Санкции и Open Source: Новые правила глобального взаимодействия

Разбираем, как международные санкции меняют collaboration в open-source проектах. Официальная позиция Linux Foundation с нашими пояснениями и примерами.
🔗 Оригинал статьи: https://www.linuxfoundation.org/blog/navigating-global-regulations-and-open-source-us-ofac-sanctions

❓Почему Open Source подчиняется американским законам?
Несмотря на глобальную природу open-source, ключевые организации и инфраструктура подпадают под юрисдикцию США по двум причинам:

🏛 Юридическая регистрация
The Linux Foundation и другие фундаментальные организации зарегистрированы как некоммерческие юр. лица в США. Это обязывает их полностью соблюдать законодательство США, включая санкционные программы OFAC.

🖥 Физическая инфраструктура
Репозитории, системы CI/CD и хостинг-провайдеры (GitHub, GitLab, AWS, Google Cloud) работают под юрисдикцией США или используют американские облачные сервисы.

💥 Несоблюдение санкций грозит организациям серьезными штрафами и уголовной ответственностью до полного прекращения деятельности.

❓Ключевой механизм: санкционные списки OFAC
OFAC (Office of Foreign Assets Control) публикует и регулярно обновляет SDN List (Specially Designated Nationals and Blocked Persons List) - список лиц и организаций, с которыми запрещены транзакции.

❗️ Важно: санкции распространяются не только на прямых участников списка, но и на организации, на 50% и более принадлежащие таким лицам, а также на целые страны и регионы под тотальным эмбарго.

🔍 Проверить статус можно здесь: https://sanctionssearch.ofac.treas.gov/

❓Новый протокол взаимодействия: информация vs. услуга
Законодательство США проводит четкую грань между разрешенным обменом информацией и запрещенным оказанием услуг.
Например:

✅ Разрешено (информация):
• Одностороннее получение кода
• Анализ непрошенного патча (unsolicited patch)
• Самостоятельное применение без обратной связи
• Исходный код классифицируется как «информационный материал»

❌ Запрещено (услуга):
• Любая двусторонняя коммуникация
• Запросы на доработку и разъяснения
• Совместная работа и обсуждение
• Подписание CLA и других юридических контрактов
• Такие действия трактуются как «транзакция» и «оказание услуги»

❓Практические примеры из жизни
Сценарий 1 ✅:
• Разработчик из компании в SDN List отправляет патч: [PATCH] Fix memory leak in module Y
• Мейнтейнеры молча применяют этот патч в проект
• Результат: вклад принят, нарушений нет 👍

Сценарий 2 ❌:
• Тот же разработчик пишет: "Вот исправление. Проверьте, пожалуйста, строку 45. Нужна ли вам документация?"
• Мейнтейнер отвечает: "Спасибо! Объясните ваш подход к строке 45"
• Результат: произошло двустороннее взаимодействие → нарушение санкций 👎

❓Реальная практика: наблюдения за 6 месяцев
За полгода мы накопили данные по текущему положению дел с патчами в ядро и другие проекты.
• Часть мейнтейнеров стали игнорировать сообщения от коллег из санкционных компаний, даже личного характера. То есть разорвали любые связи.
• Большинство продолжает работать по обоим сценариям. Некоторые модифицируют свои правила - не принимают и не обсуждают патчи с почтовых серверов компаний, при этом охотно общаются через личную почту.
• Пока не зафиксировано случаев применения санкций к open-source проектам из-за того, что мейнтейнеры продолжают делать свою работу.
• Решение о взаимодействии остается на усмотрение мейнтейнера

❗️Рекомендации для сообщества и выводы
Сложившаяся ситуация не является следствием чьей-либо личной позиции, а представляет собой вынужденную меру для сохранения жизнеспособности ключевых Open Source-проектов и их инфраструктуры, как утверждает LF.

Поэтому рекомендуется:
Для мейнтейнеров:
• Внедряйте процессы проверки контрибьюторов
• Строго придерживаться правила «одностороннего приема информации»
• Избегать двустороннего общения с участниками из санкционных списков

Для разработчиков из санкционных юрисдикций:
• Возможность вносить вклад остается через отправку законченных патчей
• Не надо ожидать обратной связи — ваш код будет услышан
• Нужно формировать патч серии как самодостаточные решения без RFC

Всем привет!
Мы уже считаем необходимое количество микрофонов для конференции OSDevConf2025 Powered by Gigachat ⚡️

Стать частью конференции легко: подать доклад на главное событие года по системной разработке в Linux, Open Source и не только 🎤

И просто не забывайте регистрироваться для оффлайн и онлайн участия.
А теперь к новостям ⬇️⬇️⬇️


Если Вы прочитали, и Вам понравился "Захватывающий триллер!", про который мы писали в позапрошлом посте, то вот добавочка!

На медиа каналы RULKC, выложили крутейший доклад от Александра Попова из Positive Technologies с конференции PHDays, прошедшей 22–24 мая 2025 года.

Александр представил свой открытый pet-проект kernel-hack-drill и рассказал, как с помощью него провел эксперименты с уязвимостью CVE-2024-50264 в ядре Linux.

Тот самый случай когда ты сначала прочитал книгу, а потом можешь посмотреть кино. А не наоборот)

Видео уже на всех платформах: VK, RuTube и YouTube.
Выбирай наиболее удобную для себя!

Всем привет.

Расписание существенной части программы конференции OSDevConf2025 Powered by Gigachat будет доступно уже на этой неделе.

Оффлайн посетителям помимо возможности живого общения со спикерами, горячего нетворкинга и участия кулуарных холиварах будет вечерняя секция Lighting Talks📱 которая не будет транслироваться в онлайн.

Спешите регистрироваться для оффлайн участия, ведь количество мест ограничено 🔠🔠🔠


Кстати↩️

В сентября у нас с коллегами возникло обсуждение по поводу текущего положения дел с принятием патчей в ядро Linux со стороны российских разработчиков.
В итоге немного посмотрели статистику по контрибьютам, что обнаружили можно узнать по ссылке:
https://telegra.ph/Vzglyad-na-trend-kontribyuta-v-mainline-10-20