报告预览

中国开放指令生态（RISC-V）联盟：开源项目风险分析与对策建议（44页）.pdf

编号：16195

PDF 44页 1.71MB 下载积分：VIP专享

下载报告请您先登录！

中国开放指令生态（RISC-V）联盟：开源项目风险分析与对策建议（44页）.pdf

1、开源项目风险分析与对策建议报告解读 CRVA联盟秘书处中科院计算所 2019.6 开源项目总览开源基金会开源许可证托管平台贡献者用户开源项目依赖关系项目声明开源信息流动内容法律约束国际开源组织国内开源现状三种约束 1. 出口管制（Export Control）商品出口 2. 司法管辖权（Jurisdiction）商业纠纷 3. 开源许可证（License）知识产权约束1：出口管制国家出于政治、经济、军事和对外政策的需要，制定的商品出口的法律和规章，以对出口国别和出口商品实行控制美国出口管制条例（EAR，Export Administration Re

2、gulations）主要规定是否能从美国出口货物到外国，以及是否可以从外国“再出口（re-export）”到另一个外国按照EAR 的规定（734.7b 和742.15b）：所有“公开可获得（publicly available）”的源代码（不含加密软件以及带加密功能的其他开源软件），都不被出口管制 “公开可获得”的带加密功能的源代码，被出口管制，但不会被限制出口，需提前登记备案（5D002）默认情况 vs. 潜在风险默认情况：开源项目（除含加密功能的开源项目需备案外），都属于“公开可获得”的代码，可以正常使用极端情况下的潜在风险：如果一个开源项目或开源组织声明遵从美国的

3、出口管制条例，一旦美国修改 EAR，将高性能软件、EDA软件等一些核心基础软件加入到管制中并且将目前“备案即不被管制”修改为“备案且需要被管制”，那就意味着大量核心开源项目将受到出口管制 2018年11月，美国BIS曾就AI和机器学习等新兴技术是否加入管制名单征求公众意见（后未果）美国出口管制条例修改频繁根据美国政府的需要，EAR可随时被修改事实上，美国也一直频频修改EAR https:/www.bis.doc.gov/index.php/regulations/export-administration-regulations-ear 软件源码 vs. 美国出口管制条例经典案

4、例案例1：1995年Junger vs. US Department of State1 大学教授Junger要在课上为学生讲述技术相关的法律，其中有关于软件加密的技术，但听课的学生中有外国留学生，因此也落入了出口管制限制的范围，并且面临百万美金巨额罚款和最高10年刑期的诉讼案例2：1996年Bernstein vs. US Department of Justice2 学生Bernstein是为了公开发表自己发明的加密算法论文，并且希望可以公开的、不受限制的参加学术会议讨论他的算法 1 https:/www.eff.org/cases/junger-v-dept-state 2

5、 https:/www.eff.org/cases/bernstein-v-us-dept-justice 诉讼观点 vs. 美国法院最终判决诉讼人观点：软件源代码应该是一种言论自由，并且应该受宪法第一修正案保护美国法院最终判决：软件源代码是言论自由，受宪法第一修正案的保护；美国政府不能试图限制软件源码流通对开源软件代码的影响：美国政府没有能力对软件源代码实施禁运思考：诉讼人如果不是美国公民，美国法院会如何判决？案例总结美国宪法：开源 = 言论自由，受宪法保护 PGP开源加密算法案例中，美国教授胜诉但美国宪法保护的是美国公民中美关系冲突时，国家利益高于一切美国宪法并

6、不会保护中国公民和企业的利益约束2：司法管辖权司法管辖权又称为审判权，是指法院或司法机构对诉讼进行裁决和判决的权力使用网站或注册会员时，如果其使用条款（Terms of Use）或会员条款（Membership Agreement）中指定了司法管辖权的归属，则代表合同双方同意只承认指定的司法机关做出的判决为赔偿的依据默认情况 vs. 潜在风险默认情况：在无侵犯知识产权等商业纠纷时，不触发司法行动极端情况下的潜在风险：如果一个开源项目或开源组织指定了司法管辖权归属于美国某法院，那么所有围绕使用条款展开的纠纷，都将以该美国法院的判决为准。约束3：开源许可证开源许可证

7、属于软件许可证软件许可证是一种具有法律性质的合同或指导，目的在于规范受著作权保护的软件的使用或散布行为当下常用开源许可证（如BSD、MIT、GPL）都是围绕代码的版权声明，以及修改后是否可以闭源等问题展开的早期的开源许可证如MPL 1.1等，在协议中指定了其司法管辖权在美国加州，但现在皆已弃用当下常用的开源许可证保护的是知识产权，其自身与出口管制和司法管辖权并无关联默认情况 vs. 潜在风险默认情况：开源许可证的作用为保护知识产权，不涉及国家法律层面的其他条款（如出口管制、司法管辖权等）极端情况下的潜在风险：如果美国NSF、NASA 以国防安全为由，制定一个新的开

8、源许可证，限制其资助的所有开源项目只能在美国使用和发布，则美国以外的其他国家将失去这部分开源项目的使用权。国内公司一旦使用，就会侵犯知识产权开源许可证受法律保护著作权侵权案例1：2006年美国Jacobsen vs. Katzer1 被告方使用原告方基于Artistic License 1.0开源协议开发的代码，但并未注明原作者信息，因此诉讼被告方侵害了原告方的著作权案例2：2006年德国Welte vs. D-Link2 D-Link软件产品使用了基于GPL2协议的软件，但其产品不开源案例3：2010年Oracle起诉Google Android侵犯著作权开源代码的原作者

9、可以依照版权法提起侵权诉讼对于开源软件用户来说，使用免费得到的开源代码，如果违反了原始许可证协议，会被法律判定为侵犯开源软件作者著作权 1 2 张汉华.违反开源软件许可证的法律救济以德国法为视角. 法学评论，2015年03期开源许可证受法律保护违反特定约束开源软件用户被开源许可证赋予了特定权力，同时也被规定必须遵守特定的约束典型案例： 2002年，MySQL AB控告Progress NuSphere违反GPL发布衍生作品，最终和解 2008年，自由软件基金会对Cisco公司提起诉讼，Linksys品牌的多个产品违规使用GPL开源软件，Cisco被迫和解，贡献代码并向自由软件

10、基金会提供实际资金支持 2007年始，BusyBox公司和软件自由法律中心控告了Monsoon Multimedia、Xterasys、High-Gain Antennas等公司违反GPL许可证，大多公司被迫修改自己软件的许可证并做赔偿 2009年，Microsoft 承认在其Windows 7下载工具软件中违规使用了 GPL开源软件，并在Windows Store中撤下该工具，并承诺做出修改。该工具为微软请第三方开发的，并未对相关代码进行评估开源许可证受法律保护专利侵权对于开源软件的贡献者而言，所创作的软件作品中可能已经使用了一个或多个专利技术，从而可能侵犯专利权用户所获取的

11、开源软件是依照专利技术获得的软件产品，使用该软件产品也是可能侵犯专利权的利用开源许可证协议，可避免一部分专利侵权风险例如，在Apache-2.0许可证下，贡献者将其贡献的开源软件中的专利权许可给用户，并约束用户不能就自己对该开源软件中的贡献向任何实体主张专利侵权典型案例： 2003年Unix系统开发商SCO公司（拥有Unix专利）起诉IBM公司贡献给Linux 开源操作系统的代码中涉嫌专利侵权 2004年OSRM（开源软件风险管理）发布研究报告指出，Linux潜在地侵犯了 283项专利。其中包括微软27项，IBM60项，惠普20项以及英特尔11项 2007年微软声称Linux侵犯了其

