近日，“心寄源”法律沙龍（2023第六期 | 總第十一期）在開放原子開源基金會（以下簡稱“基金會”）成功召開，本期沙龍邀請到了字節(jié)跳動開源委員會法律顧問孫振華律師，圍繞熱點(diǎn)話題“OpenChain開源合規(guī)標(biāo)準(zhǔn)實(shí)踐”主題進(jìn)行了深度剖析，參會嘉賓展開了積極討論。本期沙龍線下、線上同步開展，受到參會嘉賓的一致好評。

沙龍議程

演講及圓桌主題：OpenChain開源合規(guī)標(biāo)準(zhǔn)實(shí)踐 主講嘉賓：孫振華律師字節(jié)跳動開源委員會法律顧問 孫振華律師負(fù)責(zé)公司代碼合規(guī)及開源相關(guān)的法律事務(wù)，推動并支持字節(jié)OSPO的成立和發(fā)展，致力于OpenChain開源合規(guī)國際標(biāo)準(zhǔn)在公司的落地和完善；長期參與開源相關(guān)的社區(qū)活動，信通院OSCAR開源之書活動的積極貢獻(xiàn)者，《現(xiàn)代企業(yè)合規(guī)指引》開源合規(guī)章節(jié)作者，曾因在開源合規(guī)方面的貢獻(xiàn)被評為中國開源先鋒；曾任律師及專利代理人。

本期要點(diǎn)

孫律師從什么是開源軟件供應(yīng)鏈、開源軟件供應(yīng)鏈常見的風(fēng)險和挑戰(zhàn)、OpenChain國際標(biāo)準(zhǔn)、如何采用OpenChain標(biāo)準(zhǔn)四個方面對OpenChain開源合規(guī)標(biāo)準(zhǔn)實(shí)踐進(jìn)行了深入淺出的講解。 在第一部分“什么是開源軟件供應(yīng)鏈”中，孫律師從軟件供應(yīng)鏈的基本概念出發(fā)，通過示意圖講解了軟件供應(yīng)鏈在公司內(nèi)部的DevOps流程。其次，孫律師介紹了從上游到公司內(nèi)部，再到下游的開源供應(yīng)鏈?zhǔn)疽鈭D，在公司內(nèi)部可能涉及集成（Integration）、產(chǎn)品質(zhì)量（QA）、產(chǎn)品化（Productization）等。孫律師指出，當(dāng)下，軟件規(guī)模不斷擴(kuò)大，企業(yè)自行開發(fā)軟件的難度越來越大，為了避免重復(fù)造輪子，開發(fā)過程引入開源組件已經(jīng)成為軟件開發(fā)的趨勢和主流解決方案。 第二部分孫律師介紹了“開源軟件供應(yīng)鏈常見的風(fēng)險和挑戰(zhàn)”。他指出，很多代碼庫都有安全和運(yùn)營的風(fēng)險，例如代碼庫存在許可證沖突、代碼庫包含了至少已過期四年的開源代碼、代碼庫包含沒有許可證或使用定制許可證的開源代碼、代碼庫包含兩年未更新的組件等風(fēng)險。現(xiàn)如今軟件供應(yīng)鏈越來越復(fù)雜，而開源軟件的安全和合規(guī)問題也隨著軟件供應(yīng)鏈不斷傳遞，我們面對的挑戰(zhàn)是如何構(gòu)建可信（合規(guī)）、高效的供應(yīng)鏈。 隨后孫律師重點(diǎn)介紹了OpenChain國際標(biāo)準(zhǔn)。他指出，OpenChain為開源管理提供了最佳實(shí)踐，展示了端到端的管理流程——識別、檢查、問題處理、審核、批準(zhǔn)、注冊、聲明、驗(yàn)證、發(fā)布、以及發(fā)布后的驗(yàn)證。此外，OpenChain也是一個社區(qū)，下設(shè)工具、規(guī)格、自動化、教育等社區(qū)小組，還有法律及合規(guī)咨詢機(jī)構(gòu)、合規(guī)工具廠商等作為合作伙伴。孫律師介紹，2020年12月16日，OpenChain規(guī)格成為國際標(biāo)準(zhǔn)ISO/IEC 5230，OpenChain項(xiàng)目社區(qū)將持續(xù)維護(hù)該標(biāo)準(zhǔn)的升級與演進(jìn)。簡而言之，OpenChain標(biāo)準(zhǔn)統(tǒng)一了一套在整個開源軟件供應(yīng)鏈上的認(rèn)證標(biāo)準(zhǔn)，加入的供應(yīng)商及其項(xiàng)目都需要經(jīng)過合規(guī)認(rèn)證，認(rèn)證之后，整個開源社區(qū)對于該公司或該項(xiàng)目開源供應(yīng)鏈上關(guān)于開源許可的相關(guān)問題的顧慮將大幅減少。此外，孫律師還分享了一些OpenChain相關(guān)的網(wǎng)址，供大家進(jìn)一步了解和學(xué)習(xí)： https://www.openchainproject.org/https://github.com/OpenChain-Projecthttps://github.com/OpenChain-Project/Curriculum/tree/master/policy-template 最后，孫律師闡述了如何應(yīng)用OpenChain標(biāo)準(zhǔn)。他首先從實(shí)踐角度指出了維護(hù)良好的開源軟件供應(yīng)鏈的價值：一是支持客戶使用公司提供的開源解決方案；二是支持公司使用最佳的開源解決方案；三是增強(qiáng)公司主導(dǎo)的開源項(xiàng)目對開發(fā)者和用戶的吸引力；四是更好地貢獻(xiàn)和支持公司依賴的開源生態(tài)。其次，孫律師介紹了開源合規(guī)的定義，廣義上，開源合規(guī)是開源知識產(chǎn)權(quán)的合規(guī)，涵蓋著作權(quán)、專利、商標(biāo)和商業(yè)秘密等多個方面。狹義上，開源合規(guī)是指對于開源許可證的遵守，具體而言是指對于開源許可證中列明的義務(wù)的遵守。孫律師指出，開源合規(guī)的落地包含非常多細(xì)節(jié)，但所有工作都是為了實(shí)現(xiàn)兩個總體目標(biāo)：一是識別開源軟件；二是滿足開源合規(guī)義務(wù)。 孫律師認(rèn)為，從人員角度出發(fā)，采用OpenChain標(biāo)準(zhǔn)需要DevOps的工具團(tuán)隊(duì)、合規(guī)團(tuán)隊(duì)、法務(wù)團(tuán)隊(duì)通力合作，并得到擴(kuò)展團(tuán)隊(duì)的大力支持。在引入開源軟件時，需確保開發(fā)者使用高質(zhì)量的組件，并從可信的提供商處獲得；使用開源軟件時有記錄，可跟蹤；了解使用該組件的法律合規(guī)需求；在對外輸出軟件或服務(wù)時，確保工程師發(fā)布時同時有一份軟件組件清單，并滿足這些開源組件的合規(guī)要求；及時修復(fù)安全/運(yùn)維/法務(wù)提出的各種問題等。此外，孫律師還強(qiáng)調(diào)了公司進(jìn)行開源合規(guī)培訓(xùn)的重要性，并舉例介紹了部分培訓(xùn)內(nèi)容，如公司如何實(shí)現(xiàn)開源、開源許可證的簡介、開源合規(guī)的簡介、端到端合規(guī)管理、如何為外部開源項(xiàng)目做貢獻(xiàn)等。 主題演講環(huán)節(jié)后，孫律師同與會嘉賓就OpenChain展示的端到端管理流程中“驗(yàn)證”和“發(fā)布后的驗(yàn)證”環(huán)節(jié)由哪些職能部門負(fù)責(zé)通過何種方式落實(shí)、OpenChain如何進(jìn)行認(rèn)證、OpenChain標(biāo)準(zhǔn)的具體落地、OpenChain相關(guān)培訓(xùn)課程等問題，進(jìn)行了全方位的討論。 本期沙龍給大家?guī)砗芏鄦⑹荆_(dá)到了預(yù)期效果，得到了與會嘉賓的一致好評。 ?

