2024年5月31日,由OpenChain、華為技術有限公司、上海安勢資訊科技有限公司聯合舉辦的 「OpenChain 供應鏈安全合規 Workshop」 在深圳圓滿召開。
本次Workshop邀請到了各行各業的專家和代表, 包括政府部門、各大高校、互聯網、ICT、軟體、汽車企業、律師事務所、工具廠商 等。大家共聚一堂,暢所欲言,共享先進研究成果與創新觀點,挖掘開源領域的無限潛力。
特邀嘉賓致辭
Guest Speach
0 1
OpenChain 總經理 Shane Coughlan
Shane Coughlan在致辭中回顧了加入開源工作的一些經歷和心態轉變,他認為, 開源在商業世界中的貢獻是巨大的,為了確保開源在長期內的管理和營運,必須發展結構和方法,在處理流程的過程中,應該嘗試采用創新的思維方式,以充分利用開源的力量和人們的創造力。同時,他提出, 一直以來,OpenChain不斷開發新的指導材料,以開放的態度,保持著與世界各地的人們分享。接下來,OpenChain將會釋出一份 新的標準指南,他表示,希望這份標準指南,無論是在授權合規、安全保證方面,還是在團隊建立更高效產品方面都能對大家有所幫助。
02
華為首席開源專家 侯培新
侯培新在致辭中表示,目前,開源軟體已經成為各個行業的基礎,而如何高效、安全地套用和開發開源軟體則是一個重要問題。華為等中國組織在OpenChain等國際組織中發揮了重要作用,並將這些標準套用到產品中,openEuler、OpenHarmony社群都已經透過了ISO 5230,近日openEuler也將透過ISO 18974認證。他表示,本次Workshop聚集了國內開源社群、工具廠商、產業組織、認證機構和學術界的代表,他們將分享最佳實踐和流程標準,以應對開源軟體授權證合規和網路安全等問題。這裏提供了一個良好的平台,讓大家能夠充分討論和分享資訊,希望這次Workshop能夠讓大家不虛此行。
03
安勢資訊創始人&CEO 薛植元
薛植元是上海安勢資訊科技有限公司的創始人,他表示,隨著大環境的不景氣,很多企業都在尋找海外市場和AI賦能的機會,但同時也面臨著合規和安全的挑戰。他認為,今天的會議可以幫助大家解決這些問題,為未來 的AI時代去做準備,「盡管經濟環境不太好,但未來還是充滿希望的,無論是出海還是AI。」他表示,希望在場每位走在開源前沿的專家們,都能夠更多地交流,為未來的挑戰做更多的準備。
議題分享
Issue Sharing
2024 年 ISO 5230(授權)和 ISO 18974(安全)對專業人士的影響
OpenChain 總經理 Shane Coughlan 提出,OpenChain制定的ISO標準,是有助於開源供應鏈安全合規管理的標準,並得到了廣泛支持和套用。他分享了供應鏈市場的演進發展以及相關法律政策,強調標準對於守護開源供應鏈安全合規的重要性。此外他指出,目前中國公司在標準化和流程管理方面有領先地位,有助於成為開源領域的領先者。
由案例見證中國GPL司法裁判尺度的演變
GPL開源協定是開源領域被廣泛使用的協定之一,也是目前司法案例 中涉及最多的開源協定 。 麒麟軟體智慧財產權總監 邢鵬 詳細地梳理了十年內一系列真實且極具代表性的案例, 結合「新生混沌四案」等典型案例,分析和總結了司法實踐關註的要點, 講述了中國GPL司法裁判尺度的演變行程和實踐,從技術和法律結合的視角去分GPL法律裁判歷程的共識、分歧以及困惑,從而引出對企業合規工作的啟示, 幫助企業綜合全面地了解使用開源軟體的註意要點及相關法律風險。
