Apache 基金会不受美国法律约束?并不是

文中我们引用了两处内容,分别是 Apache 软件基金会与 GitHub 官网上关于相关产品与服务是否受美国出口法律约束的表述,其中大家似乎都明确了 GitHub Enterprise Server 会受到约束,而 Apache 部分则见解不同,并且这也是他人认为我们制造恐慌的焦点。

恰恰相反,过度渲染以制造恐慌是我们所反对的,开源中国的本意是希望借由昨天谷歌和的事件来提醒各位注意:在贸易战的背景下,美国出口法律对开源造成的风险

开源中国创始人红薯表示这锅咱们不背,他认为大家误解我们了,而这误解可能来自于 ASF 官网上本身描述得不够明确

我们一直以为开源是无国界、完全不封闭的,但是却发现 Apache 软件基金会(下用 ASF)这个全球最大的开源软件基金会官网上有这样的内容:

下面这段摘录自图片中 ASF 项目(ASF Products)关于出口说明的文字正是我们昨天发表那篇文章的根本原因。

Therefore, U.S. export laws and regulations apply to our distributions and remain in force as products and technology are re-exported to different parties and places around the world.

美国的出口法律和法规适用于我们的分发,并且随着产品和技术再出口到不同的地方依旧保持有效。

我们对这句话的理解是,除非经美国政府正式授权,否则 ASF 软件或技术不得直接或间接出口或再出口到受美国禁运或贸易制裁的任何地方。

经过与同行各位专家探讨,我们回看原文确实觉得,上边这句话表达的含义其实模棱两可,充满了不确定性

不过完全可以肯定的是,ASF 这个基金会本身是受美国出口法律约束的

既然 ASF 遵循美国出口法律,那么对于受美国出口管制的国家来说,ASF 旗下的产品是不是不能面向它们出口?还是说受美国出口管制的国家不能通过 ASF 网站下载并使用其产品。

这正是我们认为充满不确定性的地方:如果我通过其他途径(任何其他能获取到 ASF 产品的地方,如第三方镜像站)获取到了 ASF 旗下的开源项目,美国出口管制能否以此对这种行为进行制裁?

这也是我们希望大家能注意到的对开源造成的风险。

我们来看看中科院计算技术研究所的包云岗研究员的分析:

按照包云岗研究员的说法,ASF 的管理办法已明确说明它遵循美国出口法律,所以它旗下的所有项目如 Hadoop、Spark 亦受到美国出口法律的管制。

到这里,我们不难发现美国出口管制其实与开源许可协议并无关系。而开源中国昨天发表的文章从头到尾也没讨论过开源许可协议,以及任何 License 相关的问题,并且我们讨论的对象也一直是 ASF

但是认为我们在制造恐慌的文章中,要么只是在讲 EAR(U.S. Export Administration Regulations)如何如何,没有正面分析 ASF 官网上的说法,要么就是直接拿 Apache License 说事。

虽然我们认可他们的专业介绍,但是实际上,我们觉得他们应该更加认真地阅读《开源界也要注意,Apache 基金会与 GitHub 都受美国法律约束》这篇文章。

ASF 旗下的开源项目均采用了 Apache 开源许可协议,按照开源协议,任何人都有使用、修改和分发这些开源软件的自由。

不过在讨论“Apache 项目”时,要区分清楚是指 Apache 基金会旗下的项目,还是指采用 Apache 开源协议的项目。

因为 ASF 和 Apache License 是两个不同的概念,虽然 ASF 受美国出口法律的管制,但 Apache 开源许可协议作为 ASF 提供的一份参考文本,其中没有任何关于美国出口法律的内容。

因此,结合包云岗研究员的说法,包括 Apache 在内的开源许可协议(GPL、LGPL、BSD、MIT 和 Mozilla)均未涉及与美国出口法律相关的内容,所以开源许可协议不受美国出口法律的管制

那么问题来了,ASF 受到美国出口管制意味着什么?目前还没有人具体分析过 ASF 官网上那段让人担忧的表述,我们实际上是希望专业人士可以理性探讨、赐教和分享,并让开发者对开源的风险有更加深刻而准确的认知。

再次提醒各位,开源界也需要注意:Apache 基金会与 GitHub 都受美国法律约束。

相关文章: