禁止中国使用Vault

5月29日，美国旧金山的HashiCorp在官网宣布，不允许中国境内使用、部署和安装该企业旗下的Vault 。具体公告如下图所示：

红框出内容翻译如下：

请注意，中国的出口管制条例禁止HASHICORP出售或以其他方式提供的Vault 企业版本。出于这个原因，HASHICORP的Vault 企业软件可能不被使用，部署或安装在中华人民共和国。除非有HASHICORP书面协议。

hashicorp有如下图所示的开源产品：

开源软件安全吗？

禁止中国使用Vault引发大家对安卓、linux等开源项目的担忧。

虽然申明只限制Vault 企业版产品，但是限制是因为Vault 目前的加密算法，在中国不符合法规，另一方面是美国出口管制法在涉及加密相关软件上也有相应规定。但如果美国要找到限制开源软件在中国使用的理由还是很容易的，而且还可以发布行政命令或出口管制。所以其实在一定程度上要是损害了美国的战略利益，这种开源软件还是不安全的。这种安全并不是说使用方面，而是法律风险和战略安全。

为什么要使用开源软件而不是自研？

有人就有疑问了，既然禁止使用，那我们自己研发不就可以？是我们不可以研发出来吗？

生态制约

实际上开源软件在it业有着巨大的生态链。各个开源项目相互依赖，配合使用，极大地满足企业需求。

时间、成本和价值

大部分优秀的开源项目，国内的人才不是不可以研发出来，而是研发的成本和价值有待考量。自己研发远不如使用开源力量的开发出的产品在时间和成本上的优势。而且有些开源项目只是作为公司主打项目的补充，自己研发不划算，在有开源支持的情况下，没有必要。

开源产品很优秀

虽然开源产品大部分是某个公司或者基金主导的产品，但是社区奉献巨大，来至全球的用户都在为开源奉献智慧和时间，共同智慧下的产品非常优秀，甚至很多产品比公司团队研发的还好。所以零成本的拿来主义其实非常的好用。

研发能力不足

有些产品对于中小企业来说很难研发出来，大企业又没有闲暇去研发，因为重点企业还是需要研发自主可控的系统，所以会出现国产产品缺位情况。