近日，“心寄源”法律沙龍（2023第六期 | 總第十一期）在開放原子開源基金會（以下簡稱“基金會”）成功召開，本期沙龍邀請到了字節(jié)跳動開源委員會法律顧問孫振華律師，圍繞熱點話題“OpenChain開源合規(guī)標(biāo)準(zhǔn)實踐”主題進(jìn)行了深度剖析，參會嘉賓展開了積極討論。本期沙龍線下、線上同步開展，受到參會嘉賓的一致好評。

沙龍議程

演講及圓桌主題：

OpenChain開源合規(guī)標(biāo)準(zhǔn)實踐

主講嘉賓：

孫振華律師

字節(jié)跳動開源委員會法律顧問

孫振華律師負(fù)責(zé)公司代碼合規(guī)及開源相關(guān)的法律事務(wù)，推動并支持字節(jié)OSPO的成立和發(fā)展，致力于OpenChain開源合規(guī)國際標(biāo)準(zhǔn)在公司的落地和完善；長期參與開源相關(guān)的社區(qū)活動，信通院OSCAR開源之書活動的積極貢獻(xiàn)者，《現(xiàn)代企業(yè)合規(guī)指引》開源合規(guī)章節(jié)作者，曾因在開源合規(guī)方面的貢獻(xiàn)被評為中國開源先鋒；曾任律師及專利代理人。

本期要點

孫律師從什么是開源軟件供應(yīng)鏈、開源軟件供應(yīng)鏈常見的風(fēng)險和挑戰(zhàn)、OpenChain國際標(biāo)準(zhǔn)、如何采用OpenChain標(biāo)準(zhǔn)四個方面對OpenChain開源合規(guī)標(biāo)準(zhǔn)實踐進(jìn)行了深入淺出的講解。

在第一部分“什么是開源軟件供應(yīng)鏈”中，孫律師從軟件供應(yīng)鏈的基本概念出發(fā)，通過示意圖講解了軟件供應(yīng)鏈在公司內(nèi)部的DevOps流程。其次，孫律師介紹了從上游到公司內(nèi)部，再到下游的開源供應(yīng)鏈?zhǔn)疽鈭D，在公司內(nèi)部可能涉及集成（Integration）、產(chǎn)品質(zhì)量（QA）、產(chǎn)品化（Productization）等。孫律師指出，當(dāng)下，軟件規(guī)模不斷擴(kuò)大，企業(yè)自行開發(fā)軟件的難度越來越大，為了避免重復(fù)造輪子，開發(fā)過程引入開源組件已經(jīng)成為軟件開發(fā)的趨勢和主流解決方案。

第二部分孫律師介紹了“開源軟件供應(yīng)鏈常見的風(fēng)險和挑戰(zhàn)”。他指出，很多代碼庫都有安全和運營的風(fēng)險，例如代碼庫存在許可證沖突、代碼庫包含了至少已過期四年的開源代碼、代碼庫包含沒有許可證或使用定制許可證的開源代碼、代碼庫包含兩年未更新的組件等風(fēng)險。現(xiàn)如今軟件供應(yīng)鏈越來越復(fù)雜，而開源軟件的安全和合規(guī)問題也隨著軟件供應(yīng)鏈不斷傳遞，我們面對的挑戰(zhàn)是如何構(gòu)建可信（合規(guī)）、高效的供應(yīng)鏈。

隨后孫律師重點介紹了OpenChain國際標(biāo)準(zhǔn)。他指出，OpenChain為開源管理提供了最佳實踐，展示了端到端的管理流程——識別、檢查、問題處理、審核、批準(zhǔn)、注冊、聲明、驗證、發(fā)布、以及發(fā)布后的驗證。此外，OpenChain也是一個社區(qū)，下設(shè)工具、規(guī)格、自動化、教育等社區(qū)小組，還有法律及合規(guī)咨詢機(jī)構(gòu)、合規(guī)工具廠商等作為合作伙伴。孫律師介紹，2020年12月16日，OpenChain規(guī)格成為國際標(biāo)準(zhǔn)ISO/IEC 5230，OpenChain項目社區(qū)將持續(xù)維護(hù)該標(biāo)準(zhǔn)的升級與演進(jìn)。簡而言之，OpenChain標(biāo)準(zhǔn)統(tǒng)一了一套在整個開源軟件供應(yīng)鏈上的認(rèn)證標(biāo)準(zhǔn)，加入的供應(yīng)商及其項目都需要經(jīng)過合規(guī)認(rèn)證，認(rèn)證之后，整個開源社區(qū)對于該公司或該項目開源供應(yīng)鏈上關(guān)于開源許可的相關(guān)問題的顧慮將大幅減少。此外，孫律師還分享了一些OpenChain相關(guān)的網(wǎng)址，供大家進(jìn)一步了解和學(xué)習(xí)：

