導讀:近日,Linux 基金會發布了一份白皮書,介紹了開源社羣該如何瞭解並遵循與美國出口管制要求及開源加密相關的一般性原則。
近日,Linux 基金會發布了一份白皮書,介紹了開源社羣該如何瞭解並遵循與美國出口管制要求及開源加密相關的一般性原則。這個訊息是以中英文兩種語言一同釋出的,白皮書還用了中英文並列的方式展現了內容。
以下是 Linux 基金會的釋出訊息全文,該白皮書的PDF 版本可以從此下載。
簡介
開源開發的最大優勢之一是它實現了整個世界的協作。然而,由於開源開發是一項全球性的活動,它必然涉及跨國界提供可用的軟體。一些國家的出口管制條例,例如美國,可能需要採取額外的步驟來確保一個開源專案符合當地條例規定的義務。
Linux基金會最近釋出了一份關於開源社羣如何詳細解決這些問題的白皮書,點選此處可下載。本文概述了開源社羣應該瞭解並遵循的與美國出口管制要求和開源加密相關的一般性原則。
美國和其他國家的出口管制
《出口管理條例》(Export Administration Regulations)(以下簡稱“EAR”)是美國聯邦政府限制出口的主要條例,由美國商務部(US Department of Commerce)下的產業與安全域性(Bureau of Industry and Security)(以下簡稱“BIS”)釋出並定期修訂。《出口管制條例》適用於所有“受《出口管制條例》管制的物品,並可管制這些物品的出口、再出口或(在國內)轉讓。”
EAR下“出口”的定義較為寬泛。出口不僅包括從美國境內向境外輸送實物產品,還包括其他行為,例如向在美國居住的非美國公民或非美國合法永久居民傳送技術,以及向美國境外人員提供用於電子傳輸的軟體。
這 EAR 似乎給開源社羣敲響了警鐘,但是好訊息是,公開發布給全世界享用的開源技術是不受制於EAR 的。因此,開源至今仍然是一個最為便利的全球協作的模式。
為了符合 EAR 的要求,如果開源技術是公開的,不受進一步傳播的限制,那麼它是“已釋出的”,因此“不受制”於 EAR。
除美國外,歐盟在其出口管制條例中也有類似規定。
什麼樣的開源專案不受 EAR 和歐盟出口限制?
所有。Linux 基金會以及與我們合作的專案社羣製作的開源軟體均已釋出,並且在沒有任何傳播限制的前提下供公眾透過公開渠道獲取。
以下情形(但不僅限於此)不受到 EAR 限制,因為“開源”“已釋出”:
◈已公開發布的開源軟體不受制於 EAR
◈已公開發布的開源規範不受制於 EAR
◈已公開發布的,說明硬體設計的開源文件不受制於 EAR
◈已公開發布的開源軟體二進位制不受制於 EAR
然而,若專案涉及加密技術,則開源社羣可能需要採取一些其他的措施以滿足 EAR “已釋出”的要求。
使用加密技術的專案
EAR 規範了特定加密軟體和技術的出口。“加密軟體”的定義非常廣泛,並可能包括僅啟用或啟用其他軟硬體產品的加密功能的軟體。
但是,與已釋出的軟體不受制於 EAR 一樣,使用加密技術的軟體即如符合以下兩個條件,則不受制於 EAR:(1)該原始碼是“可公開獲取”的,以及(2)已向第742.15(b)部分所提供的電子郵箱地址傳送了郵件以示通知。
為符合第一項豁免要求,“可公開獲取”指的是在 EAR 法下“已釋出”的定義,這包括透過公共站點進行釋出(即公開傳播)。只要完全公開的開源軟體專案達到該標準,則應當視為透過了衡量標準的第一部分要求:如果專案的原始碼可在網際網路上公開獲取,則應被視為“可公開獲取”。
為滿足上述衡量標準的第二部分要求,還需要向兩個指定的郵箱地址傳送郵件(一個是 BIS 的郵箱地址:[email protected],另外一個是國家安全域性(National Security Agency)(簡稱“NSA”)的郵箱地址:[email protected])。郵件內容需要包括可公開獲取的原始碼的 URL 地址(或原始碼本身)。如 URL 或原始碼發生任何變更,則需要再次以郵件形式通知上述郵箱地址。
