综合整理：Linux爱好者（id：LinuxHub）

参考：开源社、包云岗、GitHub、ASF

5 月 20 日，外媒报道谷歌和华为暂停合作。

因为涉及 Android 这个开源 OS，之后开发圈内开始讨论开源项目和出口管制的相关话题。

（中国科学院计算技术研究所）包云岗的看法

这个问题引起了 IT 界的恐慌。开源的风险到底在哪里？

其实很多人并没有亲自调查确认。我们认为只有获取足够的第一手有效信息，才能做出正确的判断，才能做出合适的应对方案。因此，我们在第一时间开展了调研，同时向一些海外朋友咨询。目前有一些初步的结果，更详细的报告会在后续给出。

针对开源的几个基本要素：开源基金会、开源协议、开源项目、开源代码托管平台。

我们对 12 个知名开源基金会、6 个常用的开源协议、3个代码托管平台进行了调研与分析，得出以下初步结论：

1⃣️ 开源基金会管理开源项目，但基金会的管理办法差异较大，而基金会旗下的开源项目也可以选择不同管理办法。

例如：①、Linux 基金会自身的管理办法不受美国出口管制，所以旗下的项目包括Linux Kernel 等默认遵循 Linux 基金会的管理办法，但虚拟化项目 Xen 明确说明遵循美国出口管制，就属于Linux基金会中的特例；

②、Apache基金会的管理办法明确说明遵循美国出口管制，所以它旗下所有项目如Hadoop、Spark都将受到出口管制。

③、Mozilla基金会明确声明遵守加州法律，出现各类纠纷将必须到Santa Clara的法庭裁决。

2⃣️ 目前调研的开源许可协议族（GPL、LGPL、BSD、MIT、Mozilla、Apache 2.0），均未涉及与政府出口管制无关的声明。

3⃣️ 目前调研的3个代码托管平台 GitHub、SourceForge、Google Code 均明确声明遵守美国出口管制条例，并按加州法律解决纠纷。

4⃣️ 小结：
* 合理的开源基金会管理办法可以规避美国出口管制
* 开源协议与出口管制无关
* 代码托管平台是开源的最大风险

5⃣️ 建议：
* 选择开源软件时务必仔细阅读两个声明：一是所属开源基金会，二是项目本身

* 尽快建立已有托管平台在美国以外的镜像平台

* 长远来看，中国必须建立起自己的开源项目托管平台，并以更开放的方式吸引全世界的开源爱好者。

* 但是如何更开放？需要探索。比如，在这个世界上是否有可能设立一个支撑开源项目的特区——一个完全由开源爱好者自治的法律特区？

6⃣️ 关于RISC-V
RISC-V基金会隶属于Linux基金会，没有特别声明受美国出口管制，因此RISC-V基金会拥有的RISC-V开放指令集标准并不会受美国出口管制。这一点上周和RISC-V基金会的现任CEO专门进行了讨论并得到确认。后续我们也会再进一步确认。

（开源社）林诚夏的看法：

希望后续能有同时懂开源和美国法律的朋友来发表看法。

---（分隔线）---

除了很多程序员个人，国内也有很多公司在使用 GitHub 等代码托管平台。不妨一起来看看 GitHub 官网关于《GitHub 和出口管制》的详细说明。

提示：翻译可能不到位，英文好的童鞋，可以直接看英文

https://help.github.com/en/articles/github-and-export-controls

《GitHub 和出口管制》

GitHub.com、GitHub Enterprise Server 以及您上传到任何一个产品上的信息都可能受到美国出口管制法律的约束，包括美国出口管理条例（EAR）。

尽管为了方便您我们提供以下信息，但您最终有责任确保您使用 GitHub 的产品和服务符合所有适用的法律法规，包括美国出口管制法律。

GitHub.com

根据我们的服务条款，用户只能根据适用法律，包括美国出口控制和制裁法律，访问和使用 GitHub.com。

用户有责任确保他们在 GitHub.com 上开发和共享的内容符合美国出口管制法律，包括 EAR 和美国国际武器交易条例（ITAR）。Github.com 提供的云托管服务还没有经过 ITAR 或其他出口控制的审核，目前也没有提供按国家限制存储库访问的功能。如果您希望在 ITAR 或其他出口控制的数据上进行协作，我们建议您考虑 GitHub Enterprise Server。

GitHub.com 不得用于相关出口管制法律禁止的用途，包括与核武器、生物武器或化学武器、远程导弹或无人机的开发、生产或使用有关的用途。

根据美国外国资产控制办公室（OFAC）发布的授权，GitHub 可能允许位于或通常居住在受美国制裁的司法管辖区的用户访问某些 GitHub.com 服务。在这些司法管辖区的人和居民在访问 GitHub 服务时，禁止使用 IP 代理、V皮恩 或其他方法来伪装他们的位置，并且只能使用 GitHub 进行非商业的个人通信。

根据美国和其他适用法律，特别指定国民（SDN）和其他被拒绝或封锁的 party，被禁止访问或使用GitHub.com。用户不得使用 GitHub.com 服务于或代表此类 party，包括被制裁国家/地区的政府。

GitHub Enterprise Server

GitHub Enterprise Server 是一个自托管的虚拟设备，可以在您自己的数据中心或虚拟私有云中运行。因此，GitHub Enterprise Server 可以用来存储 ITAR 或其他出口控制的信息，但是，最终用户有责任确保这种遵从性。

GitHub Enterprise Server 是一款商业化的大众市场产品，它的加密控制注册号（ECCN）为5D992.c，可以在不需要许可证的情况下出口到大多数目的地。

GitHub Enterprise Server 不得销售、出口或再出口到 EAR 所列的任何国家或乌克兰克里米亚地区。这份名单目前包括古巴、伊朗、North Korean、苏丹和叙利亚，但可能会有所变化。

---（分隔线）---

Apache 基金会产品出口说明

在 Apache 基金会官网的出口协议页面，有明确说明：

Apache 软件基金会(ASF)是一家位于美国的 501(c)3 非营利性慈善机构。我们所有的产品都是通过公共论坛的在线协作开发的，并通过美国境内的一个中央服务器进行分发。因此，美国的出口法律法规适用于我们的发行版，并且产品和技术重新出口到世界各地不同的缔约方和地方时仍然有效。

https://www.apache.org/licenses/exports/

Apache 基金会拥有众多开源产品，比如 Hadoop、HBASE 和 ZooKeeper 等。

提示：遵循 Apache 协议的开源项目，不等同于 Apache 基金会旗下项目。只有捐赠给某个基金会的开源项目，才算该基金会旗下项目。

希望后续能有更多同时懂开源和美国法律的朋友来发表看法。