0
科技公司總是避免談論政治,但是科技永遠無法回避政治。
開源生態中的標桿 GitHub,卻在最近一年多次封禁與伊朗、克里米亞等國家開發者有關的項目,被指淪為美國強權打壓的工具。
GitHub 委屈解釋說,“任何一家公司只要在美國境內開展任何服務,不管總部是否設在美國,都必須遵守美國的制裁規定,甚至包括與美國銀行基礎設施的互動。美國方面已書面規定不允許我們為被制裁國家提供商業服務或可能被用于商業目的的服務。”
這看起來大鍋確實應該由美國政府來背,但受規模、背靠微軟等因素,Github 的一些做法亦有所指摘,而這件事也給廣大的中國開發者敲響了警鐘。
四天前,GitHub 封了微軟自家開源項目 JavaScript 框架 Aurelia 組織賬號,這個項目開源已經 5 年有余,逼得其創建者、現微軟首席 UX 工程師 Rob Eisenberg 發推特問原因。后來 Rob 也找到原因,原來是有兩名來自伊朗的外部貢獻者(非 GH 組織成員), GitHub 自動標記并封禁了賬號。
新聞登上 HackerNews 頭版,GitHub CEO Nat Friedman 也親自致歉,“我們正在調查具體過程,并更改規則以確保此類問題不會再次發生。”他還挺高興地提到,Aurelia 組申訴不到一個小時,就恢復了訪問,但這建立在 Aurelia 和 Rob Eisenberg 的名聲上。
在這件事發生的十天前,還有一個年輕的俄羅斯 Web 開發者 Nikolay 因無故被封登上了 HackerNews 頭版。他是非常活躍的GitHub用戶, 過去一年有 3236 個 contributions。3 月 9 日,GitHub 在沒有通知的情況下突然就封了他的賬號,而且其他人對庫中issue的評論也沒了。Nikolay申訴了一周,一直沒見回復。直到這件事發布到HN不久后,GitHub才回復道,是因為Nikolay戲稱一個家伙為 prick,對方受辱而申訴。
而在官方答復前,許多開發者評論說,有可能是談論到伊朗、朝鮮、克里米亞等國家觸發了GitHub的自動封禁機制。
大家不約而同聯想到政策原因的起源,就是去年7月的一波封禁。2019 年 7 月,伊朗開發者 Hamed Saeedi 發表博文稱,GitHub 屏蔽了他的賬號,明面說法是因為其在利用免費的私有庫開發核武器,而真實原因是伊朗受到了美國制裁。另一名居住在克里米亞的俄羅斯開發人員 Anatoliy Kashkin 也遭遇了同樣的麻煩。
兩件事為導火索,一舉揭開了GitHub 屏蔽了所有伊朗、克里米亞、古巴、朝鮮和敘利亞賬號部分功能的事實。
經過網友總結,當時的限制主要有三方面:一、托管在GitHub Pages上面的個人網站404了。二、禁用私有repo,也無法新建私有repo。三、可以創建公開repo,但是不能刪除。
值得一提的是,2019年1月,GitHub免費開放私有庫功能,一大批開發者很高興地開始搬家,Hamed Saeedi之所以那么難以接受,也是因為他在此后將代碼完全托管到了GitHub。
當時賬號限制基于兩種方式展開,一是識別用戶 IP。去年一系列事情曝光后,GitHub曾表示,到前述國家地區去旅行,也會影響賬號的狀態,不過出地域后,權限會恢復正常。
中國開發者的悲慘遭遇
雷鋒網AI源創評論也注意到,有一位中國開發者之前在社區發帖稱,因為掛VPN連了個伊朗的中繼節點, 無意間刷新了下 GitHub,5秒后郵箱就收到賬號被限制了的郵件。他上傳了身份證申訴,過了一周多才解除限制。
farzad yz
第二種方式是識別國籍。去年 7 月,一位伊朗籍的芬蘭開發者farzad yz在推特發帖提到他被限制了。
事情發生后,Hamed Saeedi 在 GitHub 上發起了一個項目:GitHub-do-not-ban-us,點進去各國開發者都在聲援,滿屏飄蕩伊朗國旗。去除國籍識別,這也是伊朗開發者的訴求之一,他們認為這一步讓人無法接受,其他美國公司也只是根據 IP 地址進行了限制。
關于這點,GitHub后來回應說,這種情況可以申訴解禁。雷鋒網AI源創評論注意到,farzad yz前幾天還轉發了一條代碼托管在GitHub的推特,如此后來應該已經恢復正常。
此事發生后,外網許多聲音指責:軟件應該像言論一樣自由,GitHub違背了開源精神,“瘋狂地掠奪開發者的權利,盲目地執行如ITAR等政策,是典型的微軟作風。”
