開源軟件會不會被卡脖子，在華為列入實體清單，高校不能用MATLAB時已經鬧得沸沸揚揚。

當時Apache基金會，Linux基金會等大佬做了回應，各路大神也已經下了結論。

達成的共識就是：

按照美國出口管制規定(以下簡稱EAR)：可以公開獲得的軟件(publicly available software)，不在EAR管制范圍之內，可以自由出口。

開源軟件屬于publicly available software， 所以不受管制。

這里邊有個例外，如果開源項目中包含加密功能，需要向美國政府備案，告知軟件公開的互聯網地址，源碼，升級信息等等。

中國互聯網可以松一口氣了，開源那么多輪子，可以放心使用，對吧?

最近看到中國RISC-V聯盟的一個報告《開源項目風險分析與對策建議》， 發現這事兒不是字面上寫的這么簡單，水很深。

這里給小伙伴們分享一下，也歡迎大家積極討論。

我們擔心美帝卡脖子，主要是因為開源軟件大部分發源于美國， 并且被位于美國的組織主導，連代碼也托管于美國的代碼平臺之上，所以美國可以管轄。

雖然開源軟件的License大都聲明可以自由使用和分發，但是有開源組織和托管平臺這兩個隱患。

1. 開源組織聲明遵循美國EAR

開源軟件一般都屬于某個開源組織，比如Linux屬于Linux基金會，Hadoop屬于Apache基金會，這些開源組織可能會聲明遵循EAR。

Apache基金會就是這么聲明的：

The Apache Software Foundation (ASF) is a 501(c)(3) nonprofit charity based in the United States of America. All of our products are developed via online collaboration in public forums and distributed from a central server within the U.S. Therefore, U.S. export laws and regulations apply to our distributions and remain in force as products and technology are re-exported to different parties and places around the world.

大意就是Apache基金會是位于美國的非盈利組織，所有產品都從美國服務器分發，因此適用于美國出口的法律法規，遵守EAR。

雖然前面提到可以公開獲得軟件不受EAR管制，但是這里邊就存在極端情況下的隱患：

如果美國修改EAR，將一些核心開源軟件添加到出口管制當中，并且將目前“備案就不被管制”(這其中包含了 Apache基金會幾乎所有開源項目)，修改為“備案且需要被管制”， 那就意味著大量核心軟件(Apache HTTP Server，Hadoop, Spark等)就沒法用了。

這并不是危言聳聽， 2018年11月， 美國商務部下屬的工業及安全局(BIS)就新興技術管制名單征詢過公眾意見，名單就包括AI、微處理器、量子計算、生物識別、3D打印等在內的14個新興技術。

2. 代碼托管平臺聲明遵守美國EAR

現在最大的代碼托管平臺是GitHub，以及Google Code , SourceForge，它們都明確聲明遵守美國出口管制條例EAR。

它暗含的意思就是：服務器架設在美國，那么代碼的上傳和下載行為需要遵守EAR。

所以，如果美國政府禁止GitHub某個開源項目出口，不讓某個公司使用，理論上是可以做到的。

這似乎又和開源License中寫的源碼可以自由使用相矛盾的，是聽代碼托管平臺的還是聽特定開源軟件的?

如何最終解讀要看司法管轄權， 如果開源組織指定司法管轄權歸屬美國某法院，那圍繞使用條款展開的糾紛，都已美國法院判決為準。

美國的平臺，司法管轄權不可能指定中國地區的法院。例如GitHub、SourceForge 和 Google Code，該三個平臺都聲明司法管轄權均在美國加州，有糾紛找加州法院判決。

3. 總結

開源軟件是全世界程序員的勞動成果，美國不太可能冒天下之大不韙，大規模對開源軟件開刀。

如果發生這種情況，估計開源軟件的組織和平臺很快就會“逃離”美國，重新尋找安身之所，這對美國來說也是極大傷害。

但是并不排除極端情況下，美帝針對某個國家，某個公司動手，以所謂國家安全的名義限制軟件出口。

所以如果想完全獨立，不被美帝卡脖子，還是要發展中國自己的開源社區，建立自己的代碼托管平臺。

美國計算機密碼學家齊默爾曼寫了一個保護個人通信隱私的軟件：PGP，這是個非常棒的加密軟件，美國政府自然不允許出口。

后來有人給齊默爾曼支招， 美國憲法第一修正案規定：雖然出口槍支彈藥和軟件受到限制，但是書籍的出口不受限制。

于是，齊默爾曼通過MIT出版社出了一本書《PGP Source Code and Internals》，有600頁，這本書沒別的東西，全是PGP這個軟件的源代碼!

任何人，只要你購買了這本書(不受美國出口的限制)，你就獲得了PGP軟件，前提是，需要用OCR軟件掃描一下——齊默爾曼在書的開頭非常貼心地告訴了大家如何使用OCR來操作。