從0到1,企業如何進行開源合規
在日常開放原始碼的實踐中,不少公司或開發人員在運用、參與或管理開放源計畫時,往往會碰到各種開源法規合規性方面的挑戰。因此,企業需要格外重視如何降低這種潛在風險,並確保其在開源計畫中的行為符合相關規定。 廣東良馬律所律師 鄒良城 , 結合「赤兔開源,道歉收場」等實際開源違規案例,列舉出建議開源的具體場景和法律法規等,分別從管理組織、管理制度和流程指引、知識文件和程式碼套用規範、程式碼掃描工具、法律教育等維度分析開源合規體系,與大家共同探討建立開源法律合規體系的重要性,為各大企業提供切實可行的建議。
開源社群如何遵循ISO 5230(授權)和 ISO 18974(安全)
openEuler社群安全委員會成員 劉金剛 詳 盡地介紹 了openEuler安全治理的演進 歷程 以及安全治理體系的 構 建。他 深入 解 析 了openEuler安全治理的演 化 行程及安全治理體系的建 設 ,並 透過 實際案例 展 現 了如何 運用科學 的安全治理 策略確 保軟體系統的安全 性與 穩定 性 ,強調了安全治理在軟體開發和維護中的 關鍵地位 。
OpenHarmony社群合規SIG Leader 高亮 從開源合規的重要性 角度 出發,與大家探討 了 OpenHarmony 在開源合規治理 中 所面臨的挑戰和風險。 他 深入 剖 析 了 Apache、Linux、Eclipse 等主流社群的開源合規實踐,同時 向大家 分享 了 OpenHarmony 開源合規治理框架以及 在 開源合規治理 方面 的優秀 實踐。
歐拉與鴻蒙開源社群正在蓬勃開發中,影響力也日益擴大,兩位專家的精彩分享, 不僅讓更多人了解openEuler和OpenHarmony這兩個社群在安全治理以及開源合規治理上的演進和發展,也學習了他們在安全治理以及開源合規治理上的優秀實踐,對軟體開發和維護中加強安全治理和開源合規治理具有重要的參考價值。
劉金剛
openEuler
社群 安全委員會成員
高亮
OpenHarmony
社群 合規SIG Leader
汽車零部件 FOSS 合規治理
汽車新四化的飛速發展,使其所面臨的資訊保安壓力也日趨增大。 博世華域軟體工具鏈專家 張亞鋒 在介紹其公司業務基礎上分析了汽車行業當前所面臨的挑戰和風險, 探討 了為何 以及如何進行相關的合規治理,包括如何 運 用掃描工具、 設 定 角色和 責 任以及 改進流程等措施,以確保開源軟體 合規性 。另外他提供 了一些實用且有效的安全合規操作建議,並強調 了 開源安全合規在汽車行業領域內的重要意義。
授權證合規工程落地初探
自行違法使用開源軟體,或者將其用於不正當用途,可能會影響到公司的聲譽,甚至有可能導致公司面臨財務風險。 對此, 中興通訊開源合規&安全治理總監 項曙明 深入剖析了當前軟體供應鏈的環境,對授權證所潛藏的問題和主要管理難題進行了重點說明。同時,他還強調了軟體元件授權證合規的重要性及其相關技術要求。他認為, 在實際使用開源軟體時,授權證問題方面可能會出現風險,因此他強調透過法律手段和技術手段確保使用的軟體元件授權證是合法合規的,從而避免不必要的風險。
軟體供應鏈安全治理中工具的價值