12、235个专利小结出口管制司法管辖权开源许可证效力范围商品出口商业纠纷知识产权默认情况对开源项目出口管制无（含加密功能需备案）无无极端情况潜在风险可管制开源项目由指定美国法院裁决侵犯知识产权发生条件需修改出口管制条例出现纠纷制定新开源许可证美国出口管制针对的是威胁到其国防安全的“政府行为”和“商业行为“。除企业外，中国有数所高校（北航等）也被列入实体名单。所在基金会声明、开源项目声明和开源许可证，任意一个出现了出口管制和司法管辖权的相关条款，都将约束该开源项目内容法律约束国际开源组织国内开源现状开源项目的四个依赖开源基金会开源许可证托管平台

13、贡献者用户开源项目依赖关系项目声明开源信息流动依赖1：开源基金会开源基金会管理开源项目调研12个基金会自由软件基金会，软件自由保护组织，Linux基金会、Apache软件基金会、Eclipse基金会，OpenStack基金会，Python软件基金会、 Mozilla基金会、Open Networking 基金会、RISC-V基金会、 HAS基金会、Free and Open Source Silicon基金会管理办法差异较大 Linux基金会自身的管理办法不受美国出口管制 Apache基金会管理办法明确说明遵循美国出口管制 Mozilla基金会明确声明司法管辖权归属加州

14、 RISC-V基金会隶属于Linux基金会，没有特别声明受美国出口管制；但指明其司法管辖权在美国特拉华州依赖2：开源项目自身声明开源项目隶属于开源基金会，默认遵从基金会的声明，但开源项目可独立声明分布式存储项目Ceph隶属于Linux基金会，但明确说明司法管辖权归属美国加州，且出口方遵循美国出口管制，是Linux基金会中的特例。 You agree that any action at law or in equity arising out of or relating to these Terms or the Service shall be filed only in t

15、he state or federal courts in and for the County and State of Los Angeles. you ensure that you do not use the Service in violation of any applicable laws and regulations (including without limitation the Export Administration Regulations, the International Traffic in Arms Regulations, 依赖3：开源许可证调研6个

16、开源许可证： GPL LGPL BSD MIT Mozilla Apache 均未涉及与政府出口管制相关的声明说明：但并不代表其不受出口管制和美国法律约束，该项目还要同时取决于所在基金会声明和项目自身的声明依赖4：代码托管平台调研3个代码托管平台： GitHub SourceForge Google Code 三个平台均明确声明遵守美国出口管制条例，并且司法管辖权均在加州案例分析：GitHub GitH明确声明GitH、 GitHub Enterprise Server，以及两者上的信息都是被出口管制针对国家的条款 GitHub Enterprise Server是商品，被出口

17、管制，不能出口到被制裁国家（如伊朗等）学术界仍可访问GitHub 免费服务，公司和其他结构目前尚不确定争议：GitHub上的代码是否受到出口管制？ GitHub上的代码存在两重身份开源代码 - 不被出口管制 GitHub上的信息 - 受到出口管制表面上看会得出相互矛盾的结论但GitHub的司法管辖权在美国加州最终解释权归美国加州法院即受到出口管制美国以外其它托管平台开发者规避GitHub出口管制风险已有开源项目情景1：已有开源项目同时托管多个平台未托管平台开源信息流动受到美国出口管制不受美国出口管制已托管平台美国以外其它托管平台开发者规避Git

18、Hub出口管制风险发起人使用本地副本创建托管项目已有开源项目发起者未托管平台开源信息流动受到美国出口管制不受美国出口管制已托管平台情景2：已有开源项目只在GitHub托管美国以外其它托管平台开发者规避GitHub出口管制风险发起人创建托管项目发起者新启动开源项目情景3：新开源项目开发者同时在多平台创建托管发起人创建托管项目发起者未托管平台开源信息流动受到美国出口管制不受美国出口管制已托管平台美国以外其它托管平台开发者规避GitHub出口管制风险新启动开源项目情景4：新开源项目开发者只在美国以外平台创建托管发起人创建托管项目发起者未托管

