coscon(中远cosco货物跟踪)

作者 | 马超

责编 | 夕颜

头图 | CSDN下载自视觉中国

出品 | CSDN（ID:CSDNnews）

日前知名的DEVOPS服务商HashiCorp在官网（https://www.hashicorp.com/）宣布：不允许中国境内使用、部署和安装该企业旗下的产品和软件。我们知道HashiCorp公司的产品在国内的落地项目很多，对于已经成功布署了HashiCorp 产品的中国公司将如何处理等问题也没有做出明确回应。

不过笔者登陆了HashiCorp的官网后，发现其官网最新的声明已经进行了修改，而且也将其禁止范围，缩小到只对管理软件Valut进行了明确限制，其余如Terraform、Consul等明星产品并未提及不能用。

请注意，中国的出口管制法规禁止 HashiCorp 出售或以其它方式使用 Valut 的企业版适用于中国。因此，未经 HashiCorp 书面许可，不得在中国使用、部署或安装 HashiCorp 的 Valut 企业版软件。

目前最新称HashiCorp回应，该声明实际上这与开源软件无关，由于Vault产品目前并不支持中国的SM2、SM4等国密算法，在国内作为机密管理软件使用存在合规风险，而且美国出口管制法在涉及加密相关软件上也有相应规定。因此，HashCorp才在不得不在用户协议中提示风险。虽然这种说法未经其官方证实，但是综合目前消息来看，这则回应的可信度还是比较高的，笔者看到这里暂时松了一口气，开源软件的共享开放理念暂时未受到实质性的威胁。

虽是虚惊一场，但也要提高警惕

HashiCorp是一家国际领先的Devops服务商，其最初版本全面禁用的声明真的是让人惊出一身冷汗，如果其软件在国内全面禁用，那么其影响之大，可能远超想象。

HashiCorp很多软件都在国内有着广泛的使用，笔者看了一下，如果一旦出现意外情况，那么HashiCorp旗下云基础架构和资源管理配置工具Terraform（Github地址：https://github.com/hashicorp/terraform）的断供影响将是巨大的，Terraform是将 "Write, Plan, and create Infrastructure as Code", 即基础架构即代码理念贯彻最好的软件之一，Terraform也提供了Kubernetes应用程序的完整生命周期管理，包含Pod的创建、删除以及副本控制等。国内包括阿里、华为在内的公有云都支持Terraform。根据笔者翻阅到的资料阿里云terraform-provider-alicloud目前已经提供了超过 163 个 Resource 和 113 个 Data Source，覆盖计算，存储，网络，负载均衡，CDN，容器服务，中间件，访问控制，数据库等超过35款产品，已经满足了大量大客户的自动化上云需求。另外一个风险点是HashiCorp的服务发现软件Consul，此项目在国内的实际案例也很多。

其实这一事件并不是空穴来风，开源软件也开始向非技术因素妥协已经不是第一次发生了，在去年末的时候国际第二大开源网络巨头GitLab 的两个岗位（网站可靠性工程师和技术支持），就开始禁止招聘居住在中国和俄罗斯的工程师了。对此GitLab 称，“这是一些企业客户表达的担忧，也是当前环境下的行业普遍做法。”

虽然本次HashiCorp的禁用事件应该只是虚惊一场，但这绝对不能让我们放松警惕，不能排除后续会有其它企业会做出类似的决定，如果考虑到断供可能，那么笔者建议国内的厂商将ansible、cloudformation及zookeeper、etcd、euerka等Terraform和Consul的同类产品加入到考虑范围，以避免将鸡蛋放到同一个提子中所引发的相应风险。

开源的反思

目前开源的重要性已经不言而喻，在在云年末举办中国开源2019年会上 (COSCon’19)上，CSDN的创始人蒋涛就与GitHub副总裁 Dohmke展开《炉边对谈》，可以说开源就是IT业的未来，目前任何一家公司都不可能脱离软件，更不可能脱离开源。因此即使不考虑本次事件的非技术因素，如何用好开源软件的问题也值得中国业界同仁反思了，笔者整理了一下，有以下几个建议：

