提高意識,構建規則|深圳開源合規研討會回顧

語言: CN / TW / HK

2021 年 8 月 20 日,Gitee 與 openEuler 聯合舉辦的開源合規研討會於深圳順利舉行。通過本次深圳開源合規研討會,各位嘉賓從企業和組織、個體開發者、貢獻者以及專案維護者等不同的角度,為大家分享了開源合規的重要性及必要性以及不同角色可能產生的不同風險。

上午首先進行的是閉門研討會,研討會由 openEuler Compliance SIG 的高琨主持,參會的有來自於百度、華為、騰訊、VIVO、招商銀行、微眾銀行、平安科技、前海股權交易中心、天際資本等企業和投資機構的開源管理及法務人員。

image.png

高琨首先從開源軟體的定義展開,通過開源軟體的六大特徵和相關案例,引出為何正確使用開源軟體如此重要,以及如何正確使用開源軟體。

隨後各位嘉賓針對開源許可證的權利與義務和多個國內外開源合規案例進行了深入探討,並對多個開源許可證進行了深入分析。

在閉門研討會的最後,各企業的負責人通過分享自身的業務場景,對於企業使用開源軟體時產生過的問題和風險進行了討論與交流。

下午場的開放研討會於 14:00 正式開始,首先進行分享的是來自 openEuler 的楊聰與鄭志鵬。 image.png

楊聰首先帶來的是開源合規知識詳解,他通過什麼是知識財產、常見的軟體許可證型別、開源軟體合規中的關鍵概念幾大部分,詳細闡述了智慧財產權的概念、軟體中的版權(著作權)的概念以及其中與軟體相關的權利和其中的專利概念。

楊聰通過對目前常用開源許可證的介紹,分析了不同許可證所適用的不同場景及權利、義務、限制的特點等。

緊隨著楊聰的是鄭志鵬,他分享的主題是 OpenChain 組織的開源合規 ISO 標準

image.png

鄭志鵬以開發者開源合規指南為起點,介紹到開發者開源合規的基礎是SBOM(Software Bill Of Materials),即軟體成分分析,通過建立SBOM樹,可以清楚知道每個元件的資訊及組合方式和傳染的範圍,瞭解引入過程中的衝突性和相容性等。

隨後鄭志鵬分享了許可證合規指南,以詳細的流程和步驟引導,確保引入開源專案的合規性。並從開發者和組織的角度,解釋了為什麼組織內部需要開源軟體合規流程。

鄭志鵬還提到了開源軟體合規的目標:瞭解對你的軟體的開源構成和義務,並通過增加認識、瞭解管理風險從而促進目標達成。而要達成這些目標,對於開源軟體的稽核流程同樣重要。

最後鄭志鵬分享了常見的開源合規陷阱,如知識財產陷阱、許可證合規陷阱、合規流程陷阱來提醒組織在引入開源專案時所需要注意的事項。

研討會的第三部分為圓桌討論環節,由開源中國 CTO 紅薯主持,以社群/企業對開源合規落地的工具需求為主題,邀請到了 openEuler 社群運營總監馬全一、百度開源辦公室工作組組長沈朝華、微眾銀行開源管理辦公室負責人鍾燕清以及 Tapdata 合夥人王永和。

image.png

四位嘉賓對開源合規所使用的工具、管理流程及效果進行了討論,並討論分析了對於開源軟體的使用需要擁有的制度應該有哪些。

最後由 openEuler 社群運營總監馬全一分享了 openEuler 社群 CLA 的實踐,介紹了什麼是 CLA(Contributor License Agreement),闡述了貢獻者、使用者和程式碼之間的關係。以 openEuler 為例介紹了 CLA 與其的故事及隨著經驗增長而不斷地進化,逐步保證了 openEuler 的 CLA 在全球範圍內的合規性。

image.png

對於 CLA 和 DCO 的區別,馬全一說道:“DCO 就是簡版的 CLA,區別在於是否擁有管理能力,機制是否複雜。而 CLA 是更復雜,具有管理能力的協議。”

“要不要對公司員工貢獻開源做一些合規方面的限制,這是我今天主要想表達的主題”,馬全一最後的總結給今天的開源合規研討會畫上了完美的句號。

Gitee 和 openEuler 也希望通過本次研討會,引起廣大開發者和廠商對開源合規問題的重視,在引用和貢獻開源專案時有遵循開源合規的意識,並以此為基礎開始構建開源合規的規則和政策,讓開源合規逐漸不再成為問題,而是正常流程中的一環。