开源合规标准实践-“心寄源”法律沙龙（2023第六期 | 总第十一期）成功召开

近日，“心寄源”法律沙龙（2023第六期 | 总第十一期）在开放原子开源基金会（以下简称“基金会”）成功召开，本期沙龙邀请到了字节跳动开源委员会法律顾问孙振华律师，围绕热点话题“OpenChain开源合规标准实践”主题进行了深度剖析，参会嘉宾展开了积极讨论。本期沙龙线下、线上同步开展，受到参会嘉宾的一致好评。

沙龙议程

演讲及圆桌主题：

OpenChain开源合规标准实践

主讲嘉宾：

孙振华律师

字节跳动开源委员会法律顾问

孙振华律师负责公司代码合规及开源相关的法律事务，推动并支持字节OSPO的成立和发展，致力于OpenChain开源合规国际标准在公司的落地和完善；长期参与开源相关的社区活动，信通院OSCAR开源之书活动的积极贡献者，《现代企业合规指引》开源合规章节作者，曾因在开源合规方面的贡献被评为中国开源先锋；曾任律师及专利代理人。

本期要点

孙律师从什么是开源软件供应链、开源软件供应链常见的风险和挑战、OpenChain国际标准、如何采用OpenChain标准四个方面对OpenChain开源合规标准实践进行了深入浅出的讲解。

在第一部分“什么是开源软件供应链”中，孙律师从软件供应链的基本概念出发，通过示意图讲解了软件供应链在公司内部的DevOps流程。其次，孙律师介绍了从上游到公司内部，再到下游的开源供应链示意图，在公司内部可能涉及集成（Integration）、产品质量（QA）、产品化（Productization）等。孙律师指出，当下，软件规模不断扩大，企业自行开发软件的难度越来越大，为了避免重复造轮子，开发过程引入开源组件已经成为软件开发的趋势和主流解决方案。

第二部分孙律师介绍了“开源软件供应链常见的风险和挑战”。他指出，很多代码库都有安全和运营的风险，例如代码库存在许可证冲突、代码库包含了至少已过期四年的开源代码、代码库包含没有许可证或使用定制许可证的开源代码、代码库包含两年未更新的组件等风险。现如今软件供应链越来越复杂，而开源软件的安全和合规问题也随着软件供应链不断传递，我们面对的挑战是如何构建可信（合规）、高效的供应链。

随后孙律师重点介绍了OpenChain国际标准。他指出，OpenChain为开源管理提供了最佳实践，展示了端到端的管理流程——识别、检查、问题处理、审核、批准、注册、声明、验证、发布、以及发布后的验证。此外，OpenChain也是一个社区，下设工具、规格、自动化、教育等社区小组，还有法律及合规咨询机构、合规工具厂商等作为合作伙伴。孙律师介绍，2020年12月16日，OpenChain规格成为国际标准ISO/IEC 5230，OpenChain项目社区将持续维护该标准的升级与演进。简而言之，OpenChain标准统一了一套在整个开源软件供应链上的认证标准，加入的供应商及其项目都需要经过合规认证，认证之后，整个开源社区对于该公司或该项目开源供应链上关于开源许可的相关问题的顾虑将大幅减少。此外，孙律师还分享了一些OpenChain相关的网址，供大家进一步了解和学习：

https://www.openchainproject.org/

https://github.com/OpenChain-Project

https://github.com/OpenChain-Project/Curriculum/tree/master/policy-template

最后，孙律师阐述了如何应用OpenChain标准。他首先从实践角度指出了维护良好的开源软件供应链的价值：一是支持客户使用公司提供的开源解决方案；二是支持公司使用最佳的开源解决方案；三是增强公司主导的开源项目对开发者和用户的吸引力；四是更好地贡献和支持公司依赖的开源生态。其次，孙律师介绍了开源合规的定义，广义上，开源合规是开源知识产权的合规，涵盖著作权、专利、商标和商业秘密等多个方面。狭义上，开源合规是指对于开源许可证的遵守，具体而言是指对于开源许可证中列明的义务的遵守。孙律师指出，开源合规的落地包含非常多细节，但所有工作都是为了实现两个总体目标：一是识别开源软件；二是满足开源合规义务。

孙律师认为，从人员角度出发，采用OpenChain标准需要DevOps的工具团队、合规团队、法务团队通力合作，并得到扩展团队的大力支持。在引入开源软件时，需确保开发者使用高质量的组件，并从可信的提供商处获得；使用开源软件时有记录，可跟踪；了解使用该组件的法律合规需求；在对外输出软件或服务时，确保工程师发布时同时有一份软件组件清单，并满足这些开源组件的合规要求；及时修复安全/运维/法务提出的各种问题等。此外，孙律师还强调了公司进行开源合规培训的重要性，并举例介绍了部分培训内容，如公司如何实现开源、开源许可证的简介、开源合规的简介、端到端合规管理、如何为外部开源项目做贡献等。

主题演讲环节后，孙律师同与会嘉宾就OpenChain展示的端到端管理流程中“验证”和“发布后的验证”环节由哪些职能部门负责通过何种方式落实、OpenChain如何进行认证、OpenChain标准的具体落地、OpenChain相关培训课程等问题，进行了全方位的讨论。

本期沙龙给大家带来很多启示，达到了预期效果，得到了与会嘉宾的一致好评。

联系我们

沙龙活动一般采取闭门的主题演讲和圆桌讨论的形式，线下、线上同步进行，时间通常在月初或月末的周五下午，可能根据节假日或主讲嘉宾时间微调。

我们欢迎有开源法律实践经验的企业法务、律师等法律专家成为沙龙成员，分享您熟悉的开源法律理论和实践，跟进业内前沿话题，展开专业、务实的探讨。

沙龙旨在为相关专业人士提供一个畅所欲言、共建共享的交流平台，开启开源法律相关人才交流的新纪元；同时进一步推广开源文化，吸引更多人才加入到开源法律行业中。

心寄源、法同行，携手开启开源法律相关人才交流的新纪元！

声明：沙龙嘉宾的发言仅代表个人观点，除非特殊说明不代表其所在单位的观点或开放原子开源基金会的观点。

审核编辑 黄宇