2021 年 8 月 20 日,Gitee 与 openEuler 联合举办的开源合规研讨会于深圳顺利举行。通过本次深圳开源合规研讨会,各位嘉宾从企业和组织、个体开发者、贡献者以及项目维护者等不同的角度,为大家分享了开源合规的重要性及必要性以及不同角色可能产生的不同风险。
上午首先进行的是闭门研讨会,研讨会由 openEuler Compliance SIG 的高琨主持,参会的有来自于百度、华为、腾讯、VIVO、招商银行、微众银行、平安科技、前海股权交易中心、天际资本等企业和投资机构的开源管理及法务人员。
高琨首先从开源软件的定义展开,通过开源软件的六大特征和相关案例,引出为何正确使用开源软件如此重要,以及如何正确使用开源软件。
随后各位嘉宾针对开源许可证的权利与义务和多个国内外开源合规案例进行了深入探讨,并对多个开源许可证进行了深入分析。
在闭门研讨会的最后,各企业的负责人通过分享自身的业务场景,对于企业使用开源软件时产生过的问题和风险进行了讨论与交流。
下午场的开放研讨会于 14:00 正式开始,首先进行分享的是来自 openEuler 的杨聪与郑志鹏。 
杨聪首先带来的是开源合规知识详解,他通过什么是知识财产、常见的软件许可证类型、开源软件合规中的关键概念几大部分,详细阐述了知识产权的概念、软件中的版权(著作权)的概念以及其中与软件相关的权利和其中的专利概念。
杨聪通过对目前常用开源许可证的介绍,分析了不同许可证所适用的不同场景及权利、义务、限制的特点等。
紧随着杨聪的是郑志鹏,他分享的主题是 OpenChain 组织的开源合规 ISO 标准 。
郑志鹏以开发者开源合规指南为起点,介绍到开发者开源合规的基础是SBOM(Software Bill Of Materials),即软件成分分析,通过建立SBOM树,可以清楚知道每个组件的信息及组合方式和传染的范围,了解引入过程中的冲突性和兼容性等。
随后郑志鹏分享了许可证合规指南,以详细的流程和步骤引导,确保引入开源项目的合规性。并从开发者和组织的角度,解释了为什么组织内部需要开源软件合规流程。
郑志鹏还提到了开源软件合规的目标:了解对你的软件的开源构成和义务,并通过增加认识、了解管理风险从而促进目标达成。而要达成这些目标,对于开源软件的审核流程同样重要。
最后郑志鹏分享了常见的开源合规陷阱,如知识财产陷阱、许可证合规陷阱、合规流程陷阱来提醒组织在引入开源项目时所需要注意的事项。
研讨会的第三部分为圆桌讨论环节,由开源中国 CTO 红薯主持,以社区/企业对开源合规落地的工具需求为主题,邀请到了 openEuler 社区运营总监马全一、百度开源办公室工作组组长沈朝华、微众银行开源管理办公室负责人钟燕清以及 Tapdata 合伙人王永和。
四位嘉宾对开源合规所使用的工具、管理流程及效果进行了讨论,并讨论分析了对于开源软件的使用需要拥有的制度应该有哪些。
最后由 openEuler 社区运营总监马全一分享了 openEuler 社区 CLA 的实践,介绍了什么是 CLA(Contributor License Agreement),阐述了贡献者、使用者和代码之间的关系。以 openEuler 为例介绍了 CLA 与其的故事及随着经验增长而不断地进化,逐步保证了 openEuler 的 CLA 在全球范围内的合规性。
对于 CLA 和 DCO 的区别,马全一说道:“DCO 就是简版的 CLA,区别在于是否拥有管理能力,机制是否复杂。而 CLA 是更复杂,具有管理能力的协议。”
“要不要对公司员工贡献开源做一些合规方面的限制,这是我今天主要想表达的主题”,马全一最后的总结给今天的开源合规研讨会画上了完美的句号。
Gitee 和 openEuler 也希望通过本次研讨会,引起广大开发者和厂商对开源合规问题的重视,在引用和贡献开源项目时有遵循开源合规的意识,并以此为基础开始构建开源合规的规则和政策,让开源合规逐渐不再成为问题,而是正常流程中的一环。
{{m.name}}
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/103445.html