統(tǒng)信軟件的開源合規(guī)治理體系構(gòu)建之路

　　7月29日全球數(shù)字經(jīng)濟(jì)大會——2022開放原子全球開源峰會開源合規(guī)分論壇在北京大興亦創(chuàng)國際會展中心舉行。統(tǒng)信軟件作為國內(nèi)開源領(lǐng)域的優(yōu)秀代表受邀參與圓桌對話環(huán)節(jié)，分享統(tǒng)信軟件在開源合規(guī)方面的實(shí)踐經(jīng)驗(yàn)與思考。

　　本次圓桌由開放原子開源基金會法務(wù)與知識產(chǎn)權(quán)部王荷舒主持，統(tǒng)信軟件知識產(chǎn)權(quán)總監(jiān)康正德、廣州知識產(chǎn)權(quán)法院審判委員會委員著作權(quán)審判庭庭長譚海華、北京大學(xué)法學(xué)院教授張平、國家工業(yè)信息安全發(fā)展研究中心軟件所開源技術(shù)研究部技術(shù)總監(jiān)周峻松、新思科技亞太地區(qū)大客戶技術(shù)經(jīng)理高揚(yáng)圍繞知識產(chǎn)權(quán)合規(guī)、數(shù)據(jù)合規(guī)、出口管制、代碼合規(guī)工具等角度探討開源合規(guī)治理體系的構(gòu)建之路。

　　一起來看看統(tǒng)信軟件知識產(chǎn)權(quán)總監(jiān)康正德都聊了哪些話題以及他的精彩觀點(diǎn)~

　　話題一

　　企業(yè)實(shí)踐中保障開源合規(guī)的重點(diǎn)和難點(diǎn)在哪些方面?企業(yè)開源合規(guī)有體系嗎?如有，您認(rèn)為包含哪些方面?

　　統(tǒng)信軟件知識產(chǎn)權(quán)總監(jiān)康正德：企業(yè)的開源治理，包含了開源安全、開源合規(guī)、開源供應(yīng)鏈等等，所以企業(yè)的開源合規(guī)工作也不是孤立的，往往需要與其他工作結(jié)合起來。

　　對于開源合規(guī)，主要集中在開源知識產(chǎn)權(quán)風(fēng)險(xiǎn)的應(yīng)對上，如何遵守許可證規(guī)定的通知義務(wù)和開源義務(wù)以避免觸發(fā)著作權(quán)、專利、商標(biāo)的侵權(quán)風(fēng)險(xiǎn)。此外，開源還涉及到域外管轄和出口管制的合規(guī)，例如美國出口管制條例EAR和我國的出口管制法規(guī)。

　　當(dāng)前開源許可證眾多，每個許可證所規(guī)定的義務(wù)又各不相同，呈現(xiàn)出復(fù)雜多樣、互不兼容的特點(diǎn)。這些都需要法務(wù)人員進(jìn)行專業(yè)地分析和解讀，而最后的合規(guī)處理又需要落實(shí)到代碼和文件，需要由程序員來進(jìn)行落地操作。所以企業(yè)開源合規(guī)工作的特點(diǎn)就是涉及人員多、涉及部門多、協(xié)同要求高。

　　我們認(rèn)為，企業(yè)開源合規(guī)的成效，除了依賴于開源合規(guī)管理制度、開源合規(guī)工具，員工的開源素質(zhì)是重點(diǎn)，包括員工對公司開源政策的理解，對重要許可證義務(wù)的理解，以及對標(biāo)準(zhǔn)合規(guī)處理的掌握。只有不斷通過培訓(xùn)提高員工的開源素質(zhì)，開源合規(guī)工作才能事半功倍。

　　開源合規(guī)工作的難點(diǎn)，應(yīng)該是企業(yè)不斷增長的合規(guī)需求與合規(guī)工具有限功能之間的矛盾。開源合規(guī)需求很多，包括：軟件物料清單、組件識別、篡改識別、代碼溯源、依賴檢測、許可證兼容性分析等等，各種合規(guī)工具在不同需求點(diǎn)上表現(xiàn)不一;當(dāng)前，由于開源供應(yīng)鏈的合規(guī)需求上升，對軟件物料清單的準(zhǔn)確性和完整性又提出了更高的要求。

