开源公司 HashiCorp 国内险遭禁,阿里、华为也要做

 新闻资讯     |      2020-06-04 05:00

日前知名的DEVOPS服务商HashiCorp在官网(https://www.hashicorp.com/)宣布:不允许中国境内使用、部署和安装该企业旗下的产品和软件。我们知道HashiCorp公司的产品在国内的落地项目很多,对于已经成功布署了HashiCorp 产品的中国公司将如何处理等问题也没有做出明确回应。

不过笔者登陆了HashiCorp的官网后,发现其官网最新的声明已经进行了修改,而且也将其禁止范围,缩小到只对管理软件Valut进行了明确限制,其余如Terraform、Consul等明星产品并未提及不能用。

请注意,中国的出口管制法规禁止 HashiCorp 出售或以其它方式使用 Valut 的企业版适用于中国。因此,未经 HashiCorp 书面许可,不得在中国使用、部署或安装 HashiCorp 的 Valut 企业版软件。

目前最新称HashiCorp回应,该声明实际上这与开源软件无关,由于Vault产品目前并不支持中国的SM2、SM4等国密算法,在国内作为机密管理软件使用存在合规风险,而且美国出口管制法在涉及加密相关软件上也有相应规定。因此,HashCorp才在不得不在用户协议中提示风险。虽然这种说法未经其官方证实,但是综合目前消息来看,这则回应的可信度还是比较高的,笔者看到这里暂时松了一口气,开源软件的共享开放理念暂时未受到实质性的威胁。

HashiCorp是一家国际领先的Devops服务商,其最初版本全面禁用的声明真的是让人惊出一身冷汗,如果其软件在国内全面禁用,那么其影响之大,可能远超想象。

HashiCorp很多软件都在国内有着广泛的使用,笔者看了一下,如果一旦出现意外情况,那么HashiCorp旗下云基础架构和资源管理配置工具Terraform(Github地址:https://github.com/hashicorp/terraform)的断供影响将是巨大的,Terraform是将 Write, Plan, and create Infrastructure as Code, 即基础架构即代码理念贯彻最好的软件之一,Terraform也提供了Kubernetes应用程序的完整生命周期管理,包含Pod的创建、删除以及副本控制等。国内包括阿里、华为在内的公有云都支持Terraform。根据笔者翻阅到的资料阿里云terraform-provider-alicloud目前已经提供了超过 163 个 Resource 和 113 个 Data Source,覆盖计算,存储,网络,负载均衡,CDN,容器服务,中间件,访问控制,数据库等超过35款产品,已经满足了大量大客户的自动化上云需求。另外一个风险点是HashiCorp的服务发现软件Consul,此项目在国内的实际案例也很多。

其实这一事件并不是空穴来风,开源软件也开始向非技术因素妥协已经不是第一次发生了,在去年末的时候国际第二大开源网络巨头GitLab 的两个岗位(网站可靠性工程师和技术支持),就开始禁止招聘居住在中国和俄罗斯的工程师了。对此GitLab 称,“这是一些企业客户表达的担忧,也是当前环境下的行业普遍做法。”

虽然本次HashiCorp的禁用事件应该只是虚惊一场,但这绝对不能让我们放松警惕,不能排除后续会有其它企业会做出类似的决定,如果考虑到断供可能,那么笔者建议国内的厂商将ansible、cloudformation及zookeeper、etcd、euerka等Terraform和Consul的同类产品加入到考虑范围,以避免将鸡蛋放到同一个提子中所引发的相应风险。

目前开源的重要性已经不言而喻,在在云年末举办中国开源2019年会上 (COSCon’19)上,CSDN的创始人蒋涛就与GitHub副总裁 Dohmke展开《炉边对谈》,可以说开源就是IT业的未来,目前任何一家公司都不可能脱离软件,更不可能脱离开源。因此即使不考虑本次事件的非技术因素,如何用好开源软件的问题也值得中国业界同仁反思了,笔者整理了一下,有以下几个建议:

重要开源的专利许可条款:“React专利许可”事件为开源的专利问题敲响了警钟。React作为Facebook 内部开发 Instagram 的项目中,是一个用来构建用户界面的优秀 JS 库,于 2013 年 5 月开源。随着React用户的增多,Facebook在 2016 年7月,修改了开源许可协议中的附加专利条款 Additional patent grant,在 React 专利许可证添加了“反向授权协议”,大意是如果你在你的产品里用到了 React,哪怕只有一点点,你对于产品所拥有的知识产权也等于直接送给 Facebook 免费用。这一做法并在当时引起了业界强烈的反击。Apache基金会甚至把将 Facebook BSD+Patents 加入了黑名单,从开源项目中移除。Facebook迫于压力还是将授权协议改为了宽松的MIT许可。这一事件给Facebook在很多方面都带来了负面的影响,甚至在去年Libra的听证会上,还有议员问起Facebook是否会在其数字货币计划做大后,修改其发行许可的问题。所以说这样的事件也为咱们国内企业提醒,不要主动利用开源做专利方面的文章,但是也要关注其它公司修改许可的做法。

遵守开源规则,远离耻辱柱:很多知名的开源软件如FFMPEG都使用了GPL协议做为授权方案。而GPL与BSD, Apache Licence等鼓励代码重用的许可很不一样。GPL不允许其修改及衍生的项目做为闭源的商业软件发布和销售。不过还是有很多商业软件使用 FFMPEG 的代码但并未遵循 GPL 许可证的要求,因此FFMPEG的官方在2010年底上线了“Hall of Shame耻辱柱”来公开那些违反 GPL 许可规则的公司,其中有相当一部分是国内的企业,为此整个业界也都欣起了轩然大波,当然近期FFMPEG的耻辱柱已经下线了,不过这其实不代表国内企业在这方面已经完全改过自新,最近笔者发现国内最早的开源操作系统项目MiniGUI也发布了例外清单,https://www.fmsoft.cn/exception-list对某些未遵守GPL协议的公司进行了例外处理。

虽然本次开源事件与版权和规则问题无关,但是笔者还是要呼吁业界,在使用开源软件的时候一定要注意遵守相关规则,争取全世界开发者的共同支持与配合,这样我们才能放心地使用开源。

目前在GitHub全球4000 万的注册用户中,来自中国的开发者从数量和贡献度上均位列第二,越来越多的国内企业在国际合作的开源项目中扮演着重要角色。我国的活跃开源项目贡献者,有40%以上都是在2019年内里加入的,他们大多都是90后的年轻人,完全出于兴趣参与开源项目。

如果要问两年前中国最大的文化输出是什么,那这可能是大刘的科幻,也可能是莫言的小说;而如果现在要问这个问题,那它的答案应该是开源。十年前业界流传“代码正在吞没世界”的观点,现在IT界普遍认为“互联网世界的一切源自开源”,最后请各位同仁遵守开源规则,用好开源软件。

6月2日20:00,CSDN 创始人董事长、极客帮创投创始合伙人蒋涛携手全球顶级开源基金会主席、董事,聚焦中国开源现状,直面开发者在开源技术、商业上的难题,你绝不可错过的开源巅峰对谈!立即免费围观: