开源代码也受美国出口管制？Linux基金会白皮书官宣来了

本文转载自微信公众号「开源最前线」，作者 猿妹综合整编。转载本文请联系开源最前线公众号。

去年7月份的时候，关于 GitHub 开始限制受美国贸易制裁国家的开发者的新闻闹得沸沸扬扬，因为在当时，Github上出现许多开发者账号被封的情况，这些开发者大多来自美国贸易制裁的国家。

该事件引起许多开发者的注意，Github现任CEO Nat Friedman 在个人Twitter上回应了此事：为了遵守美国的制裁规定，Github不得不限制伊朗、叙利亚和克里米亚开发者的私有仓库(private repo)和付费账号，但是他们依然会和美国监管机构相互探讨Github能在多大程度上为受制裁国家的开发人员提供免费代码协作服务。

那么，GitHub 是美国的，里面的代码究竟受不受美国管制?近日，Linux 基金会发布了一份白皮书，里面详细介绍了开源社区该如何了解并遵循与美国出口管制要求及开源加密相关的一般性原则。

在白皮书中，Linux基金会明确表示，EAR似乎给开源社区敲响了警钟，但是好消息是，公开发布给全世界享用的开源技术是不受制于EAR的。因此，开源至今仍然是一个最为便利的全球协作的模式。

美国的EAR一般不会对开源模式造成影响，以下典型事项下是不受EAR限制的：

已公开发布的开源软件不受制于 EAR

已公开发布的开源规范不受制于 EAR

已公开发布的，说明硬件设计的开源文档不受制于 EAR

已公开发布的开源软件二进制不受制于 EAR

然而，若项目涉及加密技术，则开源社区可能需要采取一些其他的措施以满足 EAR “已发布”的要求。如果你的开源软件项目实施或使用属于 ECCN 5D002 规定的加密功能，那么根据 EAR 的要求，你将需要向 BIS 和 NSA 发送加密通知，具体的要求和做法都可以在这份白皮书中找到。

除此之外，开源社区还有一些其他需要注意的事项，诸如社区应该尽量保持技术对话的开放和公开。如果私人技术对话在社区内发生，这是正常的，但建议将社区决策和结果公开。对于我们的项目来说，使信息公开透明是很重要的，因为技术或技术信息的私人交流可能不符合 EAR 的“公开可得”标准。

完整白皮书地址：https://www.linuxfoundation.org/wp-content/uploads/2020/07/UnderstandingOpenSourceTechnologyandUSExportControls_Whitepaper_070220.pdf