中國開放指令生態（RISC-V）聯盟：開源項目風險分析與對策建議（44頁）.pdf

《中國開放指令生態（RISC-V）聯盟：開源項目風險分析與對策建議（44頁）.pdf》由會員分享，可在線閱讀，更多相關《中國開放指令生態（RISC-V）聯盟：開源項目風險分析與對策建議（44頁）.pdf（44頁珍藏版）》請在三個皮匠報告上搜索。

1、開源項目風險分析與對策建議 報告解讀 CRVA聯盟秘書處 中科院計算所 2019.6 開源項目總覽 開源基金會 開源許可證托管平臺 貢獻者 用戶 開源項目 依賴關系 項目聲明 開源信息流動 內容 法律約束 國際開源組織 國內開源現狀 三種約束 1. 出口管制（Export Control） 商品出口 2. 司法管轄權（Jurisdiction） 商業糾紛 3. 開源許可證（License） 知識產權 約束1：出口管制 國家出于政治、經濟、軍事和對外政策的需要，制定的商品 出口的法律和規章，以對出口國別和出口商品實行控制 美國出口管制條例（EAR，Export Administration Re

2、gulations） 主要規定是否能從美國出口貨物到外國，以及是否可以從外國“再 出口（re-export）”到另一個外國 按照EAR 的規定（734.7b 和742.15b）：所有“公開可獲得 （publicly available）”的源代碼（不含加密軟件以及帶加 密功能的其他開源軟件），都不被出口管制 “公開可獲得”的帶加密功能的源代碼，被出口管制，但不 會被限制出口，需提前登記備案（5D002） 默認情況 vs. 潛在風險 默認情況：開源項目（除含加密功能的開源項目需 備案外），都屬于“公開可獲得”的代碼，可以正 常使用 極端情況下的潛在風險：如果一個開源項目或開源 組織聲明遵從美國的

3、出口管制條例，一旦美國修改 EAR，將高性能軟件、EDA軟件等一些核心基礎軟 件加入到管制中并且將目前“備案即不被管制”修 改為“備案且需要被管制”，那就意味著大量核心 開源項目將受到出口管制 2018年11月，美國BIS曾就AI和機器學習等新興技術是否 加入管制名單征求公眾意見（后未果） 美國出口管制條例修改頻繁 根據美國政府的需要，EAR可隨時被修改 事實上，美國也一直頻頻修改EAR https:/www.bis.doc.gov/index.php/regulations/export-administration-regulations-ear 軟件源碼 vs. 美國出口管制條例 經典案

4、例 案例1：1995年Junger vs. US Department of State1 大學教授Junger要在課上為學生講述技術相關的法 律，其中有關于軟件加密的技術，但聽課的學生中有 外國留學生，因此也落入了出口管制限制的范圍，并 且面臨百萬美金巨額罰款和最高10年刑期的訴訟 案例2：1996年Bernstein vs. US Department of Justice2 學生Bernstein是為了公開發表自己發明的加密算法 論文，并且希望可以公開的、不受限制的參加學術會 議討論他的算法 1 https:/www.eff.org/cases/junger-v-dept-state 2

5、 https:/www.eff.org/cases/bernstein-v-us-dept-justice 訴訟觀點 vs. 美國法院最終判決 訴訟人觀點：軟件源代碼應該是一種言論自由， 并且應該受憲法第一修正案保護 美國法院最終判決：軟件源代碼是言論自由，受 憲法第一修正案的保護；美國政府不能試圖限制 軟件源碼流通 對開源軟件代碼的影響：美國政府沒有能力對軟 件源代碼實施禁運 思考：訴訟人如果不是美國公民，美國法院會如 何判決？ 案例總結 美國憲法：開源 = 言論自由，受憲法保護 PGP開源加密算法案例中，美國教授勝訴 但美國憲法保護的是美國公民 中美關系沖突時，國家利益高于一切 美國憲法并

