统信软件的开源合规治理体系构建之路
7月29日全球数字经济大会——2022开放原子全球开源峰会开源合规分论坛在北京大兴亦创国际会展中心举行。统信软件作为国内开源领域的优秀代表受邀参与圆桌对话环节,分享统信软件在开源合规方面的实践经验与思考。
本次圆桌由开放原子开源基金会法务与知识产权部王荷舒主持,统信软件知识产权总监康正德、广州知识产权法院审判委员会委员著作权审判庭庭长谭海华、北京大学法学院教授张平、国家工业信息安全发展研究中心软件所开源技术研究部技术总监周峻松、新思科技亚太地区大客户技术经理高扬围绕知识产权合规、数据合规、出口管制、代码合规工具等角度探讨开源合规治理体系的构建之路。
一起来看看统信软件知识产权总监康正德都聊了哪些话题以及他的精彩观点~ 话题一 企业实践中保障开源合规的重点和难点在哪些方面?企业开源合规有体系吗?如有,您认为包含哪些方面? 统信软件知识产权总监康正德:企业的开源治理,包含了开源安全、开源合规、开源供应链等等,所以企业的开源合规工作也不是孤立的,往往需要与其他工作结合起来。 对于开源合规,主要集中在开源知识产权风险的应对上,如何遵守许可证规定的通知义务和开源义务以避免触发著作权、专利、商标的侵权风险。此外,开源还涉及到域外管辖和出口管制的合规,例如美国出口管制条例EAR和我国的出口管制法规。 当前开源许可证众多,每个许可证所规定的义务又各不相同,呈现出复杂多样、互不兼容的特点。这些都需要法务人员进行专业地分析和解读,而最后的合规处理又需要落实到代码和文件,需要由程序员来进行落地操作。所以企业开源合规工作的特点就是涉及人员多、涉及部门多、协同要求高。 我们认为,企业开源合规的成效,除了依赖于开源合规管理制度、开源合规工具,员工的开源素质是重点,包括员工对公司开源政策的理解,对重要许可证义务的理解,以及对标准合规处理的掌握。只有不断通过培训提高员工的开源素质,开源合规工作才能事半功倍。 开源合规工作的难点,应该是企业不断增长的合规需求与合规工具有限功能之间的矛盾。开源合规需求很多,包括:软件物料清单、组件识别、篡改识别、代码溯源、依赖检测、许可证兼容性分析等等,各种合规工具在不同需求点上表现不一;当前,由于开源供应链的合规需求上升,对软件物料清单的准确性和完整性又提出了更高的要求。 企业的开源合规体系,这方面的研究和实践都很多,IBRAHIM HADDAD博士的《Open Source Compliance in the Enterprise》一书中就有系统的阐述。大致包括:企业开源政策、开源合规管理组织、开源合规管理办法和流程、开源合规工具。 我们认为,企业建立适合自身的开源政策最为重要。有的企业只是在企业内部使用开源软件,并不做分发,它要遵守的开源合规义务就很少,主要需要考虑的可能就是开源供应链上游带来的合规风险;有的企业在产品中使用开源软件也做分发,但对自研代码要求闭源,那他就要高度关注开源代码和开源组件的选择和使用方式,避免违反copyleft许可证带来的开源义务;有的企业是既使用开源也向外开源,那他要关注的就更多了,既要避免许可证冲突又要符合开源通知义务。 企业必须根据自身战略和定位制订清晰的开源政策,并以其指导开源合规管理办法的制订,以及开源合规管理组织的职责和工作。 话题二 您认为参与开源——不论是作为使用者、贡献者或引领者——最重要的合规建议是什么? 统信软件知识产权总监康正德:建议一:跟所有其他的企业合规工作一样,开源合规也需要合规成本,这个成本可能是人力成本,也有可能是产品延迟发布的时间成本,所以开源合规的开展应以对项目最小影响为目标,科学地设置审核节点和审核内容非常重要。 例如:在立项阶段就要求研发经理向合规审核小组提出开源使用请求,包括:项目是否开源、项目拟采用的开源许可证、项目拟采用的组件或第三方库及调用方式等,避免事后因重大合规缺陷导致的返工。 还有可以在第一轮全量测试时进行项目代码审计,既能对项目代码进行完整扫描,发现问题又能即时返回研发进行代码修改。 建议二:行动起来最重要,马上就开始进行开源合规审核吧。不用等到所有资源全部到位,也不用等到各项功能都完全达标的合规工具,开源合规审核最重要的因素还是人。哪怕是简易审核流程,也能将最重要的不合规项发现出来。 “开源”概念发端于国外,在我国起步较晚。但近年来我国从开源战略布局到开源生态发展均势头迅猛,开源在推动技术创新、促进产业协作、加快各行业数字化进程方面发挥的作用日益凸显。由此企业或个人在使用、参与或主导开源项目的过程中,面临越来越多开源合规问题亟待解决。 开源合规论坛的举办,给开源企业、个人打开了解开源规则、协议和生态的窗口,通过开源实践思考开源合规治理体系构建之路。以统信软件为代表的基础软件厂商在开源领域开始崭露头角,积极贡献开源、参与开源合规治理,期待更多开源力量加入进来,共同繁荣国内开源生态。
|
|||||||||||