经过openEuler社区技术委员会讨论,决定openEuler社区正式成立ComplianceSIGComplianceSIG将重点解决合规openEuler社区中的开源软件问题。openEuler社区的开发者更擅长软件开发,合规的本质是法律问题。社区开发者在开发软件的过程中,如果不合理地使用其他开源软件,可能会存在法律风险。为什么开源软件具有“免费”的属性,却仍然存在法律风险?根据版权法,以任何方式使用软件都需要获得软件作者的许可,该许可描述了授予用户的权利和用户必须履行的义务。虽然开源软件本身是“免费的”,但实际上它与其他任何软件都没有什么区别。开源软件的作者在开源软件开头就选择了相应的开源许可证。开源软件的使用也受许可证约束。根据Synopsys网络安全研究中心制作的《2020年开源安全和风险分析报告》许可证冲突分析,发现33%的代码库包含未授权软件,67%的代码库存在许可证冲突问题,因此合规性问题是每个开源开发者都必须关注的问题。openEuler社区是最具活力的开源社区,拥有超过7000个开源软件仓库。虽然openEuler社区也在做一些从0到1的创新项目,但是大部分项目都使用了很多其他的开源软件。如此大量使用开源软件怎么可能合法合规?再加上开源软件的license变更时有发生,每次license变更的影响对于一个开源软件来说都是一个复杂的工程问题。这是ComplianceSIG将要探索并试图解决的问题之一。每一个RPM包发布都会有一个spec文件,里面包含了RPM包引用的上游开源软件,但是开发者没有能力及时维护这些导入的上游开源软件。根据Synopsys网络安全研究中心发布的《2020年开源安全和风险分析报告》,目前82%的代码库包含已过期四年以上的组件,88%的代码库包含在2018年没有任何开发活动的组件过去两年。这就导致当软件漏洞涉及到上游软件时,上游软件已经停止更新,这将直接导致软件漏洞无法修复。这是ComplianceSIG将要探索和尝试解决的第二个问题。在ComplianceSIG成立之前,openEuler社区推出一款开源软件,首先交由TC决策。随着推出的开源软件数量不断增加,TC的决策压力越来越大,专业性也不容易得到保证。openEuler社区需要ComplianceSIG来处理这些事情,专业的人做专业的事。ComplianceSIG的成立得到了麒麟信安、润禾软件和华为的支持。这3家公司的开发者作为ComplianceSIG的维护者,其中魏建刚是HopeInfra的产品运营总监。SIG将以提升整个社区的合规工程能力为使命,让合规成为openEuler的品牌。正如胡芯在《openEuler 社区2021年1月运作报告》中所说,我们希望ComplianceSIG能够为国内软件合规树立典范,同时积累一系列软件工具,为行业提供公共能力。欢迎加入ComplianceSIG。ComplianceSIG要解决的主要问题是解决文件级许可的问题。例如:PHP解决新引入组件的license判断问题。解决上游组件license变更问题。例如:mangoDB和ES解决了RPM包的spec文件的license和原生社区的license不一致的问题。例如:greenlet组件ComplianceSIG的目标是建立openEuler合规体系,发布openEuler规则,制定openEuler合规流程,设计openEuler合规架构(BAIA),开发openEuler合规工具,提供openEuler合规服务(解决方案))
