报告核心观点 - 开源发展能实现跨边界协作 透明公开且跨越组织和地域界限 促使全球人员和组织共同成就伟大开源技术 开源发展是全球性活动 涉及软件跨国界分享 一些国家出口管制法规可能要求开源项目采取额外措施确保遵守当地法律 美国《出口管制条例》一般不会对开源模式造成影响 公开发布的开源技术通常不受制于该条例 [4][5][8] 美国《出口管制条例》（EAR）介绍 - EAR是美国联邦政府限制出口的主要条例 由美国商务部下的产业与安全局发布并定期修订 适用于所有“受制于EAR”的物品 管制其出口、再出口或境内转让 EAR下“出口”定义宽泛 包括多种行为 但公开发布给全世界的开源技术通常不受制于EAR [10][11][14] 将EAR应用于开源软件 - EAR界定可能受出口限制事项范围 并为不同物品提供ECCN编码 有些物品受制于EAR 需满足一定条件才能出口 开源技术优势在于EAR明确豁免大多数开源软件和技术 公开发布且无传播限制的开源技术被视为“已发布” 不受EAR管辖 欧盟也有类似可公开获取软件和技术不受出口管制的政策 与EAR范围内事项无关的活动不受EAR限制 若项目含非标准加密技术 开源社区可能需额外措施满足“已发布”要求 [16][17][26] 实施非标准加密技术进行加密 - 2021年后EAR的电子邮件通知要求仅适用于实施“非标准加密”的可公开获取加密软件 “非标准加密”指结合或使用专有或未公布加密功能 软件开发者关注的加密技术是EAR重要内容 EAR管理特定加密软件和技术出口 “加密软件”定义广泛 具备标准加密功能的软件常见ECCN类别是5D002 加密软件若受制于EAR 出口到加拿大以外国家需确认例外适用或获取出口许可证 但首先要确定其是否在EAR管辖范围内 [28][29][30] - 属于ECCN 5D002的加密源代码满足“可公开获取”且实施标准加密技术或实施非标准加密技术并发送邮件通知两个条件 则不受EAR管辖 相应目标代码也不受EAR管辖 开源软件项目中发现非标准加密罕见 使用此类加密应咨询法律顾问 [32][33] - Linux基金会项目源代码包括加密软件均可公开获取 多数为标准加密 且提供邮件通知并公开通知内容 所以其项目源代码及对应目标代码不受EAR加密限制 但修改项目代码或其衍生产品的下游再分销商在源码未公开时 仍需评估是否符合EAR规定 [36][38] 神经网络驱动的地理空间分析训练 - 2020年1月6日BIS宣布的新EAR规定 对专门训练深度卷积神经网络自动分析地理空间图像和点云的地理空间图像软件进行管控 “点云”指坐标系统界定的数据点集合 规定虽立即生效但可能发展变化 可公开获取的软件如开源软件不受EAR管辖 [40][42] - 新规定适用范围狭窄 软件需同时具备提供图形用户界面识别物体、对阳性样本进行归一化、训练深度卷积神经网络、利用训练好的网络识别物体等功能才受管辖 不具备所有功能的软件不受新规定管辖 现有或新创建的可公开获取开源项目不受EAR管辖 [41][42][46] 开源软件社区的最佳实践 - 公开化和公众化 社区应保持技术交流开放公开 公开社区决策和结果 安全问题信息交换可在修复后公开 公开交流虽有时不适但利于建立透明信任社区 [49][50][53] - 使用标准加密法加密 避免在开源项目中使用未公开的非标准加密技术 若项目提供ECCN 5D002项下加密功能并实施非标准加密 需按EAR要求向BIS和NSA发送通知 还可采取公开通知、附加联系方式和负责方名称、建立证据保留系统等措施 [56][58][62] - 确保相应的加密源代码是能够公开获取的 以目标代码形式公开分享加密软件时 要确保源代码可公开获取 项目维护者应审查加密功能分发形式 必要时确保对应源代码公开 除人工审核外 扫描工具可辅助识别大型代码库中的加密软件 [63][64][66]