19、平台开源信息流动受到美国出口管制不受美国出口管制已托管平台小结虽然开源基金会和开源许可证允许不涉及加密功能的开源项目规避出口管制，但因为代码托管平台会受到出口管制，因此这些代码托管平台的开源项目仍然会受到出口管制的影响存在规避手段，但前提是有美国以外的代码托管平台内容法律约束国际开源组织国内开源现状转折点长期以来，中国用户以使用开源为主，对开源社区贡献较少。但近年来，国内开源社区对国际开源项目的贡献已经日趋瞩目华为、阿里、百度、腾讯等公司为首的公司和个人已经在国际各开源项目中占据了越来越重要的角色华为在Linux Kernel中的贡献华为在Linux

20、 Kernel 5.1 中的patch提交数量位居全球第五（企业界第四） 2019年 BAT在GitHub上贡献者位居前20 2018年中国的代码托管平台制定开源许可证总结其一，合理的开源基金会管理办法可以规避美国出口管制。选择开源项目时务必要同时仔细阅读三个声明：所属开源基金会的声明，项目本身的声明，所用的开源许可证声明其二，开源许可证关联的是知识产权（版权），与出口管制无关。现有常用开源许可证并没有在知识产权层面上对中国进行管制，但不排除未来会出现将使用范围限定在美国的开源许可证的可能其三，代码托管平台同时受出口管制和司法管辖权的限制，是开源最大的风险。在开源项目

21、发起人与开发者的支持和配合下，一部分开源项目有可能规避托管平台带来的出口管制长远来看，中国必须建立起自己的开源项目托管平台，发展自身的开源力量，并以更开放的方式吸引全世界的开源爱好者声明本解读，及其对应报告开源项目风险分析与对策建议皆由中国开放指令生态（RISC-V）联盟秘书处整理编撰。致谢：联盟理事长，倪光南院士中国科学院计算技术研究所，孙凝晖研究员咨询委员会专家的指导和联盟成员曾为本文提供咨询的法律专家和技术专家，以及美国、瑞士和伊朗的教授们联盟秘书处：包云岗、常轶松、蒋德钧、唐丹、王卅解壁伟、余子濠、张科、赵然谢谢！中国开放指令生态(RISC-V)联盟 2018年11月8日在乌镇世界互联网大会宣布成立计算所牵头，已有近60家单位与个人加入 CRVA联盟总体目标以RISC-V为抓手推动开源芯片生态 CRVA联盟活动 2018.11 2019.1 2019.5 2019.6 2019.8 2019.9 2019.10 深圳世界智能计算机大会开源芯片论坛、竞赛天津APPT19 RISC-V论坛乌镇第六届世界互联网大会论坛、展览活动预告往期活动台湾新竹RISC-V论坛

友情提示

1、下载报告失败解决办法
2、PDF文件下载后，可能会被浏览器默认打开，此种情况可以点击浏览器菜单，保存网页到桌面，就可以正常下载了。
3、本站不支持迅雷下载，请使用电脑自带的IE浏览器，或者360浏览器、谷歌浏览器下载即可。
4、本站报告下载后的文档和图纸-无水印,预览文档经过压缩，下载后原文更清晰。

本文（中国开放指令生态（RISC-V）联盟：开源项目风险分析与对策建议（44页）.pdf）为本站（起风了）主动上传，三个皮匠报告文库仅提供信息存储空间，仅对用户上传内容的表现方式做保护处理，对上载内容本身不做任何修改或编辑。若此文所含内容侵犯了您的版权或隐私，请立即通知三个皮匠报告文库（点击联系客服），我们立即给予删除！

温馨提示：如果因为网速或其他原因下载失败请重新下载，重复下载不扣分。

上海品茶

中国开放指令生态（RISC-V）联盟：开源项目风险分析与对策建议（44页）.pdf

中国开放指令生态（RISC-V）联盟：开源项目风险分析与对策建议（44页）.pdf