则 ASF 软件或技术不得直接或间接出口或再出口到受美国禁运或贸易制裁的任何地方。

加密和解密技术伴随战争而生,产生于军方,它在很长历史时期内都被认为是军事产品,和武器一样被算作军火管制范围自然不意外。在这个时期,这些系统都是硬件,普通人也接触不到。从80年代开始,PC的兴起让软件加密和解密也开始发展,同时商业尤其是金融行业的发展,使得军事用途之外的密码需求急剧增加,于是美国政府开始放宽密码产品的管制范围,商业应用得以使用这些技术,但是超过40位密钥的加密产品,仍然出于被禁止出口的范围,要出口需要事先向美国政府申请许可,美国政府仍然把加密软件当作军火管理。

除此之外,GitHub 这个全球最大的开源代码托管平台官网上也赫然写着:

一转眼,时间到了1991年。程序员Phil Zimmermann写了第一个个人可以用的高强度加密软件,叫做PGP,PGP使用密钥长度大于128位,远远超过了美国政府的管制规定。之后他把源码放到互联网上让人们随便下载。既然放在了网上,自然就不是只有美国公民可以下载到了,当美国之外也有人下载的时候,这件事就惊动了美国政府。之后美国政府开始对他进行犯罪调查,这个调查使得Zimmermann在当时的技术和法律圈子瞬间出名,人们开始为他提供各种支持。之后Zimmermann决定通过美国宪法第一修正案对于出版自由的保护来规避这个问题,他通过MIT出版社出版了一本书,书的内容就是PGP的全部源码,买到书的人只需扫描和OCR全书,就可以得到PGP的代码,之后自己编译,就是可用的加密软件。技术和法律在此时发生了第一次碰撞,技术以极端灵活的特性顺利规避了法律制约,算勉强获胜。之后,一系列算法通过印刷品的方式发行,后来人们为了抗议这种管制方法,甚至用几行代码实现了RSA加密算法,然后把这些代码印在T恤上,或者干脆当作纹身把代码纹在胳膊上招摇过市。虽然这个问题暂时绕过去了,但是越来越多的人开始考虑这个新问题:既然源代码印在书籍上,就算作言论自由,那么源代码本身能不能被算作言论呢,如果算的话,在网上发表源码,是否应该被第一修正案保护? 

、GitHub Enterprise Server 以及您上传到任一产品的信息可能受美国出口管制法律的约束,包括美国出口管理条例。

威尼斯正规官网 3威尼斯正规官网 4

该条款指出,GitHub Enterprise Server 不得出售、出口或再出口到清单中的国家,清单目前已经包含古巴、伊朗、朝鲜、苏丹与叙利亚,并且随时可能会发生变化。

图片:军火T恤,上面印着代码,写着“这件T恤被分类为军火,不能出口也不能给外国人看到”

细思极恐,开源软件何去何从

威尼斯正规官网 5

除了GitHub之外,知名公众号博主魏永明指出还有一个至关重要的开源软件也值得关注 :Linux 内核。Linux 内核是由来自世界各地的开发者一同协作完成的,知识产权所有者遍布全球,只是任何组织和个人如果要修改内核,需要公开其源代码,在安全上多少有点隐患。然而,Linux 基金会是在美国注册的,且 Linux 内核的分发服务器、git 仓库服务器也都在美国的,所以美国如果说 Linux 内核也受美国的出口法律法规管辖,我们也无法反驳。

图片:“军火”代码纹身

其实还远不止这些!