GitHub大概感覺自己很無奈,CEO回復說,"像所有在美國開展業務的國家一樣,GitHub 也會受到美國貿易法的約束。"
在最新的致歉中,他又表示,GitHub是唯一一家為伊朗、敘利亞和古巴等受到美國制裁國家提供公開庫訪問服務的軟件服務商。“我希望我們也能提供私有repo服務,但是仍然遵守政府的要求。我們將繼續加強更多開發者和政府機構的溝通。”
據雷鋒網AI源創評論了解,其實去年11月,在開源歐洲峰會上,GitHub COO Erica Brescia 就曾表示,GitHub本身也不想封禁,他們正與決策者溝通取消訪問限制。但到現在一直沒解封,看來是沒什么功效了。
另外,這里有一個有意思的事情是,GitHub口中常提及的美國制裁似乎包含許多不同的政策。
一是經濟制裁,根據不同國家不同情況實施不同程度的經濟、貿易制裁,主管單位是美國財政部海外資產控制辦公室(OFAC)。其中對于朝鮮的制裁尤為嚴厲,有據稱,基本上如果有人與朝鮮或其他一些有標記的實體有業務往來,可能就會被追究刑事責任,或者更經常地被處以巨額罰款。
二是美國出口管理條例(EAR)。2019 年 5 月,有網友發現,GitHub 的用戶協議上有這么一條:GitHub.com、GitHub Enterprise Server和您上傳的任何一個產品上的信息都可能受美國出口管制法律的約束,包括EAR。
值得注意的是,協議中的企業服務版塊(GitHub Enterprise Server)標注,不得出售、出口或再出口到清單中的國家已經包含古巴、伊朗、朝鮮、蘇丹與敘利亞,并且隨時可能發生變化。
三是ITAR國際武器貿易條例International Traffic in Arms Regulations,伊朗用戶最初就是因為涉及核武器開發被封禁。GitHub表示,他們提供的云托管服務產品并非設計用于托管受ITAR約束的數據,目前不提供按國家/地區限制存儲庫訪問的功能。如果用戶希望在ITAR或其他出口方面進行協作,自己掌握數據,建議考慮 GitHub 企業服務器,GitHub的內部部署產品。
事實上,GitHub并不是唯一一個采取地理屏蔽的科技公司,而且也不是唯一一個過度監管的公司。
2018年12月,團隊協作工具slack也是在沒有任何通知的情況下,一刀切地關了許多可能去過伊朗旅行的用戶賬戶,波及芬蘭、加拿大、美國等地的用戶。slack兩天內出具一份致歉,表示是因為更新了應用位置信息的系統,以遵守美國的貿易禁運和經濟制裁法規,并將盡快恢復被誤傷的用戶使用。
據外媒報道,研究伊朗通訊的牛津研究員 Mahsa Alimardani 稱,Slack 此舉有點過線,根據美國的規定,雖然大多數技術出口伊朗都屬非法,特別是涉及金融交易時,但自 2014 年以來,“通過互聯網進行個人通信交換的收費服務”并不在嚴格的制裁范圍內,涵蓋即時通訊、聊天和電子郵件、社交網絡、共享照片和電影、網頁以及博客等。
有開發者提到,他的朋友在一家美國銀行工作,這家銀行有一個客戶是生產窗簾的波蘭工廠,每次這家工廠做任何賬戶操作,都會被叫停并扔到漫長的人工處理流程中。只因為這家工廠名稱取自波蘭語,波蘭語中的窗簾是“firana”,“包含了‘iran’這個可拍的單詞。”
另外,還有一個開發者對雷鋒網表示,他在一家北美電商工作,交易走PayPal,而為了避免PayPal暫停他們的帳戶,他們不得不從電商Saas Shopify(類似于微店)刪除包含所有與古巴和埃及有關的產品。例如,一種名為“Cubano Style”的復合食品,和一種名為“The Great Pyramids”煙油的品牌(虛構的產品名稱,但有真實類似的產品存在)。而實際上,所有的產品都是在美國用當地原料生產的。
在此之前,他們通過PayPal的交易失敗過好幾次,但是PayPal并沒有告訴他們到底是什么觸發了限制機制,他們只能通過尋找失敗交易之間的共同點來推斷。而且,“即使我們發現了問題,PayPal除了重新啟用我們的帳戶之外,也拒絕了任何確認。”
GitHub斷供事件三月后,adobe 也宣布受美國政府頒布的13884號行政命令影響,禁止委內瑞拉國內賬號使用公司的一切服務,而且起初說是不退款,在引起網絡大片抗議后,決定退款。這件事的結果是,委內瑞拉國家大規模使用盜版軟件。
技術和政治不應該是對立的,但公司存于世,總是受制于當地政府法規政策的束縛,這不是一家或者幾家公司所能抗衡的。
所以封禁根本上不是 GitHub 的錯誤,大部分開發者也理解,比如前述伊朗開發者的倡議是溫和的:不要過度審查,不打招呼直接封禁等,提出希望允許公開私有庫,也可以訪問受限制賬戶的GitHub Pages訴求。
