开源公司 HashiCorp 国内险遭禁，华为、阿里是否有planB ？

文章来源：新华网、银芝麻

近日国外知名DevOps 服务商 HashiCorp 的官网相关条款页面被发现禁止中国公司使用其 Vault 企业版产品的声明。事件一度引发国内开源界广泛关注。

声明中表示：

PLEASE NOTE THAT CHINESE EXPORT CONTROL REGULATIONS PROHIBIT HASHICORP FROM SELLING OR OTHERWISE MAKING THE ENTERPRISE VERSION OF VAULT AVAILABLE IN THE PEOPLE'S REPUBLIC OF CHINA. FOR THAT REASON, HASHICORP'S VAULT ENTERPRISE SOFTWARE MAY NOT BE USED, DEPLOYED OR INSTALLED IN THE PEOPLE’S REPUBLIC OF CHINA WITHOUT WRITTEN AGREEMENT BY HASHICORP.

Valut 是一个用于机密管理、加密即服务和特权访问管理的工具，HashiCorp 受国内公司与开发者欢迎的软件产品还包括 Vagrant 与 Consul 等，Vagrant 是一个用于创建和部署虚拟化开发环境的工具，Consul 则可以简化分布式环境中的服务注册与发现流程，它们都是开源软件。

目前 HashiCorp 的声明明确指的是 Valut 企业版在中国禁用，但我们发现，事件最开始被传播时，其声明是另一个版本：

最开始声明只表示相关软件可能不适应于在中国使用、部署或安装。这样的声明瞬间引起了“开源项目开始实际被国界限制”的担忧与愤怒，网上出现许多议论。

有网友从 HashiCorp 创始人处得到回应，其表示实际上这与开源软件无关，而是只限制 Vault 企业版产品，并且原因是 Vault 产品目前使用的加密算法，在中国不符合法规，另一方面是美国出口管制法在涉及加密相关软件上也有相应规定。因此这两项原因使得 HashCorp 不得不在声明中说明风险。

首先，本文档仅适用于企业评估软件。这不适用于我们的 OSS 软件，除非在注册企业评估的上下文中，否则不应将其与我们的 OSS 关联。

这不是政治声明，这是法律要求。我们在 Vault 中使用的加密受中国出口管制法律的约束，并且（根据中国法律）我们在中国销售是非法的。

虽是虚惊一场，但也要提高警惕

HashiCorp是一家国际领先的Devops服务商，其最初版本全面禁用的声明真的是让人惊出一身冷汗，如果其软件在国内全面禁用，那么其影响之大，可能远超想象。

HashiCorp很多软件都在国内有着广泛的使用，旗下云基础架构和资源管理配置工具Terraform的断供影响将是巨大的，Terraform是将 "Write, Plan, and create Infrastructure as Code", 即基础架构即代码理念贯彻最好的软件之一，Terraform也提供了Kubernetes应用程序的完整生命周期管理，包含Pod的创建、删除以及副本控制等。

国内包括阿里、华为在内的公有云都支持Terraform。

阿里云terraform-provider-alicloud目前已经提供了超过 163 个 Resource 和 113 个 Data Source，覆盖计算，存储，网络，负载均衡，CDN，容器服务，中间件，访问控制，数据库等超过35款产品，已经满足了大量大客户的自动化上云需求。

其实这一事件并不是空穴来风，开源软件也开始向非技术因素妥协已经不是第一次发生了，在去年末的时候国际第二大开源网络巨头GitLab 的两个岗位（网站可靠性工程师和技术支持），就开始禁止招聘居住在中国和俄罗斯的工程师了。

对此GitLab 称，“这是一些企业客户表达的担忧，也是当前环境下的行业普遍做法。

虽然本次HashiCorp的禁用事件应该只是虚惊一场，但这绝对不能让我们放松警惕，不能排除后续会有其它企业会做出类似的决定，如果考虑到断供可能，那么笔者建议国内的厂商将ansible、cloudformation及zookeeper、etcd、euerka等Terraform和Consul的同类产品加入到考虑范围，以避免将鸡蛋放到同一个提子中所引发的相应风险。

开源与中国科技的相互成就

目前在GitHub全球4000 万的注册用户中，来自中国的开发者从数量和贡献度上均位列第二，越来越多的国内企业在国际合作的开源项目中扮演着重要角色。我国的活跃开源项目贡献者，有40%以上都是在2019年内里加入的，他们大多都是90后的年轻人，完全出于兴趣参与开源项目。

两年前中国最大的文化输出是什么？那这可能是大刘的科幻，也可能是莫言的小说；而如果现在要问这个问题，那它的答案应该是开源。

十年前业界流传“代码正在吞没世界”的观点，现在IT界普遍认为“互联网世界的一切源自开源”，最后请各位同仁遵守开源规则，用好开源软件。

推荐阅读

*深圳某企业遭黑客入侵，报案反被行政警告处罚！网警这样说

*开源威胁情报平台OpenCTI发布3.3版本

*为防受邮件漏洞影响 德国 BSI 敦促 iPhone 用户尽快安装安全更新