时间继续推移,软件、互联网和计算机行业继续发展,越来越多的人遇到了类似的问题。开始有更多的人挑战出口管制法律。1995和1996年,连续出现两个案件,Junger v. US Department of State 和 Bernstein v. US Department of Justice,前者是大学教授Junger和美国国务院的诉讼,后者是加州伯克利大学的学生Bernstein和美国司法部之间的诉讼。这两个案例原因不同,诉讼对象也不同。 教授Junger是要在课上为学生讲述技术相关的法律,其中有关于软件加密的技术,但听课的学生中有外国留学生,因此也落入了出口管制限制的范围,并且面临了百万美金的巨额罚款和最高10年的刑期。学生Bernstein是为了公开发表自己发明的加密算法论文,并且希望可以公开的,不受限制的参加学术会议讨论他的算法。两个问题指向了同一个答案,软件源代码应该是一种言论自由,并且应该受宪法第一修正案保护。在电子前线基金会的帮助下,在大批律师和法学家、科学家、工程师的共同努力下,一直到2000年之后,最终的胜利终于到来,两个案例分别在第六巡回上诉法庭和第九巡回上诉法庭得到了同样的判决:软件源代码是言论自由,受宪法第一修正案的保护。特别值得注意的是,第九巡回法院和第六巡回法院分别位于美国西部和南部,两个相同的判决说明了,无论是自由派还是保守派,都持同样的结论。从此之后,美国政府再也不能试图限制软件源码流通了。

人工智能领域的同学应该对当前最火的开源框架TensorFlow并不陌生,但余凯早前就曾在朋友圈发表呼吁大家用 caffe、mxnet 等框架,避免使用 TensorFlow。

知道这些历史之后,很容易就可以得到确定的结论:美国政府没有能力对软件源代码实施禁运。无论是美国公民写的代码,还是其他国家人写的放在美国服务器上的代码,都一样,源代码永远是自由的。 那么为什么Apache ASF托管项目许可中会包含“可能受到美国出口法规管制”的字样,而GPL许可证根本没有这个内容呢?因为GPL是一种只管源代码的许可证,并且它有传染性,包含GPL的项目本身也必须开源,所有通过GPL许可证发布的产品必须提供代码,它根本不涉及分发和不开源的部分,也就不会被列入管制范围。但Apache/MIT/BSD之类的许可证不是强制开源,人们可以使用它发布不开源的代码,也可以在发行版本中混入不开源的二进制软件和库,这些不是代码的东西 ,就会落入管制范围。因此他们必须加上这个声明“可能受到美国出口法规管制”,这里说的是“存在这种可能性”,而不是说“一定如此“。 

他表示:“任TensorFlow成为世界上占统治地位的人工智能开发平台对世界是危险的。尽管这个平台目前是开源的,但是随着时间的推移,人工智能变得越来越强大,这个系统会变得极端复杂到失去透明性,而且会很可怕的变成全世界数据,计算,硬件,编译器等的标准制定者。这样会导致一个不健康的生态,阻碍年轻人掌握技术的自由,让个人,公司甚至国家在人工智能领域的自主发展,最终被一家商业公司所控制。这不是危言耸听。可惜现在绝大部分人都还意识不到这点。“

当然,这里有另外一个细节问题是,GPL只管源代码,那么如果一个组织开源了自己的代码,同时又提供二进制发行版,这时候会不会被管制?答案是会的。所以要做软件发行(而不是纯粹源代码发行),就需要在GPL基础上扩充出来一份新的许可证,这份许可证里面同样会写上“可能受到美国出口法规管制“字样。针对这个问题RMS曾经亲自回答过:fedora许可证包含了“可能受美国出口法规管制“,这和GPL冲突吗?RMS的回答大意是:GPL只管源码是不是开源,其他都不管。你如果要打包发行GPL的软件,在履行了开源义务之后,GPL就不会找你麻烦了,之后你可以随便设定各种条件在你的发行版上,哪怕是“禁止蓝色头发的人使用“都可以,那是你自己的决定。这就是对源码和软件之间法律关系的最好解释。强制开源保证了自由,所有人都有机会使用它,不会受到任何限制。一个最极端的例子是这样,做为美国禁运的重点国家朝鲜也有自己的Linux系统,他们一样是自己拿源代码编译发行的版本。(当然,朝鲜并没有开源他们的红星Linux代码,是违反GPL授权的) 