6、不會保護中國公民和企業的利益 約束2：司法管轄權 司法管轄權又稱為審判權，是指法院或司法機構 對訴訟進行裁決和判決的權力 使用網站或注冊會員時，如果其使用條款 （Terms of Use）或會員條款（Membership Agreement）中指定了司法管轄權的歸屬，則 代表合同雙方同意只承認指定的司法機關做出的 判決為賠償的依據 默認情況 vs. 潛在風險 默認情況：在無侵犯知識產權等商業糾紛時，不 觸發司法行動 極端情況下的潛在風險：如果一個開源項目或開 源組織指定了司法管轄權歸屬于美國某法院，那 么所有圍繞使用條款展開的糾紛，都將以該美國 法院的判決為準。 約束3：開源許可證 開源許可證

7、屬于軟件許可證 軟件許可證是一種具有法律性質的合同或指導，目的在于 規范受著作權保護的軟件的使用或散布行為 當下常用開源許可證（如BSD、MIT、GPL）都是 圍繞代碼的版權聲明，以及修改后是否可以閉源等 問題展開的 早期的開源許可證如MPL 1.1等，在協議中指定了其司法 管轄權在美國加州，但現在皆已棄用 當下常用的開源許可證保護的是知識產權，其自身 與出口管制和司法管轄權并無關聯 默認情況 vs. 潛在風險 默認情況：開源許可證的作用為保護知識產權， 不涉及國家法律層面的其他條款（如出口管制、 司法管轄權等） 極端情況下的潛在風險： 如果美國NSF、NASA 以國防安全為由，制定一個新的開

8、源許可證，限 制其資助的所有開源項目只能在美國使用和發布， 則美國以外的其他國家將失去這部分開源項目的 使用權。國內公司一旦使用，就會侵犯知識產權 開源許可證受法律保護 著作權侵權 案例1：2006年美國Jacobsen vs. Katzer1 被告方使用原告方基于Artistic License 1.0開源協議開發的代碼，但并未 注明原作者信息，因此訴訟被告方侵害了原告方的著作權 案例2：2006年德國Welte vs. D-Link2 D-Link軟件產品使用了基于GPL2協議的軟件，但其產品不開源 案例3：2010年Oracle起訴Google Android侵犯著作權 開源代碼的原作者

9、可以依照版權法提起侵權訴訟 對于開源軟件用戶來說，使用免費得到的開源代碼，如果違反了原 始許可證協議，會被法律判定為侵犯開源軟件作者著作權 1 2 張漢華.違反開源軟件許可證的法律救濟以德國法為視角. 法學評論，2015年03期 開源許可證受法律保護 違反特定約束 開源軟件用戶被開源許可證賦予了特定權力，同時也被 規定必須遵守特定的約束 典型案例： 2002年，MySQL AB控告Progress NuSphere違反GPL發布衍生作品， 最終和解 2008年，自由軟件基金會對Cisco公司提起訴訟，Linksys品牌的多個 產品違規使用GPL開源軟件，Cisco被迫和解，貢獻代碼并向自由軟件

10、 基金會提供實際資金支持 2007年始，BusyBox公司和軟件自由法律中心控告了Monsoon Multimedia、Xterasys、High-Gain Antennas等公司違反GPL許可 證，大多公司被迫修改自己軟件的許可證并做賠償 2009年，Microsoft 承認在其Windows 7下載工具軟件中違規使用了 GPL開源軟件，并在Windows Store中撤下該工具，并承諾做出修改。 該工具為微軟請第三方開發的，并未對相關代碼進行評估 開源許可證受法律保護 專利侵權 對于開源軟件的貢獻者而言，所創作的軟件作品中可能已經使用了 一個或多個專利技術，從而可能侵犯專利權 用戶所獲取的

11、開源軟件是依照專利技術獲得的軟件產品，使用該軟 件產品也是可能侵犯專利權的 利用開源許可證協議，可避免一部分專利侵權風險 例如，在Apache-2.0許可證下，貢獻者將其貢獻的開源軟件中的專利權許可給 用戶，并約束用戶不能就自己對該開源軟件中的貢獻向任何實體主張專利侵權 典型案例： 2003年Unix系統開發商SCO公司（擁有Unix專利）起訴IBM公司貢獻給Linux 開源操作系統的代碼中涉嫌專利侵權 2004年OSRM（開源軟件風險管理）發布研究報告指出，Linux潛在地侵犯了 283項專利。其中包括微軟27項，IBM60項，惠普20項以及英特爾11項 2007年微軟聲稱Linux侵犯了其

12、235個專利 小結 出口管制司法管轄權開源許可證 效力范圍商品出口商業糾紛知識產權 默認情況對開源 項目出口管制 無（含加密功能 需備案） 無無 極端 情況 潛在風險 可管制開源項目 由指定美國法院裁決侵犯知識產權 發生條件 需修改出口管制 條例 出現糾紛制定新開源許可證 美國出口管制針對的是威脅到其國防安全的“政府行為”和“商業行 為“。除企業外，中國有數所高校（北航等）也被列入實體名單。 所在基金會聲明、開源項目聲明和開源許可證，任意一個出現了出口 管制和司法管轄權的相關條款，都將約束該開源項目 內容 法律約束 國際開源組織 國內開源現狀 開源項目的四個依賴 開源基金會 開源許可證托管平臺

13、 貢獻者 用戶 開源項目 依賴關系 項目聲明 開源信息流動 依賴1：開源基金會 開源基金會管理開源項目 調研12個基金會 自由軟件基金會，軟件自由保護組織，Linux基金會、Apache軟件 基金會、Eclipse基金會，OpenStack基金會，Python軟件基金會、 Mozilla基金會、Open Networking 基金會、RISC-V基金會、 HAS基金會、Free and Open Source Silicon基金會 管理辦法差異較大 Linux基金會自身的管理辦法不受美國出口管制 Apache基金會管理辦法明確說明遵循美國出口管制 Mozilla基金會明確聲明司法管轄權歸屬加州

14、 RISC-V基金會隸屬于Linux基金會，沒有特別聲明受美國出口管制； 但指明其司法管轄權在美國特拉華州 依賴2：開源項目自身聲明 開源項目隸屬于開源基金會，默認遵從基金會的聲 明，但開源項目可獨立聲明 分布式存儲項目Ceph隸屬于Linux基金會，但明確 說明司法管轄權歸屬美國加州，且出口方遵循美國 出口管制，是Linux基金會中的特例。 You agree that any action at law or in equity arising out of or relating to these Terms or the Service shall be filed only in t

15、he state or federal courts in and for the County and State of Los Angeles. you ensure that you do not use the Service in violation of any applicable laws and regulations (including without limitation the Export Administration Regulations, the International Traffic in Arms Regulations, 依賴3：開源許可證 調研6個

16、開源許可證： GPL LGPL BSD MIT Mozilla Apache 均未涉及與政府出口管制相關的聲明 說明：但并不代表其不受出口管制和美國法律約束，該項 目還要同時取決于所在基金會聲明和項目自身的聲明 依賴4：代碼托管平臺 調研3個代碼托管平臺： GitHub SourceForge Google Code 三個平臺均明確聲明遵守美國出口管制條例，并 且司法管轄權均在加州 案例分析：GitHub GitH明確聲明GitH、 GitHub Enterprise Server，以及兩者上的信息都是被 出口管制 針對國家的條款 GitHub Enterprise Server是商品，被出口

17、 管制，不能出口到被制 裁國家（如伊朗等） 學術界仍可訪問GitHub 免費服務，公司和其他 結構目前尚不確定 爭議：GitHub上的代碼是否 受到出口管制？ GitHub上的代碼存在兩重身份 開源代碼 - 不被出口管制 GitHub上的信息 - 受到出口管制 表面上看會得出相互矛盾的結論 但GitHub的司法管轄權在美國 加州 最終解釋權歸美國加州法院 即受到出口管制 美國以外其它 托管平臺 開發者 規避GitHub出口管制風險 已有開源項目 情景1：已有開源項目同時托管多個平臺 未托管平臺開源信息流動 受到美國出口管制不受美國出口管制 已托管平臺 美國以外其它 托管平臺 開發者 規避Git

