Linux 基金会发布白皮书:公开发布给全世界的开源技术不受 EAR 约束
Linux 基金会近期发布了一份有关开源社区注意事项的白皮书《了解开源科技和美国出口管制》,并发文概述了开源社区应该了解并遵循的与美国出口管制要求和开源加密相关的一般性原则。
EAR(Export Administration Regulations,出口管理条例)是美国联邦政府限制出口的主要条例,由美国商务部下的产业与安全局(Bureau of Industry and Security,BIS)发布并定期修订。EAR 适用于所有受《出口管制条例》管制的物品,并可管制这些物品的出口、再出口与转让。
EAR下“出口”的定义较为宽泛。出口不仅包括从美国境内向境外输送实物产品,还包括其它行为,例如向在美国居住的非美国公民或非美国合法永久居民传送技术,以及向美国境外人员提供用于电子传输的软件。
而如果开源技术是公开的,不受进一步传播的限制的,那么它是“已发布的”,因此不受制于 EAR。具体来说,EAR 明确豁免了大多数以开源形式呈现的软件和技术。有一些事项被明确列为不受制于 EAR,意味着它们被置于 EAR 法规管辖外并不受这些法规的约束。
EAR 第 734.3(b)条规定了一些事项不受制于 EAR,“如第 734.7 条所述的,(i)已经发布的信息及‘软件’”,该部分规定“已发布”的事项不受到 EAR 的管辖。具体来说,其规定“当可被公众获取且无进一步传播限制时,未被归类为密级事项的‘技术’或‘软件’属于‘已发布’,因此不属于受 EAR 管辖的‘技术’或‘软件’”。
所以“已发布”(published)是关键要素,如果开源技术不受进一步传播的限制且可被公开获取,那么它将被视为“已发布”了的开源事项,并将因此不受制于 EAR,亦即“open source technologies that are published and made publicly available to the world are not subject to the EAR(公开发布给全世界的开源技术不受 EAR 约束)”。
Linux 基金会表示:来自 Linux 基金会以及与我们合作的项目社区的开源软件均满足 EAR 第 734.7 条中“已发布”的要求。同时还列举了部分典型情况:
- 已公开发布的开源软件不受制于 EAR
- 已公开发布的开源规格不受制于 EAR
- 已公开发布的,说明硬件设计的开源文档不受制于 EAR
-
已公开发布的开源软件二进制不受制于 EAR
不过在项目涉及加密技术时,则需要考虑更多:
- “加密软件”的定义非常广泛,并可能包括仅激活或创设其它软硬件产品的加密功能的软件。对于具备标准加密功能的软件,包括在软件设计文档中呈现的加密硬件。
- 首先要确认的是:该加密软件是否在 EAR 的管辖范围内。
- 属于 ECCN 5D002 的加密源代码如符合以下两个条件,则不在 EAR 的管辖范围内:
- 该源代码是“可公开获取”(publicly available)的:指的是在 EAR 定义的“已发布”(published),包括通过在公开的网页上进行发表(即公开传播)。如果项目的源代码可在互联网上公开获取,则应被视为“可公开获取”。
- 已向 EAR 第 742.15(b)条所载的电子邮箱地址发送了电子邮件以示通知:需要向两个指定的邮箱地址发送邮件:一个是 BIS 的邮箱地址,另外一个是国家安全局(National Security Agency,NSA)的邮箱地址。邮件内容需要包括可公开获取的源代码的 URL 地址(或源代码本身)。如 URL 或源代码发生任何变更,则需要再次以邮件形式通知上述邮箱地址。
在通过了上述两项衡量标准后,相应的代码也将不受 EAR 管辖。
Linux 基金会表示其所有项目源代码,包括加密软件,均可公开获取,也已经提供了所要求的电子邮件通知,并在官网上公开了电子邮件通知的内容。“所以,Linux 基金会的项目源代码及对应的目标代码均不受 EAR 关于加密的限制”。
需要注意的是,上述情况只适用于开源项目本身,修改项目代码或其衍生产品的下游再分销商在源码并未公开时,仍然需要评估其是否符合 EAR 的规定。
Linux 基金会的文章中还对 BIS 于 2020 年 1 月 6 日宣布的一项新的关于“训练深度卷识神经网络自动分析地理空间图像和点云(point cloud)能力的特殊地理空间图像软件的管控权”的 EAR 规定进行了解读。
本文仅为帮助国内开发者理解对 Linux 基金会的原文作了简单介绍,不构成任何法律意见,详细情况请查看原博文:https://www.linuxfoundation.org/blog/2020/07/understanding-us-export-controls-with-open-source-projects
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
Debian 8 LTS 生命周期已结束
Debian 8 "Jessie" LTS 的生命周期已结束,官方也已终止为其提供技术支持。 Debian 8 首发于2015年4月26日,在接收来自官方 5 年的技术支持后,已于2020年6月30日到达 EOL 阶段。这就意味着,Debian 团队将会不再为 Debian 8 提供进一步的安全更新,部分软件包将由第三方提供支持(商业服务),详情查看Extended LTS。 而 Debian 项目的 LTS 团队将转移至为Debian 9 "Stretch" 提供技术支持,LTS 团队已于2020年7月6日从安全团队接管了对 Debian 9 的支持,"Stretch" 的最后一个小数点版本更新将于7月18日发布。 Debian 9 同样会获得 5 年的免费技术支持,将于2022年6月30日结束。受支持的架构包括 amd64, i386, armel 和 armhf。此外,官方还宣布支持的架构范围将首次扩大到 arm64 架构。 有关使用 stretch LTS 和从 jessie LTS 升级的更多信息查看LTS/Using。
- 下一篇
谷歌不顾 CNCF 自建开源组织,Istio 商标转移引争议
近日,Google 宣布将旗下三个重要的开源项目(Istio、Angular、Gerrit)的商标所有权转移至一个新的中立组织Open Usage Commons(OUC),并称该组织将为开发人员提供处理和使用这些品牌商标的建议。这一看似进一步拥抱开源的举措,却也引发了业内的一些争议。 Google 建立的“中立”组织 当地时间 7 月 8 日,Google 在 Istio 官方博客发布公告,宣布将该项目的商标所有权移交给一个全新的组织,即 OUC,以提供对商标的中立监督。公告表示,“从历史上看,商标的管理混乱是阻碍开源项目发展的因素之一。今天,我们宣布建立开放使用共享组织,Open Usage Commons(OUC),该组织致力于将开源的理念和定义延伸至项目的商标管理。” 从OUC 的官网了解到,这个新组织已经从 Google 获得了一些初始资金,并且除了 Istio 以外,该组织还获得了知名 Web 框架 Angular 以及代码协作工具 Gerrit 的商标所有权。而这三个项目都与 Google 紧密相关。但这些项目的代码或代码管理权并没有被转移到 OUC。 Google 母公...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- SpringBoot2整合Redis,开启缓存,提高访问速度
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- CentOS7,8上快速安装Gitea,搭建Git服务器
- CentOS关闭SELinux安全模块
- CentOS8安装Docker,最新的服务器搭配容器使用
- Eclipse初始化配置,告别卡顿、闪退、编译时间过长
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- CentOS6,CentOS7官方镜像安装Oracle11G
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- CentOS6,7,8上安装Nginx,支持https2.0的开启