但GitHub做得并沒有那么好。首先,多次封禁事件似乎展示了GitHub 申訴流程的滯后、緩慢,等待周期至少一周,輿論起來后,才會速速“幾小時內恢復”。
伊朗事情發酵后,GitHub也確實滿足了大部分訴求。一直到今天,如果開發者的地理位置是伊朗、克里米亞、古巴、朝鮮和敘利亞等國,那么只能訪問免費的GitHub 公共存儲庫服務,且僅用于個人用戶。
再者,在被微軟收購后,據開發者反映,在社區氛圍和使用體驗方面可能無特別差別,但是GitHub在自我審查方面確實是加劇了。至少Adobe、GitLab等公司有提前通知,GitHub 曾經給出的說法是,"根據我們對美國法律的理解是,我們無權提前通知用戶限制。"
還有一位外國開發者現身說法。他某一天突然被GitHub隨機永久禁止了,因為一個黑客用了被黑過的賬戶star了一些他的公有庫(只有6星左右),雖然他并沒有參與任何行動,但GitHub還是自動封了他。
“我想這可能是黑客企圖淡化他們真正想star的項目,后來我花了大約2周的時間上訴,他們仍然指責我的黑客行為,盡管我和這些賬號的IP是不同的。”禁令最終還是解除了,但自此他對GitHub的識別系統留下了一個大大的問號。
有人總結,此類科技制裁給廣大開發者帶來幾點啟示。一說是有條件,資源都放在本地,不要放在其他平臺或者云上;
二是找尋同類產品,比如GitLab、Google Code 、SourceForge等。但事實上,競品不僅用戶、庫數量少,且同樣限制很多。2019 年 11 月,GitLab 宣布將啟用一份職位國家封鎖令,停止招聘居住在中國和俄羅斯的人擔任網絡可靠性工程師及支持職位,并禁止擔任這兩個職位的員工移居中國或俄羅斯。當時有網友評論稱:如果按照這種標準,那么80% 的人都會被 GitLab 拒之門外。
此類政治和自我審查的不確定性,讓中國開發者感到唇亡齒寒。目前中國是GitHub上最活躍的國家之一,據 GitHub 發布的 2019 年度報告,中國開發者無論從數量還是開源項目的貢獻上都是第二。GitHub 目前在全球已有超過 4000 萬開發者用戶,其中 80% 來自美國之外的地區;在美國之外,中國是開源使用最多的國家。
所以在去年底,GitHub 也宣布計劃在中國開設子公司,據外媒報道,背景有關部門對此也“非常歡迎”。GitHub 準備分階段進入中國,設立一家外商獨資子公司,招聘員工,之后,GitHub可能會探索合資企業以及在中國托管內容的可能性。
此外,一些中國開發者認為應該大力發展本國代碼托管平臺。一位京東圖像算法工程師告訴AI源創評論,他使用過coding.net、碼云,服務器在國內,所以速度快,體驗還可以,但是庫比較少;再加上GitHub公有庫、私有庫完全免費,且不限容量大小,而國內托管平臺都有一定免費的容量限制。
coding.net俗稱扣腚, 成立于 2014 年,同樣一個賬號最多可以創建1000個項目,2019年3月獲得騰訊一億B+輪融資時,用戶量80萬;碼云由開源中國出品,在2013年上線,號稱擁有350 萬用戶和200 萬的公開倉庫。
GitHub的搭建不是難題。GitLab上有開源框架,只要你想,可以在自己服務器上搭建一個類似的代碼托管平臺,涵蓋issue,PR,code review這些功能,企業可以用這套代碼創建自己的私有庫。
但GitHub之所以能持續吸引大神小神前來,是因為它的社交性,也就是生態和良好的社區氛圍。就像前述工程師所說,他關注GitHub主要是有一些熱門庫分享,也可以很方便找bug,“這類事情確實有影響我對GitHub的信任,但是目前也沒有更好的替代的平臺”。而另一位CV研究生表示他主要用GitHub來關注好友的動態和最新項目。
當然關于國產自有代碼托管平臺,肯定會是趨勢,就像中國要打造自己的系統、芯片等一樣,除了民間力量,官方也要參與。鵬城實驗室主任高文院士在去年曾為實驗室自研的AI開源代碼托管平臺匯智站臺,據介紹,在當年7月上線,放在公有云上,已托管300多個項目。
高文院士介紹匯智
但非常顯然的是,未來很長一段時間內,在GitHub的光輝下,這些平臺都是暗淡星光。
參考:
https://news.ycombinator.com/item?id=22593595
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
