5 月 20 日，外媒报道谷歌和华为暂停合作。因为涉及 Android 这个开源 OS，引起了开发圈内开始讨论开源和出口管制的相关话题。
 
（中国科学院计算技术研究所）包云岗的看法
 
这个问题引起了 IT 界的恐慌。开源的风险到底在哪里？
 
其实很多人并没有亲自调查确认。我们认为只有获取足够的第一手有效信息，才能做出正确的判断，才能做出合适的应对方案。因此，我们在第一时间开展了调研，同时向一些海外朋友咨询。目前有一些初步的结果，更详细的报告会在后续给出。
 
针对开源的几个基本要素：开源基金会、开源协议、开源项目、开源代码托管平台。
 
我们对 12 个知名开源基金会、6 个常用的开源协议、3个代码托管平台进行了调研与分析，得出以下初步结论：
 
1️⃣开源基金会管理开源项目，但基金会的管理办法差异较大，而基金会旗下的开源项目也可以选择不同管理办法。
 
例如：①、Linux 基金会自身的管理办法不受美国出口管制，所以旗下的项目包括Linux Kernel 等默认遵循 Linux 基金会的管理办法，但虚拟化项目 Xen 明确说明遵循美国出口管制，就属于Linux基金会中的特例；
 
②、Apache 基金会的管理办法明确说明遵循美国出口管制，所以它旗下所有项目如Hadoop、Spark都将受到出口管制。
 
③、Mozilla 基金会明确声明遵守加州法律，出现各类纠纷将必须到Santa Clara的法庭裁决。
 
2️⃣ 目前调研的开源许可协议族（GPL、LGPL、BSD、MIT、Mozilla、Apache 2.0），均未涉及与政府出口管制无关的声明。
 
3️⃣ 目前调研的3个代码托管平台 GitHub、SourceForge、Google Code 均明确声明遵守美国出口管制条例，并按加州法律解决纠纷。
 
4️⃣ 小结：
 
* 合理的开源基金会管理办法可以规避美国出口管制；
 
* 开源协议与出口管制无关；
 
* 代码托管平台是开源的最大风险；
 
5️⃣ 建议：
 
* 选择开源软件时务必仔细阅读两个声明：一是所属开源基金会，二是项目本身；
 
* 尽快建立已有托管平台在美国以外的镜像平台；
 
* 长远来看，中国必须建立起自己的开源项目托管平台，并以更开放的方式吸引全世界的开源爱好者。
 
* 但是如何更开放？需要探索。比如，在这个世界上是否有可能设立一个支撑开源项目的特区 —— 一个完全由开源爱好者自治的法律特区？
 
6️⃣ 关于RISC-V
 
RISC-V基金会隶属于Linux基金会，没有特别声明受美国出口管制，因此RISC-V基金会拥有的RISC-V开放指令集标准并不会受美国出口管制。这一点上周和RISC-V基金会的现任CEO专门进行了讨论并得到确认。后续我们也会再进一步确认。
 
（开源社）林诚夏的看法：
 


 
 
希望后续能有同时懂开源和美国法律的朋友来发表看法。
 
---（分隔线）---
 
除了很多程序员个人，国内也有很多公司在使用 GitHub 等代码托管平台。不妨一起来看看 GitHub 官网关于《GitHub 和出口管制》的详细说明。
 
提示：翻译可能不到位，英文好的童鞋，可以直接看英文
https://help.github.com/en/art ... trols
 
《GitHub 和出口管制》
 


 
 
据我们通过时光机查证，《GitHub 和出口管制》的说明，时光机中目前只有 1 次记录，时间是 2019 年 5 月 4 日。
 


 
 
---（分隔线）---
 
Apache 基金会产品出口说明
 
在 Apache 基金会官网的出口协议页面，有明确说明：
 
Apache 软件基金会(ASF)是一家位于美国的 501(c)3 非营利性慈善机构。我们所有的产品都是通过公共论坛的在线协作开发的，并通过美国境内的一个中央服务器进行分发。因此，美国的出口法律法规适用于我们的发行版，并且产品和技术重新出口到世界各地不同的缔约方和地方时仍然有效。


 
https://www.apache.org/licenses/exports/
 
据我们通过时光机查证，Apache 基金会官网至少从 2007 年 5 月起，就明确了遵守美国出口管制。
 


 
 
Apache 基金会拥有众多开源产品，比如 Hadoop、HBASE 和 ZooKeeper 等。
 


 
提示：遵循 Apache 协议的开源项目，不等同于 Apache 基金会旗下项目。只有捐赠给某个基金会的开源项目，才算该基金会旗下项目。
 
希望后续能有更多同时懂开源和美国法律的朋友来发表看法。
 

综合整理：程序员的那些事（id：iProgrammer）
参考：开源社、包云岗、GitHub、ASF