　　企業(yè)的開源合規(guī)體系，這方面的研究和實(shí)踐都很多，IBRAHIM HADDAD博士的《Open Source Compliance in the Enterprise》一書中就有系統(tǒng)的闡述。大致包括：企業(yè)開源政策、開源合規(guī)管理組織、開源合規(guī)管理辦法和流程、開源合規(guī)工具。

　　我們認(rèn)為，企業(yè)建立適合自身的開源政策最為重要。有的企業(yè)只是在企業(yè)內(nèi)部使用開源軟件，并不做分發(fā)，它要遵守的開源合規(guī)義務(wù)就很少，主要需要考慮的可能就是開源供應(yīng)鏈上游帶來的合規(guī)風(fēng)險(xiǎn);有的企業(yè)在產(chǎn)品中使用開源軟件也做分發(fā)，但對自研代碼要求閉源，那他就要高度關(guān)注開源代碼和開源組件的選擇和使用方式，避免違反copyleft許可證帶來的開源義務(wù);有的企業(yè)是既使用開源也向外開源，那他要關(guān)注的就更多了，既要避免許可證沖突又要符合開源通知義務(wù)。

　　企業(yè)必須根據(jù)自身戰(zhàn)略和定位制訂清晰的開源政策，并以其指導(dǎo)開源合規(guī)管理辦法的制訂，以及開源合規(guī)管理組織的職責(zé)和工作。

　　話題二

　　您認(rèn)為參與開源——不論是作為使用者、貢獻(xiàn)者或引領(lǐng)者——最重要的合規(guī)建議是什么?

　　統(tǒng)信軟件知識產(chǎn)權(quán)總監(jiān)康正德：建議一：跟所有其他的企業(yè)合規(guī)工作一樣，開源合規(guī)也需要合規(guī)成本，這個成本可能是人力成本，也有可能是產(chǎn)品延遲發(fā)布的時(shí)間成本，所以開源合規(guī)的開展應(yīng)以對項(xiàng)目最小影響為目標(biāo)，科學(xué)地設(shè)置審核節(jié)點(diǎn)和審核內(nèi)容非常重要。

　　例如：在立項(xiàng)階段就要求研發(fā)經(jīng)理向合規(guī)審核小組提出開源使用請求，包括：項(xiàng)目是否開源、項(xiàng)目擬采用的開源許可證、項(xiàng)目擬采用的組件或第三方庫及調(diào)用方式等，避免事后因重大合規(guī)缺陷導(dǎo)致的返工。

　　還有可以在第一輪全量測試時(shí)進(jìn)行項(xiàng)目代碼審計(jì)，既能對項(xiàng)目代碼進(jìn)行完整掃描，發(fā)現(xiàn)問題又能即時(shí)返回研發(fā)進(jìn)行代碼修改。

　　建議二：行動起來最重要，馬上就開始進(jìn)行開源合規(guī)審核吧。不用等到所有資源全部到位，也不用等到各項(xiàng)功能都完全達(dá)標(biāo)的合規(guī)工具，開源合規(guī)審核最重要的因素還是人。哪怕是簡易審核流程，也能將最重要的不合規(guī)項(xiàng)發(fā)現(xiàn)出來。

　　“開源”概念發(fā)端于國外，在我國起步較晚。但近年來我國從開源戰(zhàn)略布局到開源生態(tài)發(fā)展均勢頭迅猛，開源在推動技術(shù)創(chuàng)新、促進(jìn)產(chǎn)業(yè)協(xié)作、加快各行業(yè)數(shù)字化進(jìn)程方面發(fā)揮的作用日益凸顯。由此企業(yè)或個人在使用、參與或主導(dǎo)開源項(xiàng)目的過程中，面臨越來越多開源合規(guī)問題亟待解決。

　　開源合規(guī)論壇的舉辦，給開源企業(yè)、個人打開了解開源規(guī)則、協(xié)議和生態(tài)的窗口，通過開源實(shí)踐思考開源合規(guī)治理體系構(gòu)建之路。以統(tǒng)信軟件為代表的基礎(chǔ)軟件廠商在開源領(lǐng)域開始嶄露頭角，積極貢獻(xiàn)開源、參與開源合規(guī)治理，期待更多開源力量加入進(jìn)來，共同繁榮國內(nèi)開源生態(tài)。