近日国外知名DevOps 服务商 HashiCorp 的官网相关条款页面被发现禁止中国公司使用其 Vault 企业版产品的声明。事件一度引发国内开源界广泛关注。
声明中表示:
PLEASE NOTE THAT CHINESE EXPORT CONTROL REGULATIONS PROHIBIT HASHICORP FROM SELLING OR OTHERWISE MAKING THE ENTERPRISE VERSION OF VAULT AVAILABLE IN THE PEOPLE'S REPUBLIC OF CHINA. FOR THAT REASON, HASHICORP'S VAULT ENTERPRISE SOFTWARE MAY NOT BE USED, DEPLOYED OR INSTALLED IN THE PEOPLE’S REPUBLIC OF CHINA WITHOUT WRITTEN AGREEMENT BY HASHICORP.
请注意,中国的出口管制法规禁止 HashiCorp 出售或以其它方式使 Vault 的企业版适用于中华人民共和国。因此,未经 HashiCorp 书面许可,不得在中国使用、部署或安装 HashiCorp 的 Vault 企业版软件。
Vault 是一个用于机密管理、加密即服务和特权访问管理的工具,HashiCorp 受国内公司与开发者欢迎的软件产品还包括 Vagrant 与 Consul 等,Vagrant 是一个用于创建和部署虚拟化开发环境的工具,Consul 则可以简化分布式环境中的服务注册与发现流程,它们都是开源软件。
目前 HashiCorp 的声明明确指的是 Vault 企业版在中国禁用,但我们发现,事件最开始被传播时,其声明是另一个版本:
最开始声明只表示相关软件可能不适应于在中国使用、部署或安装。这样的声明瞬间引起了“开源项目开始实际被国界限制”的担忧与愤怒,网上出现许多议论。
有网友从 HashiCorp 创始人处得到回应,其表示实际上这与开源软件无关,而是只限制 Vault 企业版产品,并且原因是 Vault 产品目前使用的加密算法,在中国不符合法规,另一方面是美国出口管制法在涉及加密相关软件上也有相应规定。因此这两项原因使得 HashCorp 不得不在声明中说明风险。
首先,本文档仅适用于企业评估软件。这不适用于我们的 OSS 软件,除非在注册企业评估的上下文中,否则不应将其链接到我们的OSS附近。
这不是政治声明,这是法律要求。我们在 Vault 中使用的加密受中国出口管制法律的约束,并且(根据中国法律)我们在中国销售是非法的。
按照目前 HashiCorp 官网上的声明,开源项目其实还是“安全”的,被禁用的是 Vault 企业版。