Apache 基金会与 GitHub 均受美国出口法律约束，这对开发者有何影响？

ASF 受到美国 出口 法律约束

近日，ASF 官网出现了一则关于 ASF 产品出口控制状态 的说明。文中指出，ASF 是位于美国的非盈利性慈善机构，所有产品通过公共论坛在线协作开发，并从美国的中央服务器发布，所以 Apache 项目的发行版需要遵循美国的出口法律和法规，并且随着产品和技术再出口到不同的地方依旧保持有效。

也就是说，出口、再出口、记录保存、ASF 产品捆绑和嵌入、加密报告和装运文件都需要遵循出口管制分类和相关限制信息。如果说得再明白一点就是，除非经美国政府正式授权，否则 ASF 软件、技术或数据不得直接或间接出口 / 再出口到受美国禁运或贸易制裁的地方。美国政府保留 出口禁止名单 ，包括但不限于 财政部的特别指定国民名单 和  商务部的实体和被拒绝人名单 。

划重点，美国时间 2019 年 5 月 15 日，特朗普签署了一份行政命令，宣布因为国家经济紧急状态，禁止企业使用对国家安全造成风险的外国制造设备。随后美国商务部声明，把华为及 70 个附属公司增列入出口管制的实体清单。

GitHub 受到美国 出口 法律约束

不止 ASF，GitHub 官网也发消息称，“ GitHub.com 、GitHub Enterprise Server 以及您上传到任一产品的信息可能受美国出口管制法律的约束，包括美国出口管理条例（EAR）。”

GitHub 官网发布的内容主要有以下几个要点：

• 根据 GitHub 的服务条款 ， 用户只能按照适用法律访问和使用 GitHub.com ，包括美国出口管制和制裁法律。根据美国和其他适用法律，特别指定国民名单和其它被拒绝、被封锁的人士禁止访问、 使用 GitHub.com ， 用户不得代表此类各方使用 GitHub.com ，包括受制裁国家 / 地区的政府。
• 根据美国财政部海外资产控制办公室（OFAC）发布的授权，Github 可允许受美国制裁的管辖区内或通常居住在管辖区内的用户访问某些 Github.com 服务。在访问 GitHub 服务时，这些管辖区内的人员和居民不得使用 IP 代理、VPN 或其他方法来伪装其位置，并且只能使用 GitHub 进行非商业的个人通信。
• GitHub Enterprise Server 不得出售、出口或再出口到清单中的国家，目前清单中已经包含古巴、伊朗、朝鲜、苏丹与叙利亚。

对开发者有何影响

在听到 ASF 和 GitHub 均受到美国出口法律约束时，很多技术人担心国内的开源项目也将迎来“至暗时刻”。那么，这两则消息到底真正约束的是什么？对于中国开发者来说，有什么影响？是否有比较好的应对措施呢？

ASF 到底限制了什么？知乎网友李道兵分析称：“只是 ASF 提供的服务受到了美国法律的限制，例如会员服务、下载服务、网站服务等。”而 ASF 在官网发表的文章指出，公开可用软件只有 ECCN 为 5D002 或 5D992 时才会受到 EAR 约束。

至于 GitHub，首先中国还没有被加入到清单中，还有缓冲时间。其次，主要受影响的是 GitHub 企业版，但是大多数企业在采购之后，都是在企业内部部署使用。最后，目前只有 ERA 限制的加密技术不可出口，其它开源软件项目很难被限制。

面对这些限制，开发者应该如何破解难题呢？根据李道兵的分析，想要解决限制的问题也不难，“用户只是不能从 ASF 网站下载软件，但是可以从任何发行版、镜像站或者其它能够获取到软件的地方（包括从你的朋友手上拷贝一份）去下载。而且受到 License 的保障，用户仍可以继续使用、修改、分发软件。如果该软件更换了不自由的软件协议，那么用户还可以继续使用比较自由的老版本。”

那么这是不是意味着美国这一举措毫无“攻击力”呢？当然不是，这一举措还是有很多隐忧的，例如，美国 ERA 条款中是否会增加更多的技术，如果通讯、大数据等相关技术被限制的话，那么对于中国企业和开发者也会有很多影响。另外，还有人担心编程语言是否会受到限制，毕竟像 Java 等各大语言的核心都在美国。

附 ASF 产品分类矩阵：