此言论一出就曾引发众多网友讨论。

开源运动可以算是人类历史上最大的奇迹之一,来自世界各地的人,在不同的国家不同的制度下,用不同的语言,共同创造了一堆属于全人类,所有人都可以自由使用的工具。他们之间可能互相不能听懂对方说话,可能政治观点完全不同,甚至可能是完全敌对的,但是仍然共同为这个工程贡献了力量。我想不出来人类还有什么其他的事情达到过这样的高度和广阔程度。 

现在看来,确实不无道理。

大家关心的另外一个问题是git和Github会不会算在禁运范围内。首先要区分git和github是两个完全不同的东西,git是一套开源的软件代码版本控制系统,如上所述,它是完全自由的。Github是一个商业公司,提供git托管服务,所以Github确实有可能因为法律要求不提供某些地区的服务,比如朝鲜IP是不能访问Github的。但是这对于中国用户似乎完全不是问题,毕竟世界流量最大的100个网站里面大部分中国用户都不能访问。

开源软件不涉及加解密技术,就不会被管制?

Git本身就是一套分布式代码管理系统,你只要使用git,那么你自己的计算机上始终会有一份和服务器同步的代码版本,即使服务器拒绝你访问了,你也不会丢失源代码,自然也就不存在“抓紧备份一份代码”这种问题,代码本身就存在你的计算机上。 

根据林诚夏先生的分析与说明,“开源软件,只要不涉加解密技术,不会被美国 EAR ( Export Administration Regulation , EAR ) 管制,但涉及加解密者则会被管制。“

最后一个问题是,为什么这么多开源软件基金会都在美国?这个问题非常有趣,毕竟,开源软件最重要的作者们,其中至少有一半不是美国人,你看,Linux作者Linus  Torvalds是芬兰人,C++之父Bjarne Stroustrup是丹麦人,Python作者Guido van Rossum是荷兰人,Java作者James Gosling是加拿大人…更别说每个开源基金会都有大量的董事们不是美国人,也并不生活在美国。为什么他们不把基金会放在自己的国家而是放在美国?

以下为详细说明:

除了美国有更丰富的资源这个理由之外,还有一个重要的理由,就是美国的制度可以保护他们的工作永远是开放的。这件事颇有一点中国太极的意味,美国在开源领域成为主要阵地,不是因为它强大,而是因为它不够强大,美国政府不是说一不二,想怎么做就怎么做的政府,它的错误可以被挑战,被纠正,可以和它法庭见…美国公司、美国人民、美国法律和美国政府,这些概念看似一样,实际上是不同的。他们有共同利益,但是也有冲突,同时又互相制约。有ACLU,EFF(电子前线基金会)这样的组织,几十年如一日挑战不合理的法律制度,和政府打官司,并且无数次获胜。这些复杂的关系构成了让开源软件发展的重要社会基础,人类社会没有什么100%确定的事情,但是这种互相制约的平衡最大概率上保证了这些项目的自由,这是世界各国开源项目领导者和参与者经过漫长时间之后的共识。

依美国 EAR (Export Administration Regulation, EAR),美国人、美国公司将软件出口至美国境外,或在美国境内提供给外国人作为出口的预备行为,必须申请取得许可。

如果不相信这个看法,想想前面提到的几个案例,一个美国公民,希望让全世界人民都可以使用自己的算法和代码,而完全不管敌对国家会不会获得他的成果。一个美国教授,希望给外国留学生讲解加密技术,冒着自己坐10年牢的风险,拿起法律武器挑战美国政府,并取得了最后的胜利。这件事要发生在其他国家,会是怎么样的结局?被骂做卖国贼算是起步待遇吧?更别说还有很大可能会承受更糟糕的结果。但是在美国,他们不仅能获得胜利,美国人民还视他们为英雄。 

但符合「公开可及(Publicly available)」定义的软件,不在 EAR 管制范围,亦即不需要申请许可;也就是说,多数的开源软件,皆为公开可及并能后续散布,符合这条但书,出口上不需要申请许可。