https://www.openchainproject.org/

https://github.com/OpenChain-Project

https://github.com/OpenChain-Project/Curriculum/tree/master/policy-template

最后，孫律師闡述了如何應(yīng)用OpenChain標(biāo)準(zhǔn)。他首先從實踐角度指出了維護(hù)良好的開源軟件供應(yīng)鏈的價值：一是支持客戶使用公司提供的開源解決方案；二是支持公司使用最佳的開源解決方案；三是增強(qiáng)公司主導(dǎo)的開源項目對開發(fā)者和用戶的吸引力；四是更好地貢獻(xiàn)和支持公司依賴的開源生態(tài)。其次，孫律師介紹了開源合規(guī)的定義，廣義上，開源合規(guī)是開源知識產(chǎn)權(quán)的合規(guī)，涵蓋著作權(quán)、專利、商標(biāo)和商業(yè)秘密等多個方面。狹義上，開源合規(guī)是指對于開源許可證的遵守，具體而言是指對于開源許可證中列明的義務(wù)的遵守。孫律師指出，開源合規(guī)的落地包含非常多細(xì)節(jié)，但所有工作都是為了實現(xiàn)兩個總體目標(biāo)：一是識別開源軟件；二是滿足開源合規(guī)義務(wù)。

孫律師認(rèn)為，從人員角度出發(fā)，采用OpenChain標(biāo)準(zhǔn)需要DevOps的工具團(tuán)隊、合規(guī)團(tuán)隊、法務(wù)團(tuán)隊通力合作，并得到擴(kuò)展團(tuán)隊的大力支持。在引入開源軟件時，需確保開發(fā)者使用高質(zhì)量的組件，并從可信的提供商處獲得；使用開源軟件時有記錄，可跟蹤；了解使用該組件的法律合規(guī)需求；在對外輸出軟件或服務(wù)時，確保工程師發(fā)布時同時有一份軟件組件清單，并滿足這些開源組件的合規(guī)要求；及時修復(fù)安全/運維/法務(wù)提出的各種問題等。此外，孫律師還強(qiáng)調(diào)了公司進(jìn)行開源合規(guī)培訓(xùn)的重要性，并舉例介紹了部分培訓(xùn)內(nèi)容，如公司如何實現(xiàn)開源、開源許可證的簡介、開源合規(guī)的簡介、端到端合規(guī)管理、如何為外部開源項目做貢獻(xiàn)等。

主題演講環(huán)節(jié)后，孫律師同與會嘉賓就OpenChain展示的端到端管理流程中“驗證”和“發(fā)布后的驗證”環(huán)節(jié)由哪些職能部門負(fù)責(zé)通過何種方式落實、OpenChain如何進(jìn)行認(rèn)證、OpenChain標(biāo)準(zhǔn)的具體落地、OpenChain相關(guān)培訓(xùn)課程等問題，進(jìn)行了全方位的討論。

本期沙龍給大家?guī)砗芏鄦⑹荆_(dá)到了預(yù)期效果，得到了與會嘉賓的一致好評。

聯(lián)系我們

沙龍活動一般采取閉門的主題演講和圓桌討論的形式，線下、線上同步進(jìn)行，時間通常在月初或月末的周五下午，可能根據(jù)節(jié)假日或主講嘉賓時間微調(diào)。

我們歡迎有開源法律實踐經(jīng)驗的企業(yè)法務(wù)、律師等法律專家成為沙龍成員，分享您熟悉的開源法律理論和實踐，跟進(jìn)業(yè)內(nèi)前沿話題，展開專業(yè)、務(wù)實的探討。

沙龍旨在為相關(guān)專業(yè)人士提供一個暢所欲言、共建共享的交流平臺，開啟開源法律相關(guān)人才交流的新紀(jì)元；同時進(jìn)一步推廣開源文化，吸引更多人才加入到開源法律行業(yè)中。

心寄源、法同行，攜手開啟開源法律相關(guān)人才交流的新紀(jì)元！

聲明：沙龍嘉賓的發(fā)言僅代表個人觀點，除非特殊說明不代表其所在單位的觀點或開放原子開源基金會的觀點。

審核編輯 黃宇