重要开源的专利许可条款：“React专利许可”事件为开源的专利问题敲响了警钟。React作为Facebook 内部开发 Instagram 的项目中，是一个用来构建用户界面的优秀 JS 库，于 2013 年 5 月开源。随着React用户的增多，Facebook在 2016 年7月，修改了开源许可协议中的附加专利条款 Additional patent grant，在 React 专利许可证添加了“反向授权协议”，大意是如果你在你的产品里用到了 React，哪怕只有一点点，你对于产品所拥有的知识产权也等于直接送给 Facebook 免费用。这一做法并在当时引起了业界强烈的反击。Apache基金会甚至把将 Facebook BSD+Patents 加入了黑名单，从开源项目中移除。Facebook迫于压力还是将授权协议改为了宽松的MIT许可。这一事件给Facebook在很多方面都带来了负面的影响，甚至在去年Libra的听证会上，还有议员问起Facebook是否会在其数字货币计划做大后，修改其发行许可的问题。所以说这样的事件也为咱们国内企业提醒，不要主动利用开源做专利方面的文章，但是也要关注其它公司修改许可的做法。

遵守开源规则，远离耻辱柱：很多知名的开源软件如FFMPEG都使用了GPL协议做为授权方案。而GPL与BSD, Apache Licence等鼓励代码重用的许可很不一样。GPL不允许其修改及衍生的项目做为闭源的商业软件发布和销售。不过还是有很多商业软件使用 FFMPEG 的代码但并未遵循 GPL 许可证的要求，因此FFMPEG的官方在2010年底上线了“Hall of Shame耻辱柱”来公开那些违反 GPL 许可规则的公司，其中有相当一部分是国内的企业，为此整个业界也都欣起了轩然大波，当然近期FFMPEG的耻辱柱已经下线了，不过这其实不代表国内企业在这方面已经完全改过自新，最近笔者发现国内最早的开源操作系统项目MiniGUI也发布了例外清单，https://www.fmsoft.cn/exception-list对某些未遵守GPL协议的公司进行了例外处理。

虽然本次开源事件与版权和规则问题无关，但是笔者还是要呼吁业界，在使用开源软件的时候一定要注意遵守相关规则，争取全世界开发者的共同支持与配合，这样我们才能放心地使用开源。

开源与中国科技的相互成就

目前在GitHub全球4000 万的注册用户中，来自中国的开发者从数量和贡献度上均位列第二，越来越多的国内企业在国际合作的开源项目中扮演着重要角色。我国的活跃开源项目贡献者，有40%以上都是在2019年内里加入的，他们大多都是90后的年轻人，完全出于兴趣参与开源项目。

如果要问两年前中国最大的文化输出是什么，那这可能是大刘的科幻，也可能是莫言的小说；而如果现在要问这个问题，那它的答案应该是开源。十年前业界流传“代码正在吞没世界”的观点，现在IT界普遍认为“互联网世界的一切源自开源”，最后请各位同仁遵守开源规则，用好开源软件。

6月2日20:00，CSDN 创始人&董事长、极客帮创投创始合伙人蒋涛携手全球顶级开源基金会主席、董事，聚焦中国开源现状，直面开发者在开源技术、商业上的难题，你绝不可错过的开源巅峰对谈！立即免费围观：

☞大佬 Zed 玩转跨界：不会绘画的音乐家不是好程序员

☞航拍高手、吉他十级，6500+Star 开源项目作者，后浪程序员给力！

☞面试官：你的 SQL 一般有几个 join？| 原力计划

☞基于深度学习和传统算法的人体姿态估计，技术细节都讲清楚了

☞面试中遇到这 3 个SQL问题，最容易掉坑里！

☞好扑科技结合区块链行业发展趋势，重磅推出“好扑区块链合伙人”计划