我们还可以假设一个场景。如果真的发生美国政府试图禁止中国使用Linux内核这种事情,你猜谁会先站出来骂美国政府?显然是自由软件基金会的创始人RMS和Linux的作者Linus。他们不仅会骂,还会在法律上挑战美国政府,并且会把所有代码托管到其他国家。凡是以”有一天我们会用不了Linux内核“为借口搞什么独立系统的,我敬佩他们的勇气。但是一方面他们担心的事情不可能发生,另外一方面,做个操作系统在这个时代并不算难,难的是如何建立整个生态。软件和互联网生态是全球化的产物,整个生态的完成是全世界工程师和企业共同完成的,任何一个国家也难以独立建设完成一套生态,即使美国,它也不可能脱离世界独立存在。

但 EAR 734.7 (b) 同时说明,公开可及软件虽不需许可,但若涉及加解密技术,仍然必须申请许可

回头看这个历史,开源运动和加密运动互相扶助完成的这个过程。密码学家始终扮演了重要的角色,被列入军火管制的东西是加密软件,这使得密码学家和法律制度发生了冲突,如果没有这种冲突,就没办法到法院挑战美国政府,也就没法拿到法院最终的判决。如果没有判决,源代码算不算一种言论自由就仍然是不确定的争议,那么开源运动就很难产生这样的影响力。如果没有开源运动,没有Linux,没有GCC,没有Android,没有浏览器…整个互联网可能都不会存在,那么软件和工具仍然会掌握在少数几家企业手里,距离普通人遥不可及。 

除非是这个加解密技术,除了代码本身公开可及外,其加密方式原则上也是公开可及的,那就可以再主张它在 ECCN 5D002 的列表里,可以采 EAR 742.15(b) 款提供源代码或揭露源代码来源的方式,来登录备查。

密码学家们不仅改变了二战的进程,他们也一直通过各种方式影响着社会,加密运动参与者极端注重隐私和自由,虽然他们的很多努力只是是出于维护自由的目的,但他们的创造物则影响深远,虽然其中大部分并不为普通人所知,但每隔一些年,总会有一些成果产生了惊天动地的效果,被人们所知。最近的一次大概要算这件事: 

或是更简要的说,在美国:

2009年1月8日,有人在密码学圈子里面发了这么一条消息: 

软件出口必须申请许可

"I made the proof-of-work difficulty ridiculously easy to start with, so for a little while in the beginning a typical PC will be able to generate coins in just a few hours." 

除非该软件是公开可及的,那就不需要申请许可

发布这条消息的人使用的名字是 Satoshi Nakamoto,在中文里,这个名字被译作“中本聪”。

公开可及的软件,若涉及信息加密技术仍然要申请许可

参考备注:

除非该公开可及的软件,除了代码公开可及外,连加密技术本身也公开可及,那就再进入例外不需要申请许可。

  • RMS关于fedora许可证的回复

  • RSA军火T恤和代码

  • 里程碑案件之一

  • 里程碑案件之二

  • 标题图:Image used under Standard license from Shutterstock.com (这张图是我们付费购买的,符合我要求的转载可直接使用它)

虽然不需要申请许可,但这样的代码公开可及、加密技术公开可及的软件仍然要向美国 BIS 汇报备查,并提供相关讯息供其事前事后查验。

本文来自霍炬的微信公共帐号“歪理邪说”,用微信添加 wxieshuo 公众号,或扫描二维码即可订阅。转载必须保留作者、公共帐号信息,内容必须与本文保持严格一致,不得修改/替换/增减本文包含的任何文字,不得擅自增加小标题、引语、摘要等。本公众号一切内容禁止摘编、衍生及演绎。

Red HatMozilla是有定期提供备查清单出来给美国政府的。亦即有列备查清单者的,原则不能被管制出口。

注:Part 734 章节里的 734.7 对于何谓「公开可及(§ 734.7 PUBLISHED )做了定义说明及例示,简要来说:「技术或软件已经是被一般公众可以接触,并不限及其后续散布者( when it has been made available to the public without restrictions upon its further dissemination )。

概念辨析

Apache License 与 Apache 基金会项目

有很多开源软件,都会选择使用 Apache License 2.0,但是这并不代表这个开源项目已经属于 Apache 基金会,只有当项目被明确的捐赠给 Apache 基金会,才是属于 Apache 基金会的项目,受到美国法律的监管。但是,只要这个项目不涉及加密,同样不在 EAR 管制范围。

开源软件不等于美国的软件

有很多人担心,美国一声令下,会禁止所有的开源软件被中国使用。这样的担忧是不必要的。有太多的自由软件/开源软件,不属于任何一个公司,也不属于任何一家开源基金会,或者属于美国之外的组织,这些都是美国管不到的地方。

,Github 上托管的开源项目,与 Github 企业版

针对开源中国上述的文章,我们担心存在一些混淆。Github 是一家美国公司,当然受美国法律的约束。 上托管的项目,却未必受美国法律的约束。Github 企业版是 Github 公司的一个产品,而且是一个闭源的产品,这个产品不属于「公开可及( Publicly available )」的范围,因此会受到 EAR 管制。确实可能存在无法出口的问题。但是,这个产品,大多数情况下是企业采购之后,在本公司内部部署并使用的产品,对于开源社区,几乎没有任何影响。

因此,我们认为除了 EAR 限制的加密技术之外,由于开源软件在网络公开下载传播的属性,ASF 软件基金会或是其他开源软件项目不会也很难被美国政府限制出口。您的看法如何呢?欢迎评论!

开源项目是否受美国出口管制?是否有可能全线“闭源“?知名科技博主@包云岗 进行了相关调查,并在微博上发表了调查结论,以下内容援引自其博文:

针对开源的几个基本要素:开源基金会、开源协议、开源项目、开源代码托管平台。我们对12个知名开源基金会、6个常用的开源协议、3个代码托管平台进行了调研与分析,得出以下初步结论:

1、开源基金会管理开源项目,但基金会的管理办法差异较大,而基金会旗下的开源项目也可以选择不同管理办法。例如:

Linux基金会自身的管理办法不受美国出口管制,所以旗下的项目包括Linux Kernel等默认遵循该管理办法,但虚拟化项目Xen明确说明遵循美国出口管制,就属于Linux基金会中的特例;

Apache基金会的管理办法明确说明遵循美国出口管制,所以它旗下所有项目如Hadoop、Spark都将受到出口管制。

Mozilla基金会明确声明遵守加州法律,出现各类纠纷将必须到Santa Clara的法庭裁决。

2、目前调研的开源许可协议族均未涉及与政府出口管制无关的声明。

3、目前调研的3个代码托管平台GitHub、SourceForge、Google Code均明确声明遵守美国出口管制条例,并按加州法律解决纠纷。

4、小结:

* 合理的开源基金会管理办法可以规避美国出口管制

* 开源协议与出口管制无关

* 代码托管平台是开源的最大风险

5、关于RISC-V

RISC-V基金会隶属于Linux基金会,没有特别声明受美国出口管制,因此RISC-V基金会拥有的RISC-V开放指令集标准并不会受美国出口管制。这一点上周和RISC-V基金会的现任CEO专门进行了讨论并得到确认。后续我们也会再进一步确认。

开源自立迫在眉睫

这次华为事件促使我们思考:当我们日常所使用的编程语言、操作系统、开发框架与工具、服务,被注入了国家政府或是商业集团的意志时,究竟该怎么办?

科技自立、开源自立是唯一的出路。

科技行业在政治和商业的压力下,也早已不是曾经的“乌托邦”。

近年来,高通收购案、Facebook“数据门”、去年的中兴事件、今年的华为事件,都可以看到,科技界并不是完全自由开放的,背后也同样有各个国家政府或是商业集团的意志。

这给国内的广大用户、厂商敲响了警钟:基础软件不能过分依赖开源,需要自主研发,开源自立已迫在眉睫!

本文由威尼斯手机平台发布于新闻公告,转载请注明出处:威尼斯正规官网许可证分发的软件也受美利坚合营国开口拘押,所以看起来开源软件是一件事

上一篇:颁发了Cisco出品的多个漏洞,的漏洞是由CiscoTrust 下一篇:没有了
猜你喜欢
热门排行
精彩图文