近日国外知名DevOps服务商HashiCorp的官网相关条款页面被发现禁止中国公司使用其Vault企业版产品的声明。事件一度引发国内开源界广泛关注。

　　声明中表示：

　　PLEASENOTETHATCHINESEEXPORTCONTROLREGULATIONSPROHIBITHASHICORPFROMSELLINGOROTHERWISEMAKINGTHEENTERPRISEVERSIONOFVAULTAVAILABLEINTHEPEOPLE'SREPUBLICOFCHINA.FORTHATREASON,HASHICORP'SVAULTENTERPRISESOFTWAREMAYNOTBEUSED,DEPLOYEDORINSTALLEDINTHEPEOPLE’SREPUBLICOFCHINAWITHOUTWRITTENAGREEMENTBYHASHICORP.

　　请注意，中国的出口管制法规禁止HashiCorp出售或以其它方式使Vault的企业版适用于中华人民共和国。因此，未经HashiCorp书面许可，不得在中国使用、部署或安装HashiCorp的Vault企业版软件。

　　Vault是一个用于机密管理、加密即服务和特权访问管理的工具，HashiCorp受国内公司与开发者欢迎的软件产品还包括Vagrant与Consul等，Vagrant是一个用于创建和部署虚拟化开发环境的工具，Consul则可以简化分布式环境中的服务注册与发现流程，它们都是开源软件。

　　目前HashiCorp的声明明确指的是Vault企业版在中国禁用，但我们发现，事件最开始被传播时，其声明是另一个版本：

　　最开始声明只表示相关软件可能不适应于在中国使用、部署或安装。这样的声明瞬间引起了“开源项目开始实际被国界限制”的担忧与愤怒，网上出现许多议论。

　　有网友从HashiCorp创始人处得到回应，其表示实际上这与开源软件无关，而是只限制Vault企业版产品，并且原因是Vault产品目前使用的加密算法，在中国不符合法规，另一方面是美国出口管制法在涉及加密相关软件上也有相应规定。因此这两项原因使得HashCorp不得不在声明中说明风险。

　　首先，本文档仅适用于企业评估软件。这不适用于我们的OSS软件，除非在注册企业评估的上下文中，否则不应将其链接到我们的OSS附近。

　　这不是政治声明，这是法律要求。我们在Vault中使用的加密受中国出口管制法律的约束，并且（根据中国法律）我们在中国销售是非法的。

　　按照目前HashiCorp官网上的声明，开源项目其实还是“安全”的，被禁用的是Vault企业版。