著名黑客:开源不应成为贸易战的牺牲品

by admin on 2020年2月26日

著名硬件黑客 Andrew Bunnie Huang
近日通过博客发表了自己关于当前中美贸易战的想法,他指出“开源可能成为中美贸易战的牺牲品”。

据美国《连线》杂志1月17日报道,美国知名华裔硬件黑客黄欣国(Andrew
Huang,绰号bunnie)与人合伙使用开源硬件,自行制造出了一台笔记本电脑。该笔记本主要硬件的各项参数都是公开的。你可能会问,硬件有必要开源吗?在这个美国国家安全局和其他机构或者组织的监视监听无处不在的时代,你真的觉得自己的笔记本安全吗?

图片 1

图片 2

它的每一个部件都安全到无懈可击吗?乍听起来这些问题好像有点被迫害妄想症的感觉,但是基于斯诺登向我们公布的事实,很多时候多疑也是有好处的。

文/差评君

Andrew “bunnie” Huang
是著名硬件黑客,他是迷你电脑 Chumby 的创造者,也是《Hacking the
Xbox》一书作者。博客中 bunnie 提到特朗普政府的 Trump’s Executive Order
13873
(EO13873) 行政命令,作者认为它比
EAR(Export Administration Regulation,出口管理条例)严重得多。

平时我们关注软件安全比较多,前不久Mozilla还呼吁全世界的软件工程师一起审查火狐浏览器的代码,防止美国安局对其做手脚。同样的,说起开源的Linux系统,大家都会感觉安全有所保障,因为无数双眼睛无时无刻不在盯着它的代码。

上周华为上美国 「 实体名单 」
的事情还闹的沸沸扬扬的,让大家意识到美国在贸易战上的手段真是 「 细致入微
」。

EO13873
中指出存在“国家紧急状态”,因为“外部敌人”“越来越多地创造和利用信息和通信技术服务中的漏洞”对国家安全构成“不寻常和特殊的威胁”。虽然目前还没有任何实体被指定为美国的外部敌人,但人们普遍预计华为将被列入该名单

但是你的笔记本电脑里的硬件呢?你知道主板上的那些小小的集成电路都在做什么吗?或者知道控制主板和其他底层设备的固件都在做什么吗?这些固件都是不开源的,一旦出了问题,别人帮不到你。

本来全球化是鼓励大家技术共享,协作开发出更上一层楼的产品,结果美国不干了。。。

这样的罪名比简单的 EAR
严重多了,而作者分析美国目前并没有明确的证据表明华为的行为构成“外部敌人”,如果在证据不足的情况下将华为的“罪名”按到
EO13873
上,那这会降低政策标准,同时也意味着其它国家可以采取同样的行动来对抗美国或其盟国。

这就是黄欣国和他的合作伙伴启动Novena项目自己制造硬件开源笔记本电脑的一个原因。另一个原因是他们“想通过制造每天都能用到的东西学习新知识”。他们本着分享精神,将硬件参数和机身设计发布在了网上,爱好者可以据此制造自己的笔记本电脑。

不仅美国不干了,美国科技企业也响应号召,纷纷倒戈华为。

作者觉得它可能导致几方面的影响,包括“大大增加贸易战的风险,甚至进一步失控”、“全球供应链受损”与“削弱美国技术领导力”等,同时会对开源带来附带伤害。

黄欣国可以说是网络上的名人了,这位硬件黑客曾经在网上教导别人如何将Xbox从一台家庭游戏机变成一部高性能电脑,设计了在美国风靡一时的网络设备Chumby,近期还发现并公布了SD卡的安全隐患。他与人共同拥有一家总部位于新加坡的名为小兔工作室的硬件公司。

例如谷歌在昨天开始声明停止对华为的安卓系统支持。。。虽然说安卓系统是开源的,但这一招依然对华为的海外业务造成了不小冲击。

这里主要讲讲给开源带来的附带伤害。bunnie
指出,目前针对华为的行政行为仅依赖于 EAR,所以 Linux
基金会能够根据开源软件的许可豁免得到庇护,不受政治影响,然而,一旦
EO13873
将华为指定为“外部敌人”,那么,这种禁令的范围会极大地扩展,没有开源豁免可谈。事实上,EO13873
明确指出“……开放(openness)必须通过保护我国免受重大国家安全威胁的需要来平衡”。这里的“开放”的背景是指“投资环境”,但
bunnie 担心它可以轻松扩展到对开源技术的影响。

黄欣国介绍说,该笔记本的主板、电池板和显示适配板是整版设计的,外壳由几个部件组成,均可通过3D打印技术来制作。这台笔记本电脑在性能和便携性上表现中庸,采用了4G
RAM和ARM处理器,使用普通上网本的电源。这款笔记本在现代感上的缺失由它的透明性来弥补。如果你对硬件不放心,可以随时自行检查是否被别人留了后门。

结果今天倒好,开源社区也沦陷了。

图片 3

和苹果的MacBook
Air比,这款DIY的笔记本既不漂亮也无性能可言,但是它给你的是苹果可能永远不会给你的东西,那就是对自己机器的全面掌控。

Github 今天更新了一下条款,看这标题「 Github and Export Controls
」就知道来者不善。

“在意识形态上,开源的核心理念是非歧视性赋权……现在世界已经发生了变化,我们的开源代码可能最终被标记为服务于‘外部敌人’”,在这种情况下,bunnie
表明了他的态度,他说:“我从来没有怀疑过,作为一个坚定的开源倡导者,我最终会走上政治错误的道路。但我在这里,我的开源使命是让人们在技术上独立,要知道技术不是魔术,所以没有人会成为技术的奴隶。即使这意味着抵制我自己的政府,也是如此。”

整个声明在一开始就着重强调了一点:

Freedom means freedom, and I will stand to defend it.

自由意味着自由,我将坚持捍卫自由。

你上传到 Github 网站和 Github
企业服务器上的信息,可能需要遵守美国出口管理规定。

bunnie 表示其仍然抱有贸易战可能会缓和的希望,但觉得像 EO13873
这样强大的反贸易武器的扩散令人担忧,“现在是时候提高认识,意识到它会对开源世界构成威胁,以便我们能够做好准备并站在同一阵线,保护我们最珍惜的自由”,最后他说:“我真诚地希望,开源不应成为这场贸易战的牺牲品。”

言下之意很明显 —— Github
网站说到底,是属于收购它的微软的,所以需要遵守美国法律。

(文/开源中国)    

上面那句话乍一看是理所当然的废话,但这么想想:

你认识一个脾气暴躁的人,他生气了会打人,这点你很清楚,相处久了认为理所当然。

有一天他突然和你说 「 我生气了会打人 」,这是废话吗?

差评君觉得这更像是这个人心里有了些小心思,准备动手打人了

同理,人人都知道 Github 是美国网站,但这两天专门和你提一嘴 「
我们要遵守美国出口管理规定哒 」。。。那可能是 Github 依据美国 EAR
规定,将不得不做出变化了。

Github 作为最大的代码存储网站,一直以来被程序员们当作开源社区。

开发者们在 Github 公开源代码上传项目,让别人可以参考技术。

共同贡献代码改进项目,集中大众智慧。

遇到问题公开讨论,以便他人遇到同样问题有所参照。

差评君看到 Github
的这次规则更新之后,变得很纠结:这样一个崇尚自由,鼓励开放的地盘儿,也许不得不因为政治原因,变得不那么「
自由 」了。

而且这次修改离华为最近的事儿这么近,让人难免猜想这次是不是又在针对我们国家的科技公司。

不过就目前这份文档里的信息看,差评君觉得还没有那么严重 —— 人们在
Github 上传的项目并不属于 Github
,而且许多开源项目遵循的开源条例并没有说要遵守美国法律。

唯一受 EAR 限制的项目是涉及加密算法和武器系统。

而其他的开源项目应该不会无法使用,例如谷歌停止给华为提供安卓技术支持,华为依然可以使用安卓的开源版本。

不过 Github 自己的服务 —— Github Enterprise
Server,也就是自家开发的提供给企业的服务器,很明显是不能卖给受出口管制清单里的国家的。

本来想着开源社区虽然不太自由了,好在项目还是秉持着开源精神的,问题不大。

结果隔壁一个开源项目管理基金会 —— Apache 也在差不多时间做出了类似声明。

不是开发者的差友们可能太了解 Apache ,这是一家非盈利开源组织,全称是
Apache Software Foundation ,阿帕奇软件基金会。

这个组织维护着大量开源项目,供全世界免费使用,ASF
旗下的项目有个共同特点就是它们都遵循 Apache 开源协议。

而他们的项目在开源界名气可都不低,像 Spark
这种大数据框架被很多程序员熟知。

而 ASF 这次更新的文档,和 Github 内容大同小异: ASF
是个美国组织,需要遵守美国法律,也收到 EAR 影响。

但 ASF
旗下软件受到限制之后,问题就稍稍大那么一点了。。。有不少比较流行的项目的归属权确实是属于
ASF 的。

Apache
协议允许其他企业基于他们的代码修改后商用,可是这个一商用,很有可能就被归类为出口,这就麻烦了。。。

不过好在不少遵循 Apache 协议的软件不属于 ASF,程序员们还可以缓一口气。

尽管如此,一些国内大企业已经受到影响了,有的程序员在知乎上表示公司已经停下工作开始观望,等自家法务部研究完了再动。

来源:知乎用户 @蔡旭烨

尽管看起来只是刮了一阵大风,稍稍起了些浪,但差评君依旧觉得有些膈应。

首先,无风不起浪,这俩网站突然更新条款,应该不只是给我们看看这么简单,也许过两天会被美国不怀好意地利用。

其次,这些承载着开源项目的企业,本该是站在全人类利益上好好贯彻「 自由
」这一重要开源精神的,却在这个时刻缩了。

说实话,开源组织和开源代码托管网站受限于自己国家法律,是完全可以被理解的,但差评君更希望看到他们反抗这一不正确的行为的最后,怀着抗争精神被迫接受,而不是这么快地在政治上站队。

另一方面,我们的科技企业也需要开始重视技术独立了。

例如许多国产浏览器用的就是 Chromium
内核,目前很多软件技术的核心都在使用外国的开源项目。

这些项目的创作者和维护者们也许是站在 「 科技无国界 」
的立场上的,但是当一项技术太过被依赖,就难免被当作武器。

技术独立,并且让别人用我们的技术,才是自强的开始。

“ 政治可不会管技术有无国界。”

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图