日前知名的DEVOPS服務商HashiCorp在官網（https://www.hashicorp.com/）宣佈：不允許中國境內使用、部署和安裝該企業旗下的產品和軟件。我們知道HashiCorp公司的產品在國內的落地項目很多，對於已經成功布署了HashiCorp 產品的中國公司將如何處理等問題也沒有做出明確回應。

不過筆者登陸了HashiCorp的官網後，發現其官網最新的聲明已經進行了修改，而且也將其禁止範圍，縮小到只對管理軟件Valut進行了明確限制，其餘如Terraform、Consul等明星產品並未提及不能用。

請注意，中國的出口管制法規禁止 HashiCorp 出售或以其它方式使用 Valut 的企業版適用於中國。因此，未經 HashiCorp 書面許可，不得在中國使用、部署或安裝 HashiCorp 的 Valut 企業版軟件。

目前最新稱HashiCorp回應，該聲明實際上這與開源軟件無關，由於Vault產品目前並不支持中國的SM2、SM4等國密算法，在國內作爲機密管理軟件使用存在合規風險，而且美國出口管制法在涉及加密相關軟件上也有相應規定。因此，HashCorp纔在不得不在用戶協議中提示風險。雖然這種說法未經其官方證實，但是綜合目前消息來看，這則回應的可信度還是比較高的，筆者看到這裏暫時鬆了一口氣，開源軟件的共享開放理念暫時未受到實質性的威脅。

雖是虛驚一場，但也要提高警惕

HashiCorp是一家國際領先的Devops服務商，其最初版本全面禁用的聲明真的是讓人驚出一身冷汗，如果其軟件在國內全面禁用，那麼其影響之大，可能遠超想象。

HashiCorp很多軟件都在國內有着廣泛的使用，筆者看了一下，如果一旦出現意外情況，那麼HashiCorp旗下雲基礎架構和資源管理配置工具Terraform（Github地址：https://github.com/hashicorp/terraform）的斷供影響將是巨大的，Terraform是將 "Write, Plan, and create Infrastructure as Code", 即基礎架構即代碼理念貫徹最好的軟件之一，Terraform也提供了Kubernetes應用程序的完整生命週期管理，包含Pod的創建、刪除以及副本控制等。國內包括阿里、華爲在內的公有云都支持Terraform。根據筆者翻閱到的資料阿里雲terraform-provider-alicloud目前已經提供了超過 163 個 Resource 和 113 個 Data Source，覆蓋計算，存儲，網絡，負載均衡，CDN，容器服務，中間件，訪問控制，數據庫等超過35款產品，已經滿足了大量大客戶的自動化上雲需求。另外一個風險點是HashiCorp的服務發現軟件Consul，此項目在國內的實際案例也很多。

其實這一事件並不是空穴來風，開源軟件也開始向非技術因素妥協已經不是第一次發生了，在去年末的時候國際第二大開源網絡巨頭GitLab 的兩個崗位（網站可靠性工程師和技術支持），就開始禁止招聘居住在中國和俄羅斯的工程師了。對此GitLab 稱，“這是一些企業客戶表達的擔憂，也是當前環境下的行業普遍做法。”

雖然本次HashiCorp的禁用事件應該只是虛驚一場，但這絕對不能讓我們放鬆警惕，不能排除後續會有其它企業會做出類似的決定，如果考慮到斷供可能，那麼筆者建議國內的廠商將ansible、cloudformation及zookeeper、etcd、euerka等Terraform和Consul的同類產品加入到考慮範圍，以避免將雞蛋放到同一個提子中所引發的相應風險。

開源的反思

目前開源的重要性已經不言而喻，在在雲年末舉辦中國開源2019年會上 (COSCon’19)上，CSDN的創始人蔣濤就與GitHub副總裁 Dohmke展開《爐邊對談》，可以說開源就是IT業的未來，目前任何一家公司都不可能脫離軟件，更不可能脫離開源。因此即使不考慮本次事件的非技術因素，如何用好開源軟件的問題也值得中國業界同仁反思了，筆者整理了一下，有以下幾個建議：

重要開源的專利許可條款：“React專利許可”事件爲開源的專利問題敲響了警鐘。React作爲Facebook 內部開發 Instagram 的項目中，是一個用來構建用戶界面的優秀 JS 庫，於 2013 年 5 月開源。隨着React用戶的增多，Facebook在 2016 年7月，修改了開源許可協議中的附加專利條款 Additional patent grant，在 React 專利許可證添加了“反向授權協議”，大意是如果你在你的產品裏用到了 React，哪怕只有一點點，你對於產品所擁有的知識產權也等於直接送給 Facebook 免費用。這一做法並在當時引起了業界強烈的反擊。Apache基金會甚至把將 Facebook BSD+Patents 加入了黑名單，從開源項目中移除。Facebook迫於壓力還是將授權協議改爲了寬鬆的MIT許可。這一事件給Facebook在很多方面都帶來了負面的影響，甚至在去年Libra的聽證會上，還有議員問起Facebook是否會在其數字貨幣計劃做大後，修改其發行許可的問題。所以說這樣的事件也爲咱們國內企業提醒，不要主動利用開源做專利方面的文章，但是也要關注其它公司修改許可的做法。

遵守開源規則，遠離恥辱柱：很多知名的開源軟件如FFMPEG都使用了GPL協議做爲授權方案。而GPL與BSD, Apache Licence等鼓勵代碼重用的許可很不一樣。GPL不允許其修改及衍生的項目做爲閉源的商業軟件發佈和銷售。不過還是有很多商業軟件使用 FFMPEG 的代碼但並未遵循 GPL 許可證的要求，因此FFMPEG的官方在2010年底上線了“Hall of Shame恥辱柱”來公開那些違反 GPL 許可規則的公司，其中有相當一部分是國內的企業，爲此整個業界也都欣起了軒然大波，當然近期FFMPEG的恥辱柱已經下線了，不過這其實不代表國內企業在這方面已經完全改過自新，最近筆者發現國內最早的開源操作系統項目MiniGUI也發佈了例外清單，https://www.fmsoft.cn/exception-list對某些未遵守GPL協議的公司進行了例外處理。

雖然本次開源事件與版權和規則問題無關，但是筆者還是要呼籲業界，在使用開源軟件的時候一定要注意遵守相關規則，爭取全世界開發者的共同支持與配合，這樣我們才能放心地使用開源。

開源與中國科技的相互成就

目前在GitHub全球4000 萬的註冊用戶中，來自中國的開發者從數量和貢獻度上均位列第二，越來越多的國內企業在國際合作的開源項目中扮演着重要角色。我國的活躍開源項目貢獻者，有40%以上都是在2019年內里加入的，他們大多都是90後的年輕人，完全出於興趣參與開源項目。

如果要問兩年前中國最大的文化輸出是什麼，那這可能是大劉的科幻，也可能是莫言的小說；而如果現在要問這個問題，那它的答案應該是開源。十年前業界流傳“代碼正在吞沒世界”的觀點，現在IT界普遍認爲“互聯網世界的一切源自開源”，最後請各位同仁遵守開源規則，用好開源軟件。