2024年5月31日,由OpenChain、华为技术有限公司、上海安势信息技术有限公司联合举办的 「OpenChain 供应链安全合规 Workshop」 在深圳圆满召开。
本次Workshop邀请到了各行各业的专家和代表, 包括政府部门、各大高校、互联网、ICT、软件、汽车企业、律师事务所、工具厂商 等。大家共聚一堂,畅所欲言,共享先进研究成果与创新观点,挖掘开源领域的无限潜力。
特邀嘉宾致辞
Guest Speach
0 1
OpenChain 总经理 Shane Coughlan
Shane Coughlan在致辞中回顾了加入开源工作的一些经历和心态转变,他认为, 开源在商业世界中的贡献是巨大的,为了确保开源在长期内的管理和运营,必须发展结构和方法,在处理流程的过程中,应该尝试采用创新的思维方式,以充分利用开源的力量和人们的创造力。同时,他提出, 一直以来,OpenChain不断开发新的指导材料,以开放的态度,保持着与世界各地的人们分享。接下来,OpenChain将会发布一份 新的标准指南,他表示,希望这份标准指南,无论是在许可合规、安全保证方面,还是在团队创建更高效产品方面都能对大家有所帮助。
02
华为首席开源专家 侯培新
侯培新在致辞中表示,目前,开源软件已经成为各个行业的基础,而如何高效、安全地应用和开发开源软件则是一个重要问题。华为等中国组织在OpenChain等国际组织中发挥了重要作用,并将这些标准应用到产品中,openEuler、OpenHarmony社区都已经通过了ISO 5230,近日openEuler也将通过ISO 18974认证。他表示,本次Workshop聚集了国内开源社区、工具厂商、产业组织、认证机构和学术界的代表,他们将分享最佳实践和流程标准,以应对开源软件许可证合规和网络安全等问题。这里提供了一个良好的平台,让大家能够充分讨论和分享信息,希望这次Workshop能够让大家不虚此行。
03
安势信息创始人&CEO 薛植元
薛植元是上海安势信息技术有限公司的创始人,他表示,随着大环境的不景气,很多企业都在寻找海外市场和AI赋能的机会,但同时也面临着合规和安全的挑战。他认为,今天的会议可以帮助大家解决这些问题,为未来 的AI时代去做准备,「尽管经济环境不太好,但未来还是充满希望的,无论是出海还是AI。」他表示,希望在场每位走在开源前沿的专家们,都能够更多地交流,为未来的挑战做更多的准备。
议题分享
Issue Sharing
2024 年 ISO 5230(许可)和 ISO 18974(安全)对专业人士的影响
OpenChain 总经理 Shane Coughlan 提出,OpenChain制定的ISO标准,是有助于开源供应链安全合规管理的标准,并得到了广泛支持和应用。他分享了供应链市场的演进发展以及相关法律政策,强调标准对于守护开源供应链安全合规的重要性。此外他指出,目前中国公司在标准化和流程管理方面有领先地位,有助于成为开源领域的领先者。
由案例见证我国GPL司法裁判尺度的演变
GPL开源协议是开源领域被广泛使用的协议之一,也是目前司法案例 中涉及最多的开源协议 。 麒麟软件知识产权总监 邢鹏 详细地梳理了十年内一系列真实且极具代表性的案例, 结合「新生混沌四案」等典型案例,分析和总结了司法实践关注的要点, 讲述了我国GPL司法裁判尺度的演变进程和实践,从技术和法律结合的视角去分GPL法律裁判历程的共识、分歧以及困惑,从而引出对企业合规工作的启示, 帮助企业综合全面地了解使用开源软件的注意要点及相关法律风险。
从0到1,企业如何进行开源合规
在日常开放源代码的实践中,不少公司或开发人员在运用、参与或管理开放源项目时,往往会碰到各种开源法规合规性方面的挑战。因此,企业需要格外重视如何降低这种潜在风险,并确保其在开源项目中的行为符合相关规定。 广东良马律所律师 邹良城 , 结合「赤兔开源,道歉收场」等实际开源违规案例,列举出建议开源的具体场景和法律法规等,分别从管理组织、管理制度和流程指引、知识文档和代码应用规范、代码扫描工具、法律教育等维度分析开源合规体系,与大家共同探讨建立开源法律合规体系的重要性,为各大企业提供切实可行的建议。
开源社区如何遵循ISO 5230(许可)和 ISO 18974(安全)
openEuler社区安全委员会成员 刘金刚 详 尽地介绍 了openEuler安全治理的演进 历程 以及安全治理体系的 构 建。他 深入 解 析 了openEuler安全治理的演 化 进程及安全治理体系的建 设 ,并 通过 实际案例 展 现 了如何 运用科学 的安全治理 策略确 保软件系统的安全 性与 稳定 性 ,强调了安全治理在软件开发和维护中的 关键地位 。
OpenHarmony社区合规SIG Leader 高亮 从开源合规的重要性 角度 出发,与大家探讨 了 OpenHarmony 在开源合规治理 中 所面临的挑战和风险。 他 深入 剖 析 了 Apache、Linux、Eclipse 等主流社区的开源合规实践,同时 向大家 分享 了 OpenHarmony 开源合规治理框架以及 在 开源合规治理 方面 的优秀 实践。
欧拉与鸿蒙开源社区正在蓬勃发展中,影响力也日益扩大,两位专家的精彩分享, 不仅让更多人了解openEuler和OpenHarmony这两个社区在安全治理以及开源合规治理上的演进和发展,也学习了他们在安全治理以及开源合规治理上的优秀实践,对软件开发和维护中加强安全治理和开源合规治理具有重要的参考价值。
刘金刚
openEuler
社区 安全委员会成员
高亮
OpenHarmony
社区 合规SIG Leader
汽车零部件 FOSS 合规治理
汽车新四化的飞速发展,使其所面临的信息安全压力也日趋增大。 博世华域软件工具链专家 张亚锋 在介绍其公司业务基础上分析了汽车行业当前所面临的挑战和风险, 探讨 了为何 以及如何进行相关的合规治理,包括如何 运 用扫描工具、 设 定 角色和 责 任以及 改进流程等措施,以确保开源软件 合规性 。另外他提供 了一些实用且有效的安全合规操作建议,并强调 了 开源安全合规在汽车行业领域内的重要意义。
许可证合规工程落地初探
自行违法使用开源软件,或者将其用于不正当用途,可能会影响到公司的声誉,甚至有可能导致公司面临财务风险。 对此, 中兴通讯开源合规&安全治理总监 项曙明 深入剖析了当前软件供应链的环境,对许可证所潜藏的问题和主要管理难题进行了重点说明。同时,他还强调了软件组件许可证合规的重要性及其相关技术要求。他认为, 在实际使用开源软件时,许可证问题方面可能会出现风险,因此他强调通过法律手段和技术手段确保使用的软件组件许可证是合法合规的,从而避免不必要的风险。
软件供应链安全治理中工具的价值
科技创新作为当今社会发展的重要驱动力,尤其在软件行业发挥着不可或缺的作用。然而,在这个蓬勃发展的时代背景下,供应链日益繁复,全面保障其安全性也成为一项非常困难的挑战。 安 势信息产品架构总监 朱贤曼 通过分析软件供应链的背景与现状,从明确供应链关系、理清系统和组件的引用关系、制定有效的安全防护策略等方面入手,提出了软件供应链安全治理的解决方案。她认为,软件供应链安全治理是一个复杂的系统工程,需要从多个方面进行综合考虑和解决。另外她指出,软件供应链安全治理需要从多个方面进行综合考虑和解决,以便更好地保障软件供应链的安全性。
微源开源软件可信中心仓
中科微澜是是由中科院软件研究所科技成果转化项目孵化形成的一家科技创新类企业, 中科微澜CEO 杨牧天 通过对当前开源技术发展及所面临挑战的分析,具体展示了微源可信中心仓服务工具及其原理、管理方法等信息,也让更多人更加深入地了解到如何将其合理有效地运用于实际操作环境之中。
发布【开源合规白皮书】
在当今数字化时代,开源软件已经成为技术创新和协作的重要推动力。然而,伴随着开源的蓬勃发展,相应的合规性问题也日益受到重视。为了帮助开发者、企业和法律专业人士更好地理解和遵循开源合规的要求, 中伦律所合伙人 王红燕 与其 律师团队编写了【开源合规白皮书】(第一版),在这份白皮书中,他们对开源软件概念、主流开源许可证、国内外司法实践等内容做了介绍,并提供了一系列实用的建议和指南。
AIGC时代的软件供应链安全挑战
随着 人工智能( AI ) 技术 在各行各业中得到更 广泛 的运 用, 特别是在 软件供应链 领域 ,其安全 问题也日益凸显,面临着前所未有 的 挑战 。 东北大学软件学院 副教授 王莹 以 丰富 的研究数据、 详实的 案例 以及权威的 资料等为 基础,深入解 析AIGC时代 下 ,软件供应链所面临的 各种 安全 隐患 。王莹教授 重点 探讨了 诸如 ChatGPT这 样的 大型人工智能模型 如何 借助AIGC(人工智能生成内容)的 强大功能, 对软件供应链 产生深远影响, 从"传统AI 软件供应链" 和" 新型软件供应链 "( 即AIGC )这 两 大视 角 出发 , 详细 分析 它们 各自 所 面临的安全风险, 并从供应链的角度为大家 勾勒 出一幅充满无限可能 性 的未来 蓝 图。
圆桌讨论
Round-table disscussion
探讨中国供应链的未来发展趋势
主持人: Shane Coughlan
圆桌嘉宾: 薛植元、项曙明、王红燕、王鹏
各位嘉宾围绕主持人所提出的「国内外软件供应链管理方法的差异」「 拓展海外市场对于供应链管理的影响」「2025年中国供应链面临的最大挑战以及机遇是什么」等几个问题展开激烈的讨论。
他们认为,拓展海外市场对于供应链管理的影响是多方面的,包括供应链的全球化、供应链的复杂性、供应链的风险管理等。在拓展海外市场的过程中,企业需要加强供应链管理,以确保供应链的稳定性和可靠性。 随着数字化技术的不断发展,企业需要不断提高供应链的数字化水平,以适应数字化时代的需求。同时,2025年中国供应链面临的机遇也非常多,包括全球化、数字化、智能化等。企业需要抓住这些机遇,不断提高供应链的效率和竞争力。
通过各位嘉宾的深入探讨和交流,也让更多人对于国内外软件供应链有了更深入的理解和认识,也为企业和行业的发展提供一些有益的参考和启示。
此次Workshop不仅为
开源安全合规相关人员
提供了一个交流和分享的平台
更带来许多极具前瞻性的观点和经验实践
接下来
希望更多人加入到
开源安全合规生态构建的队伍中
为国内开源生态健康赋能
为推动开源技术创新和生态繁荣而努力