當該可公開獲取的加密原始碼透過了上述兩項衡量標準後,那麼相應的目的碼也將不受 EAR 管轄。
Linux 基金會的所有專案原始碼,包括加密軟體,均可公開獲取,我們也已經提供瞭如上所述的電子郵件通知。我們也在LF 官網上公開了上述電子郵件通知的副本。所以,Linux 基金會的專案原始碼及對應的物件程式碼均不受制於 EAR 關於加密的限制。
請注意,上述情況只適用於開源專案本身。如原始碼並未公開,修改了專案程式碼的下游分銷商或其衍生產品的下游分銷商仍然需要自行評估是否符合 EAR 的規定(和其出口的其他軟體一樣)。
除了使用加密技術的專案外,EAR 還在 2020 年 1 月為採用神經網路驅動的地理空間分析培訓的系統增加了一項新法規。與其他公開提供的開源技術一樣,公開發布的開源軟體,即使是在神經網路驅動的地理空間分析培訓這一類別中,也不會受到 EAR 的約束。請參閱我們的完整白皮書瞭解更多說明。
開源軟體社羣的最佳實踐
雖然開源專案不受 EAR 限制,但我們已經學習或者掌握了一些可能對所有開源社羣有所助益的實踐,都與出口管理條例相關。
我們經常用“公開”這個詞來形容許多事情:開源許可、公開和透明的討論、公開的社羣、公共智庫裡儲存的可公開獲取的原始碼。對於開源社羣來說,“公開”似乎是顯而易見的做法,但以下是一些社羣需要考慮的具體建議。
開放,公開
首先,社羣應該儘量保持技術對話的開放和公開。如果私人技術對話在社羣內發生,這是正常的,但建議將社羣決策和結果公開。對於我們的專案來說,使資訊公開透明是很重要的,因為技術或技術資訊的私人交流可能不符合 EAR 的“公開可得”標準。
出現的一個問題與在安全披露過程中交換與安全問題有關的資訊有關。作為一種最佳實踐,專案可能會考慮在修復程式可用時公開此類交換,而不是將此資訊限制在一個機密的公開列表中。
向 BIS 和 NSA 傳送加密通知
如果您的開源軟體專案實施或使用屬於 ECCN 5D002 規定的加密功能,那麼根據 EAR 的要求,您將需要向 BIS 和 NSA 傳送加密通知。EAR 的具體要求如下:
◈傳送電郵至 [email protected] 及 [email protected]。如果您的專案是LF的專案,並且您的通知沒有出現在我們的出口管理頁面上,請傳送通知至 [email protected]。
◈郵件應該包括含有可公開獲取加密原始碼的網站地址,或原始碼本身。
◈如果您提供的是網站地址,那麼每次更換網站地址時,您都必須透過電子郵件傳送通知,但是您不需要通知有關原始碼本身的更新或者變更。
◈如果您提供的是原始碼本身,那麼每當加密功能進行更新或者變更後,您都必須提供最新的原始碼。
Linux 基金會建議將其他的一些細節作為最佳實踐:
◈為了加強透明度和展現合規性,將提交給 BIS 和 NSA 的通知公開化。這也有助於解決下游使用者對社羣是否傳送了通知的疑惑。透過公開通知的方式,您可以避免這些困擾。
◈附加聯絡方式和負責專案的法人實體的名稱。
◈設計一個保留中期至長期證據的系統(證明傳送給 BIS 和 NSA 的通知電郵實際上已經送達)。因為如果將來發生問題,或者如果個人無法訪問該“已傳送”郵箱,僅依靠“已傳送”郵箱記錄不是個好辦法(例如發件人跳槽了)。
此外,如果您正在以目的碼的形式分發公開可用的加密軟體,那麼您還需要確保它也以原始碼的形式公開可用。
如果必須以二進位制或目的碼形式分發加密軟體,那麼就必須確定相應的原始碼是可公開獲取的。最簡便的方式就是自主將該加密軟體版本的原始碼公開,作為專案本身的原始碼。(事實上,根據適用的開源許可,這對遵守開源許可可能也是必要的,或者至少是有用的!)
除人工稽覈外,還有一些效能各異的掃描工具(例如Fossology和exportctl),可以掃描原始碼並探測加密功能的應用。沒有一種自動掃描工具能夠完美地檢測出所有的應用,但這些工具可能有助於識別大型程式碼庫中的加密軟體。