科技創新作為當今社會發展的重要驅動力,尤其在軟體行業發揮著不可或缺的作用。然而,在這個蓬勃發展的時代背景下,供應鏈日益繁復,全面保障其安全性也成為一項非常困難的挑戰。 安 勢資訊產品架構總監 朱賢曼 透過分析軟體供應鏈的背景與現狀,從明確供應鏈關系、理清系統和元件的參照關系、制定有效的安全防護策略等方面入手,提出了軟體供應鏈安全治理的解決方案。她認為,軟體供應鏈安全治理是一個復雜的系統工程,需要從多個方面進行綜合考慮和解決。另外她指出,軟體供應鏈安全治理需要從多個方面進行綜合考慮和解決,以便更好地保障軟體供應鏈的安全性。
微源開源軟體可信中心倉
中科微瀾是是由中科院軟體研究所科技成果轉化計畫孵化形成的一家科技創新類企業, 中科微瀾CEO 楊牧天 透過對當前開源技術發展及所面臨挑戰的分析,具體展示了微源可信中心倉服務工具及其原理、管理方法等資訊,也讓更多人更加深入地了解到如何將其合理有效地運用於實際操作環境之中。
釋出【開源合規白皮書】
在當今數位化時代,開源軟體已經成為技術創新和協作的重要推動力。然而,伴隨著開源的蓬勃發展,相應的合規性問題也日益受到重視。為了幫助開發者、企業和法律專業人士更好地理解和遵循開源合規的要求, 中倫律所合夥人 王紅燕 與其 律師團隊編寫了【開源合規白皮書】(第一版),在這份白皮書中,他們對開源軟體概念、主流開源授權證、國內外司法實踐等內容做了介紹,並提供了一系列實用的建議和指南。
AIGC時代的軟體供應鏈安全挑戰
隨著 人工智慧( AI ) 技術 在各行各業中得到更 廣泛 的運 用, 特別是在 軟體供應鏈 領域 ,其安全 問題也日益凸顯,面臨著前所未有 的 挑戰 。 東北大學軟體學院 副教授 王瑩 以 豐富 的研究數據、 詳實的 案例 以及權威的 資料等為 基礎,深入解 析AIGC時代 下 ,軟體供應鏈所面臨的 各種 安全 隱患 。王瑩教授 重點 探討了 諸如 ChatGPT這 樣的 大型人工智慧模型 如何 借助AIGC(人工智慧生成內容)的 強大功能, 對軟體供應鏈 產生深遠影響, 從"傳統AI 軟體供應鏈" 和" 新型軟體供應鏈 "( 即AIGC )這 兩 大視 角 出發 , 詳細 分析 它們 各自 所 面臨的安全風險, 並從供應鏈的角度為大家 勾勒 出一幅充滿無限可能 性 的未來 藍 圖。
圓桌討論
Round-table disscussion
探討中國供應鏈的未來發展趨勢
主持人: Shane Coughlan
圓桌嘉賓: 薛植元、項曙明、王紅燕、王鵬
各位嘉賓圍繞主持人所提出的「國內外軟體供應鏈管理方法的差異」「 拓展海外市場對於供應鏈管理的影響」「2025年中國供應鏈面臨的最大挑戰以及機遇是什麽」等幾個問題展開激烈的討論。
他們認為,拓展海外市場對於供應鏈管理的影響是多方面的,包括供應鏈的全球化、供應鏈的復雜性、供應鏈的風險管理等。在拓展海外市場的過程中,企業需要加強供應鏈管理,以確保供應鏈的穩定性和可靠性。 隨著數位化技術的不斷發展,企業需要不斷提高供應鏈的數位化水平,以適應數位化時代的需求。同時,2025年中國供應鏈面臨的機遇也非常多,包括全球化、數位化、智慧化等。企業需要抓住這些機遇,不斷提高供應鏈的效率和競爭力。
透過各位嘉賓的深入探討和交流,也讓更多人對於國內外軟體供應鏈有了更深入的理解和認識,也為企業和行業的發展提供一些有益的參考和啟示。
此次Workshop不僅為
開源安全合規相關人員
提供了一個交流和分享的平台
更帶來許多極具前瞻性的觀點和經驗實踐
接下來
希望更多人加入到
開源安全合規生態構建的隊伍中
為國內開源生態健康賦能
為推動開源技術創新和生態繁榮而努力