聯(lián)系我們

沙龍活動一般采取閉門的主題演講和圓桌討論的形式，線下、線上同步進(jìn)行，時間通常在月初或月末的周五下午，可能根據(jù)節(jié)假日或主講嘉賓時間微調(diào)。 我們歡迎有開源法律實(shí)踐經(jīng)驗(yàn)的企業(yè)法務(wù)、律師等法律專家成為沙龍成員，分享您熟悉的開源法律理論和實(shí)踐，跟進(jìn)業(yè)內(nèi)前沿話題，展開專業(yè)、務(wù)實(shí)的探討。 如果您有意向申請成為沙龍成員，歡迎您發(fā)郵件至salonadmin@openatom.org與我們溝通，索取如何參與沙龍的指引（隨附待填寫的成員信息備案表、和需要閱讀同意的隱私聲明及沙龍成員行為指引等材料）。衷心感謝大家對基金會及本沙龍的關(guān)注和支持！歡迎前往官網(wǎng)了解更多：https://www.openatom.cn/law/salon 沙龍旨在為相關(guān)專業(yè)人士提供一個暢所欲言、共建共享的交流平臺，開啟開源法律相關(guān)人才交流的新紀(jì)元；同時進(jìn)一步推廣開源文化，吸引更多人才加入到開源法律行業(yè)中。 心寄源、法同行，攜手開啟開源法律相關(guān)人才交流的新紀(jì)元！ 聲明：沙龍嘉賓的發(fā)言僅代表個人觀點(diǎn)，除非特殊說明不代表其所在單位的觀點(diǎn)或開放原子開源基金會的觀點(diǎn)。