开源项目风险分析与对策建议.pdfVIP

《开源项目风险分析与对策建议》 报告解读 CRVA联盟秘书处 中科院计算所 2019.6 开源项目总览 项目声明 开源项目 贡献者 用户 开源基金会 开源许可证 托管平台 开源信息流动 依赖关系 内容 •法律约束 •国际开源组织 •国内开源现状 三种约束 1. 出口管制（Export Control ） • 商品出口 2. 司法管辖权（Jurisdiction ） • 商业纠纷 3. 开源许可证（License ） • 知识产权 约束1 ：出口管制 • 国家出于政治、经济、军事和对外政策的需要，制定的商品 出口的法律和规章，以对出口国别和出口商品实行控制 • 美国出口管制条例 （EAR ，Export Administration Regulations ） • 主要规定是否能从美国出口货物到外国，以及是否可以从外国“再 出口（re-export ）”到另一个外国 • 按照EAR 的规定（734.7b 和742.15b ）：所有“公开可获得 （publicly available ）”的源代码（不含加密软件以及带加 密功能的其他开源软件 ），都不被出口管制 • “公开可获得”的带加密功能的源代码，被出口管制，但不 会被限制出口 ，需提前登记备案（5D002 ） 默认情况 vs. 潜在风险 • 默认情况 ：开源项目（除含加密功能的开源项目需 备案外），都属于“公开可获得”的代码，可以正 常使用 • 极端情况下的潜在风险 ：如果一个开源项目或开源 组织声明遵从美国的出口管制条例，一旦美国修改 EAR ，将高性能软件、EDA软件等一些核心基础软 件加入到管制中并且将目前“备案即不被管制”修 改为“备案且需要被管制”，那就意味着大量核心 开源项目将受到出口管制 • 2018年11月，美国BIS曾就AI和机器学习等新兴技术是否 加入管制名单征求公众意见 （后未果） 美国出口管制条例修改频繁 • 根据美国政府的需要，EAR可随时被修改 • 事实上，美国也一直频频修改EAR /index.php/regulations/export-administration-regulations-ear 软件源码 vs. 美国出口管制条例 经典案例 • 案例1 ：1995年Junger vs. US Department of State[1] • 大学教授Junger要在课上为学生讲述技术相关的法 律，其中有关于软件加密的技术，但听课的学生中有 外国留学生 ，因此也落入了出口管制限制的范围，并 且面临百万美金巨额罚款和最高10年刑期的诉讼 • 案例2 ：1996年Bernstein vs. US Department of Justice[2] • 学生Bernstein是为了公开发表自己发明的加密算法 论文，并且希望可以公开的、不受限制的参加学术会 议讨论他的算法 [1] /cases/junger-v-dept-state [2] /cases/bernstein-v-us-dept-justice 诉讼观点 vs. 美国法院最终判决 • 诉讼人观点 ：软件源代码应该是一种言论自