18、Hub出口管制風險 發起人使用本地 副本創建托管項目 已有開源項目 發起者 未托管平臺開源信息流動 受到美國出口管制不受美國出口管制 已托管平臺 情景2：已有開源項目只在GitHub托管 美國以外其它 托管平臺 開發者 規避GitHub出口管制風險 發起人創建托管項目 發起者 新啟動開源項目 情景3：新開源項目開發者同時在多平臺創建托管 發起人創建托管項目 發起者 未托管平臺開源信息流動 受到美國出口管制不受美國出口管制 已托管平臺 美國以外其它 托管平臺 開發者 規避GitHub出口管制風險 新啟動開源項目 情景4：新開源項目開發者只在美國以外平臺創建托管 發起人創建托管項目 發起者 未托管

19、平臺開源信息流動 受到美國出口管制不受美國出口管制 已托管平臺 小結 雖然開源基金會和開源許可證允許不涉及加密功 能的開源項目規避出口管制，但因為代碼托管平 臺會受到出口管制，因此這些代碼托管平臺的開 源項目仍然會受到出口管制的影響 存在規避手段，但前提是有美國以外的代碼托管 平臺 內容 法律約束 國際開源組織 國內開源現狀 轉折點 長期以來，中國用戶以使用開源為主，對開源社 區貢獻較少。但近年來，國內開源社區對國際開 源項目的貢獻已經日趨矚目 華為、阿里、百度、騰訊等公司為首的公司和個 人已經在國際各開源項目中占據了越來越重要的 角色 華為在Linux Kernel中的貢獻 華為在Linux

20、 Kernel 5.1 中的patch提交數量位 居全球第五（企業界第四） 2019年 BAT在GitHub上貢獻者位居前20 2018年 中國的代碼托管平臺 制定開源許可證 總結 其一，合理的開源基金會管理辦法可以規避美國出口管制。選擇開 源項目時務必要同時仔細閱讀三個聲明：所屬開源基金會的聲明， 項目本身的聲明，所用的開源許可證聲明 其二，開源許可證關聯的是知識產權（版權），與出口管制無關。 現有常用開源許可證并沒有在知識產權層面上對中國進行管制，但 不排除未來會出現將使用范圍限定在美國的開源許可證的可能 其三，代碼托管平臺同時受出口管制和司法管轄權的限制，是開源 最大的風險。 在開源項目

21、發起人與開發者的支持和配合下，一部分 開源項目有可能規避托管平臺帶來的出口管制 長遠來看，中國必須建立起自己的開源項目托管平臺，發展自身的 開源力量，并以更開放的方式吸引全世界的開源愛好者 聲明 本解讀，及其對應報告開源項目風險分析與對策建議 皆由中國開放指令生態（RISC-V）聯盟秘書處整理編撰。 致謝： 聯盟理事長，倪光南院士 中國科學院計算技術研究所，孫凝暉研究員 咨詢委員會專家的指導和聯盟成員 曾為本文提供咨詢的法律專家和技術專家，以及美國、瑞 士和伊朗的教授們 聯盟秘書處： 包云崗、常軼松、蔣德鈞、唐丹、王卅 解壁偉、余子濠、張科、趙然 謝謝！ 中國開放指令生態(RISC-V)聯盟 2018年11月8日在烏鎮世界互聯網大會宣布成立 計算所牽頭，已有近60家單位與個人加入 CRVA聯盟總體目標 以RISC-V為抓手 推動開源芯片生態 CRVA聯盟活動 2018.11 2019.1 2019.5 2019.6 2019.8 2019.9 2019.10 深圳世界智能計算機大會 開源芯片論壇、競賽 天津APPT19 RISC-V論壇 烏鎮第六屆世界 互聯網大會論壇、展覽 活動預告往期活動 臺灣新竹RISC-V論壇