近日，由江蘇潤和軟件股份有限公司（以下簡稱“潤和軟件”）參與聯合主辦的“openEuler & OpenHarmony 社區合規 SIG 開源合規共建研討會”于南京在潤和軟件成功舉辦。作為 openEuler 和 OpenHarmony 社區合規 SIG 第一次線下研討會，聚集了10+企業的開源合規治理專家和法務專家，積極分享開源合規治理的經驗、見解和最佳實踐，共同探討開源合規治理實踐過程中遇到的痛點、難點與挑戰，同時積極尋求開源合規能力共建的方向和落腳點，共同推動開源軟件合規能力的建設和發展。

openEuler & OpenHarmony 社區合規SIG開源合規共建研討會現場

本次研討會首先由openEuler社區合規 SIG 介紹了2023 年度規劃及進展，該規劃由 SIG 組全體成員基于各廠商實際業務訴求經過探討共同確定，涵蓋合規工具能力建設、合規案例庫能力建設、操作系統合規治理能力建設、SBOM 能力建設和 License 兼容性分析能力建設等。

openEuler合規SIG代表陳一雄介紹openEuler社區合規 SIG 2023 年度規劃及進展

研討會介紹了 OpenHarmony 社區合規的三層防線兩層責任體系，同時介紹了 OpenHarmony 合規 SIG 組今年的工作重點，包括獲取 OpenChain 認證、完善 SBOM 樹的開源合規治理能力、增強開源片段掃描與許可證管理能力等。

OpenHarmony合規SIG Maintainer高亮介紹 OpenHarmony社區合規SIG工作規劃

研討會上還重點探討了操作系統開源合規治理能力建設的進展與規劃，分析了操作系統與一般應用軟件進行開源合規治理的區別與當前 SCA 工具存在的痛點，確定今年 8 月份輸出操作系統開源合規治理框架。操作系統開源合規治理是對以軟件包為核心、軟件技術棧復雜、依賴組件形式多樣，關系復雜的軟件場景合規治理的初步探索，對于高復雜軟件的開源合規治理具有一定參考意義。

對于SBOM能力建設進展與規劃，與會專家表示，SBOM的數據準確性和完整是一個重要的挑戰。會上進一步針對 SBOM 能力的完善，以及如何進行 SBOM 數據完整性保護等進行了深度探討，當前 SBOM 能力已在 openEuler 和 OpenHarmony 社區落地，下一步將擴展文件級 SBOM 探索，同時與開源社區、供應鏈合作伙伴進行合作，共享經驗和最佳實踐。

潤和軟件戰略技術中心專家、合規SIG Maintainer魏建剛針對SBOM能力建設發言

此外，研討會還討論了合規案例庫能力建設、License 兼容性分析能力建設等話題。由于不同國家、不同法律體系關于合規案例審判標準方面存在差異，導致合規案例的解讀可能具有一定的局限性，但是合規案例庫能力建設也具有積極意義，一方面能夠明晰國內審判標準，記錄國內對開源合規案例審判的變化過程，另一方面能夠對開發者提供指導。License 兼容性分析能力建設仍處于探索研究階段，構建完善 License 兼容性分析能力需要 SBOM 核心依賴調用分析、License 條款結構、開源軟件使用場景等前提條件。openEuler 和 OpenHarmony 社區合規 SIG 將共同建設各項能力，進一步構建 License 兼容性分析能力。

本次研討會的成功舉辦，進一步加強了 openEuler 和 OpenHarmony 社區合規 SIG 之間的交流，初步確定了兩大社區開源合規能力合作共建的方向，同時也為進一步推動國內開源合規能力共建邁出了重要的一步。

潤和軟件將攜手開源伙伴和行業客戶，共同建設一個開放、合規、安全的開源軟件生態系統。

相關鏈接：歡迎訪問openEuler和OpenHarmony社區合規SIG官網

https://www.openeuler.org/zh/sig/sig-detail/?name=sig-compliancehttps://gitee.com/openharmony/community/blob/master/sig/sig_compliance/sig_compliance_cn.md