其他
专访项曙明:混源开发模式已成主流,直面挑战解决合规难题
我们知道您自身有着非常丰富的许可证合规、EAR 合规、产品安全管控&应对方面经验,可以简单分享一下您此前的经历和目前所从事的工作吗?
据您的观察,目前阶段企业开源合规方面目前所处的现状和所面临的挑战。
开源人才的缺乏:由于开源合规和安全的治理,涉及产品全生命周期、包含经营、研发、供应链、法务、知识产权、售后/运维、研发管理、质量管理、工具系统多个领域,是一个庞大的系统工程。行业、企业内通晓或了解全领域的开源人才奇缺。许多企业在推进过程中投入的人往往只是知道一个领域和几个领域的人员,合规治理推进和落地缺乏核心的灵魂人物,导致治理只是停留在表面,难以取得明显成效。 难以构建有效的管控体系:企业对开源合规风险认知不一,在组建企业 OSPO 上资源投入不足;不知道如何根据企业自身战略和现状构建有效管控体系的方法,没有从构建企业稳定的开源管控能力上着手来构建企业的过程能力——规范、流程、指导书、工具流和治理工程能力,往往只是构建了部分领域的技能和能力,难以达到管控效果。如:许可证治理只是区分了黑白名单,但是没有对相关许可证进行解读。白名单许可证的开源软件引入后项目该如何使用才能降低风险?如何检查项目组已经将相关风险治理完成?都缺乏相应的规范、指导书、管控流程和工具。很多时候,开源软件的白名单只是一张 excel 表,没有 SCA 相关工具,项目组的开源软件使用情况亦不清晰,配置管理也没有完全到位,开源软件、项目版本和用户数据不能做到上下追溯…… 市场尚缺乏具公信力的开源可信能力评价机制:行业用户不知该如何来选择可信的软件产品,缺乏一套第三方的、有公信力的评价标准和咨询测评体系,可让我们在采购或选择第三方软件组件时对供应商的开源治理能力有一个客观的评价作为参考,甚至作为进入短名单的敲门砖,如:CMM、CMMI、GSMA NESAS 认证。由于开源和软件可信供应链的合规管控是近几年才逐渐出现的新生事物,可信的标准和评价体系正在逐步建立的过程中,其能否转化为一套可信的评价体系一方面需要标准和体系制定者构建起一套可信的合规治理能力成熟度模型,其次需要有相应的咨询、评价团队来帮助企业构建这个能力,并输出可信有效的评价结论真实反映被评估对象的合规 & 安全治理管控能力,那么采购方、需求方才会真正将此认证作为其软件采购时的入门要求之一。 当然,这个过程是双方的,也需要行业用户与标准、体系构建的组织方共同努力,以加快这套开源可信能力评价机制的建立速度,从而造福企业和市场
如今,越来越多的企业将开源软件二次开发后用于商业用途,但如未能履行开源软件协议项下义务将使企业面临巨大的法律风险。可否结合相关案例谈谈开源领域在知识产权、合同、商业秘密、安全等领域的法律风险?
2021 年 4 月,深圳市中级人民法院对原告罗盒公司诉被告风灵公司侵害开源软件“VirtualApp”著作权侵权纠纷案作出判决,认定被告构成侵权,责令其立即停止提供涉案软件的下载、安装和运营服务,并赔偿原告经济损失及维权费用共计 50 万元。它围绕开源软件的著作权归属、合作作品的判断标准、开源许可协议的法律性质和效力等方面展开了详细论述,对于在司法实践中判断使用开源软件是否构成侵权具有重要的司法指导意义;
去年闹得沸沸扬扬的 log4j2 安全漏洞事件,影响多达 60644 个开源软件,涉及相关版本软件包更是达到了 321094 个。而本次漏洞的触发方式简单,利用成本极低,可以说是一场 java 生态的‘浩劫’,那么作为企业来说如何构建起及时发现漏洞、漏洞产生后的应对机制就显得非常重要; 我们使用了某一开源软件,原则上就是和该开源项目签订了一个许可证合同,它是不用签署,只要你使用了就是一个事实合同,所以许可证的许多协议条款再赋予你许多修改、分发权利的时候也要承担起相应的义务。那最典型的就是 GPL 许可证,一个商用分发的软件项目如果没有做好核心商业秘密的代码与 GPL 许可证开源软件的有效隔离,那么核心代码就会感染也必须遵循 GPL 协议,从而核心商业秘密也必须公开,也是很多企业无法承受的,应为起导致的结果就是要不你不再在某一细分市场进行商业分发导致商业利益受损,要么核心商业秘密公开整个市场受损。如果不这样做就是违反许可证合同,导致企业不能使用该 GPL 许可证的开源软件。 所以开源软件在给我们企业带来各种便利的前提下,如何做到商业分发条件下的合规&安全就显得尤为重要!
