2021 年 8 月 20 日,Gitee 与欧拉操作系统开源社区联合举办的开源合规研讨会于深圳顺利举行。通过本次深圳开源合规研讨会,各位嘉宾从企业和组织、个体开发者、贡献者以及项目维护者等不同的角度,为大家分享了开源合规的重要性及必要性以及不同角色可能产生的不同风险。
上午进行的是闭门研讨会,研讨会由欧拉操作系统开源社区 Compliance SIG 的 maintainer 高琨主持,参会的有来自百度、华为、腾讯、vivo、招商银行、微众银行、平安科技、前海股权交易中心、天际资本等企业和投资机构的开源管理及法务人员。
高琨首先从开源软件的定义展开,通过开源软件的六大特征和相关案例,引出正确使用开源软件如此重要的原因,并分享了正确使用开源软件的方式。随后各位嘉宾针对开源许可证的权利、义务和限制三个维度,对多个国内外开源合规案例进行了深入探讨,并对多个开源许可证条款进行了深入分析。在闭门研讨会的最后,各企业的负责人通过分享自身的业务场景,对于企业使用开源软件时遇到过的问题和风险进行了讨论与交流。
下午场的开放研讨会于 14:00 正式开始,由合规基础讲起,再到开源合规的 ISO 流程,然后是合规工具研讨,最后介绍合规相关的 CLA 签署。
首先由 openEuler compliance sig 组的成员杨聪分享开源合规的基础知识,他通过什么是知识财产讲起,详细阐述了知识产权的概念、软件中的版权(著作权)的概念以及软件相关的权利和专利等概念。介绍完相关概念后,分析了许可证所适用的场景及许可证所对应的权利、义务、限制的特点等;随后提到了自由开源软件的概念及分类, 并通过相关案例分享常见的自由开源软件许可;最后,针对开源软件合规中的关键概念展开,分享了软件开发流程中的常见开发模式。
紧随着出场的是 openEuler compliance sig 组的成员郑志鹏,分享的主题是 OpenChain 组织的开源合规 ISO 标准 。
郑志鹏以开发者开源合规指南为起点,介绍到开发者开源合规的基础是 SBOM(Software Bill Of Materials),即软件成分分析,通过建立 SBOM 树,可以清楚知道每个组件的信息及组合方式和传染的范围,了解引入过程中的冲突性和兼容性等。
随后郑志鹏分享了许可证合规指南,以详细的流程和步骤引导,确保引入开源项目的合规性。并从开发者和组织的角度,解释了为什么组织内部需要开源软件合规流程。
郑志鹏还提到了开源软件合规的目标:了解对你的软件的开源构成和义务,并通过增加认识、了解管理风险从而促进目标达成。而要达成这些目标,对于开源软件的审核流程同样重要。
最后郑志鹏分享了常见的开源合规陷阱,如知识财产陷阱、许可证合规陷阱、合规流程陷阱来提醒组织在引入开源项目时所需要注意的事项。
研讨会的第三部分为圆桌讨论环节,由开源中国 CTO 红薯主持,以社区/企业对开源合规落地的工具需求为主题,邀请到了欧拉操作系统开源社区运营总监马全一、百度开源办公室工作组组长沈朝华、微众银行开源管理办公室负责人钟燕清以及 Tapdata 合伙人王永和。
四位嘉宾对开源合规所使用的工具、管理流程及效果进行了讨论,并讨论分析了对于开源软件的使用需要拥有的制度应该有哪些。
最后由欧拉操作系统开源社区运营总监马全一分享了欧拉操作系统开源社区 CLA 的实践,介绍了什么是 CLA(Contributor License Agreement),阐述了贡献者、使用者和代码之间的关系。以欧拉操作系统开源社区为例介绍了 CLA 与其的故事及随着经验增长而不断地进化,逐步保证了欧拉操作系统开源社区的 CLA 在全球范围内的合规性。
对于 CLA 和 DCO 的区别,马全一说道:“DCO 就是简版的 CLA,区别在于是否拥有管理能力,机制是否复杂。而 CLA 是更复杂,具有管理能力的协议。”
“要不要对公司员工贡献开源做一些合规方面的限制,这是我今天主要想表达的主题”,马全一最后的总结给今天的开源合规研讨会画上了完美的句号。Gitee 和欧拉操作系统开源社区也希望通过本次研讨会,引起广大开发者和厂商对开源合规问题的重视,在引用和贡献开源项目时有遵循开源合规的意识,并以此为基础开始构建开源合规的规则和政策,让开源合规逐渐不再成为问题,而是正常流程中的一环。
微信公众号 - openEuler(openEulercommunity)。
如有侵权,请删除。
