Как уже, наверное, известно всему уважаемому хабрасообществу, с некоторых пор администрация нынешнего президента США Барака Обамы взяла курс на закручивание гаек в сфере взаимодействий с неугодными правительству США странами: Куба, Иран, Сирия, Ливия, Судан и Северная Корея (иногда в этот список включают еще Ирак). Занимается этой задачей выпало незабавенному U.S. Department of Commerce, Bureau of Industry and Security — огранизации, как это известно по её прошлым деяниями, достаточно бюрократической и воспринимающей все приказы довольно прямолинейно.
События развивались стремительно: в середине января 2010 года вылилось это в то, что крупнейшие хостинги открытых проектов — такие, как SourceForge и Google Code получили «письма счастья» с настойчивыми рекомендациями прекратить доступ к программным проектам с открытыми исходниками, так как они могут содержать [цитирую]certain technology[/цитирую], которые запрещены к экспорту из США. Под этими «некоторыми технологиями» понимается криптография, причём на этот раз — вся.
SourceForge и Google Code подчинились, извинившись перед своими пользователями, но разведя руками — в конце концов — они обычные американские компании, мол, нам очень жалко, но we also live in the real world и вынуждены подчиняться законам.
Вчера, 7 февраля 2010 года, юристы SourceForge после пары недель баталий, выработали таки компромиссное решение, которое, безусловно, лучше, чем то, что было, но…
Решено было переложить «ответственность» и «вину» с головы SourceForge на администраторов проектов.
Сейчас попытаюсь объяснить и показать, чем это хорошо, и чем — плохо. Если вы — администратор проекта на SourceForge, то, начиная с воскресенья у вас есть выбор из 2 пунктов. Пройдя по ссылкам Develop → Project Admin → Project Settings, можно их лицезреть:
По умолчанию включен пункт «Да, мой проект ИСПОЛЬЗУЕТ криптографические алгоритмы, поэтому подлежит ограничениям по экспорту». (Разумеется, это теперь прописано в terms of service, которые, как в них же самих написано, могут меняться по усмотрению администрации SourceForge как им нравится в любое время.)
Итак, если у вас есть проект на SourceForge — и у вас хоть каким-то образом используется криптография — без разницы каким — любым — это может быть даже банальный опрос на наличие библиотек в системе — вы и ваш проект подпадаете под действие этого чудесного пункта.
Какие есть варианты действий:
Если проект не пользуется никакой криптографией
То, разумеется, под ограничения он не подпадает. Можно и нужно пойти и смело включить первый пункт — «мой проект НЕ ИСПОЛЬЗУЕТ криптографические алгоритмы» — и спать спокойно, зная, что никаких законов вы не нарушили, и ущемлять права бедных кубинцев и корейцев не ущемляете — и волки сыты, и овцы целы.
Если проект подпадает под «пользование криптографией»
То есть по сути три варианта действий, все на самом деле плохие:
Соврать SourceForge «не используем криптографию»
Плюсы: чистая совесть перед open source сообществом — никого не притисняем по национально-географическому принципу; поставить галочку — просто.
Минусы: если этот обман когда-либо раскроется — последствия могут быть… многообразными. Все, думаю, хорошо помнят про дело Дмитрия Склярова, российского программиста, поехавшего на конференцию в США, которого арестовали сразу же по окончанию мероприятия. Даже если вы не планируете ездить в США прямо сейчас — повод задуматься.
Оставить второй пункт «используем криптографию»
Плюсы: честно по отношению к SourceForge и правительству США; никаких проблем с законом.
Минусы: это решение против хакерской этики — ущемляются права массы людей, которым волею случая «посчастливилось» родится в странах, подверженных эмбарго США. Кроме того, если внимательно почитать то, что написано мелким шрифтом рядом с этой опцией — вы обязаны будете встать на учёт в вышеупомянутом департаменте США со своим программным продуктом (приготовьтесь, вот тут начинается настоящий цирк!).
Департамент требует отправить им некую форму регистрации программного продукта, использующего криптографические алгоритмы (в самом широком понимании слова «использующего»), но при этом требуется ещё и приложить все исходные коды, и при каждом их изменении нужно актуализировать данные в их БД. К счастью, это можно сделать по e-mail (в виду аттача) — хотя для особых фриков предлагается ещё и альтернативный способ: распечатать и прислать исходные коды почтой или по факсу.
Покинуть SourceForge
Плюсы: не надо идти ни на сделку с совестью, ни на сделку с пресловутым департаментом.
Минусы: переезд проекта с одного места на другой всегда болезненный. Вы потеряете какое-то количество своих пользователей, вы потеряете какое-то количество расставленных на вас ссылок. Ехать, на самом деле, почти некуда.
Кроме того, взглянув на обзор того, какие вообще бывают хостинги для свободного ПО, отсортировав их по популярности рейтинга Alexa (а значит и тому, насколько хостинг будет способствовать созданию и поддержанию сообщества вокруг вашего проекта) становится грустно:
| Хостинг | Пользователей | Проектов | Страна |
|---|---|---|---|
| SourceForge | 2.6 млн | 156 тыс | США |
| Google Code | ? | 250 тыс | США |
| GitHub | 100 тыс | ? | США |
| CodePlex | 151 тыс | 9.2 тыс | США |
| Tigris | 137 тыс | 1.5 тыс | США |
| LaunchPad | 930 тыс | 15 тыс | США |
| Assembla | 170 тыс | 60 тыс | США |
| BerliOS | 43 тыс | 5.3 тыс | Германия |
| Gitorious | ? | ? | Норвегия |
Становится ясно, почему «письма счастья» получили именно SF и GC: они занимают почетные 2 верхние позиции в списке. Все 7 верхних позиций подряд занимают именно хостинги из США: ясно, что рано или поздно они получат точно такие же письма и будут вынуждены ввести ровно такие же меры. Если бежать — то куда?
И, завершая этот пост, мне хотелось бы спросить мнения хабрасообщества — как поступите вы и как посоветуете поступить мне? Насколько я понимаю — здесь немало тех, кто будет подвержен этой напасти. Авторы Jabber-клиентов, авторы веб-браузеров и плагинов к ним, разработчики ядер ОС и их компонент и т.д. и т.п. — все, у кого есть что-то, связанное с SSL, SSH, MD5, SHA1 — это автоматически нас всех касается.
У меня есть два серьёзных проекта на SourceForge — KGuitar (редактор гитарных табулатур — он, к счастью, не имеет ничего общего с криптографией, с ним всё ясно) и Inquisitor — система на основе Linux (мета-дистрибутив) для автоматизации нагрузочного и бенчмаркового тестирования железа. Разумеется, как и в любом дистрибутиве Linux, там есть и ssh, есть и openssl. Даже хуже того — мы, такие нехорошие, тестируем производительность этого самого openssl в качестве одного из наших бенчмарков.
Как быть? Уходить с SF — лишаться не только community SF, но и обширной системы мирроров, через которые распространялись наши ISO-образы, и достаточно стабильного хостинга репозитария, и удобного механизма включения новых людей в проект. Альтернативы SF? Про BerliOS слышал массу плохих отзывов в плане стабильности, да и он меньше SF где-то в 50 раз. Все остальные — еще меньше и еще непонятнее в плане стабильности…