我们知道,作为一家覆盖全球市场的国际化公司,中兴很早就已经构建了可信供应链实践,以确保对产品的质量追踪溯源。您可以分享一下这方面的内容吗?比如,都使用了怎样的工具,从规范到系统建设都取得了哪些工作成果?
首先:合规是公司经营成功的基石之一,公司领导重视开源合规,是成功最关键的要素; 其次:全公司一盘棋,进行公司级的开源治理是成功的次要因素,也是提升研发&经营效能的最有效手段; 第三:企业已具备固化的研发管控流程体系,开源合规和安全管控流程要求能较容易的嵌入了现有的产品/项目研发管理过程中,确保了管控的有效性; 第四:完整、全面、正确的识别产品/项目版本如何使用开源软件是一切治理的基础!专业的 SCA 扫描工具是帮助项目了解开源现状和使用的必备工具; 第五:开发“开源软件全生命周期管理”工具,并结合开源可信供应链要求,逐步将开源合规&安全管控过程全面纳入企业既有的研发、经营 IT 系统中,并进行数据化的度量和跟踪推进,及时掌握治理进展和治理效能情况; 第六:虽然是虚拟化的 OSPO 运作,但是一个相对固定专业化的核心团队是确保治理方向正确、并引领企业逐年迭代演进的关键要素。
全球数字化浪潮下,积极拥抱开源成为了越来越多企业进入市场长期发展的准入门槛。作为开源合规方面的专家,您对当下企业开源风险治理策略的建立方面有哪些建议?
首先需要结合企业战略和经营目标,对照开源合规和安全风险进行分析,明确企业自身的开眼合规&安全治理目标。 其次,企业领导一定要理解和领会到开源合规&安全风险的重要性,将其提升至组织战略高度,并投入一定的资源,支持 OSPO 的持续改进。 购买合适的 SCA 工具,对软件项目进行全面扫描,了解开源使用现状,据此分析实际的开源合规 & 安全风险。 参考现有国际、国内的可信供应链相关的标准和规范,对标进行自评分析找出弱项。 结合治理目标、当前现状,以及企业所能的投入,输出切实可行的可信供应链管控能力构建计划,一般应该为一个比较长期的几年计划,将目标逐年分解以项目形式进行管控和推进。 现在国际、国内已经有一些开源合规和可信供应链方面的标准和认证,企业可以选择相关标准进行认证为牵引而开展治理工作目标会比较明确,治理推进也更有推动了。如:OpenChain ISO/IEC 5230 国际标准、信通院《开源供应链风险管理框架 第 1 部分:面向软件提供商和云服务商(第二次征求意见稿)》开源可信供应链标准,OpenSSF SLSA。企业自身行业的相关标准要求,如通信行业的 GSMA NESAS 系列标准。 企业在开源合规风险治理过程中若缺乏相关能力,建议可以寻找外部咨询机构或专家进行培训、辅导、咨询,可以起到事半功倍之效果,少走弯路,缩短治理时间。
可否分享一下中兴通讯与信通院在开源合规等方面此前已建立的合作有哪些?