Docker !=Docker

最近被一条关于Docker公司关于实体清单申明的新闻给霸屏了。很多公号编写了不太符合实际情况的文章，这里解读一下

Docker公司 != Docker

Docker是一个开源的项目，属于Linux 基金会，目前不受米国实体清单EAR限制。
受限制的只是Docker公司提供的产品，如Docker EE 和Docker Hub等等。但是国内极少有客户。
得到结论大家就可以散了。感兴趣的继续往下看笔者分析。

为啥Docker没有受限？

2020年7月8日，Linux基金会发布了一份中英文版的《了解开源科技和美国出口管制》的白皮书。当中提到，开源技术不受制于《美国出口管制条例》（EAR）。

ear.jpg

白皮书中列举了以下典型事项不受到EAR限制，因为“开源”“已发布”：

• 已公开发布的开源软件不受制于EAR
• 已公开发布的开源规格不受制于EAR
• 已公开发布的，说明硬件设计的开源文档不受制于EAR
• 已公开发布的开源软件二进制不受制于EAR
  但若项目涉及加密技术，则开源社区可能需要采取一些其他的措施以满足 EAR 「已发布」的要求。
  与已发布的软件不受制于 EAR 一样，使用加密技术的软件即如符合以下两个条件，则不受制于 EAR：（1）该源代码是『可公开获取』的（2）要向BIS（产业与安全局）或NSA（国家安全局）发邮件以示通知。邮件内容需要包括可公开获取的源代码的URL地址（或源代码本身）。
  这也就是坊间传说的“两份邮件就摆脱EAR限制”这一说法的来源。
  详见：
  https://www.linuxfoundation.org/blog/2020/07/understanding-us-export-controls-with-open-source-projects-cn/

2013年3月25日当时还叫dotCloud的Docker公司加入linux基金会，并将docker捐赠给了该基金会,遵循apache 2.0协议。

原文： http://blog.docker.io/2013/06/dotcloud-and-docker-join-the-linux-foundation/
linux基金会的声明： http://www.linuxfoundation.org/news-media/announcements/2013/06/new-linux-foundation-members-expand-linux-ecosystem-cloud
2015年6月22日，Linux 基金会与行业巨头联手打造开放容器技术项目（Open Container Project）。此联盟的成员包括 Docker, CoreOS, Google, Microsoft 和 Amazon 等，国内企业华为也是联盟的首批成员。
这也是为什么这次Docker公司的EAR申明与开源的Docker项目无关的原因。

Linux基金会是何方神圣？

Linux基金会成立于2000年，是非营利性的联盟，初期主要致力于促进Linux的发展。随着基金会的发展，目前已经是开源届的顶级基金会之一，涉足领域包括软件定义网络、物联网、移动、嵌入式软件、云计算和容器等有关的项目。在云和容器行业目前最火的CNCF基金会，就是隶属于Linux基金会。
Linux 基金会会员分为银级、金级和白金级三种不同等级，白金级即最高等级，同时拥有董事会席位。根据其官网介绍，目前共有25个董事会成员，其中来自业界的有22个，组成为：
美国 13 （gitlab 2，谷歌 1， facebook 2， at&t 1，高通 1，vmware 1,HP 1，IBM 1，intel 1，微软1,ORACLE 1)
日本 6 (松下 1，瑞萨电子1，日立 1,NEC 1,富士 1 ，索尼 1）
韩国 1 (三星 1）
中国 2 (华为 1，腾讯1 ）

三大代码托管平台都沦陷了

根据 中国开放指令生态（RISC-V）联盟与中科院计算所联合发布的《开源项目风险分析与对策建议》一文，
http://crva.ict.ac.cn/documents/A-Report-on-the-Risks-and-Suggestions-of-Open-Source-Projects.pdf
虽然开源基金会和开源许可证可以允许不涉及加密
功能的开源项目规避出口管制，但因为代码托管平台会受到出口管制，因此存
在这些代码托管平台的开源项目仍然会受到出口管制的影响。

image.png
来源: 《开源项目风险分析与对策建议》

还有哪些项目受限了？

结论：归入美国ECCN(出口控制分 类编码) 5D922，这个分类称为“不受5D002控制的信息安全软件”。 这个分类的唯一限制是AT(反恐怖主义)，这个限制几乎适用于所有的产品，禁 止出口到一些国家，如伊朗和朝鲜。因此，目前来说出口开源Docker不需要任何特殊的许可 证、允许或其它政府授权。
但是
Apache基金会的几乎绝大部分项目，如http,mq,shiro等等，均已受到5D002限制。https://www.apache.org/licenses/exports/
而OpenStack基金会的一众项目也是如此

Linux基金会中的Ceph项目在github其许可说明中也明确提到：

 The U.S. Government Department of Commerce, Bureau of Industry and
  Security (BIS), has classified this software as Export Commodity 
  Control Number (ECCN) 5D002.C.1, which includes information security
  software using or performing cryptographic functions with asymmetric
  algorithms.  

https://github.com/ceph/apache2

https://osf.dev/export

barcode.jpg