近日，“心寄源”法律沙龍（2023第六期 | 總第十一期）在開放原子開源基金會（以下簡稱“基金會”）成功召開，本期沙龍邀請到了字節跳動開源委員會法律顧問孫振華律師，圍繞熱點話題“OpenChain開源合規標準實踐”主題進行了深度剖析，參會嘉賓展開了積極討論。本期沙龍線下、線上同步開展，受到參會嘉賓的一致好評。

沙龍議程

演講及圓桌主題：

OpenChain開源合規標準實踐

主講嘉賓：

孫振華律師

字節跳動開源委員會法律顧問

孫振華律師負責公司代碼合規及開源相關的法律事務，推動并支持字節OSPO的成立和發展，致力于OpenChain開源合規國際標準在公司的落地和完善；長期參與開源相關的社區活動，信通院OSCAR開源之書活動的積極貢獻者，《現代企業合規指引》開源合規章節作者，曾因在開源合規方面的貢獻被評為中國開源先鋒；曾任律師及專利代理人。

本期要點

孫律師從什么是開源軟件供應鏈、開源軟件供應鏈常見的風險和挑戰、OpenChain國際標準、如何采用OpenChain標準四個方面對OpenChain開源合規標準實踐進行了深入淺出的講解。

在第一部分“什么是開源軟件供應鏈”中，孫律師從軟件供應鏈的基本概念出發，通過示意圖講解了軟件供應鏈在公司內部的DevOps流程。其次，孫律師介紹了從上游到公司內部，再到下游的開源供應鏈示意圖，在公司內部可能涉及集成（Integration）、產品質量（QA）、產品化（Productization）等。孫律師指出，當下，軟件規模不斷擴大，企業自行開發軟件的難度越來越大，為了避免重復造輪子，開發過程引入開源組件已經成為軟件開發的趨勢和主流解決方案。

第二部分孫律師介紹了“開源軟件供應鏈常見的風險和挑戰”。他指出，很多代碼庫都有安全和運營的風險，例如代碼庫存在許可證沖突、代碼庫包含了至少已過期四年的開源代碼、代碼庫包含沒有許可證或使用定制許可證的開源代碼、代碼庫包含兩年未更新的組件等風險。現如今軟件供應鏈越來越復雜，而開源軟件的安全和合規問題也隨著軟件供應鏈不斷傳遞，我們面對的挑戰是如何構建可信（合規）、高效的供應鏈。

隨后孫律師重點介紹了OpenChain國際標準。他指出，OpenChain為開源管理提供了最佳實踐，展示了端到端的管理流程——識別、檢查、問題處理、審核、批準、注冊、聲明、驗證、發布、以及發布后的驗證。此外，OpenChain也是一個社區，下設工具、規格、自動化、教育等社區小組，還有法律及合規咨詢機構、合規工具廠商等作為合作伙伴。孫律師介紹，2020年12月16日，OpenChain規格成為國際標準ISO/IEC 5230，OpenChain項目社區將持續維護該標準的升級與演進。簡而言之，OpenChain標準統一了一套在整個開源軟件供應鏈上的認證標準，加入的供應商及其項目都需要經過合規認證，認證之后，整個開源社區對于該公司或該項目開源供應鏈上關于開源許可的相關問題的顧慮將大幅減少。此外，孫律師還分享了一些OpenChain相關的網址，供大家進一步了解和學習：

https://www.openchainproject.org/

https://github.com/OpenChain-Project

https://github.com/OpenChain-Project/Curriculum/tree/master/policy-template

最后，孫律師闡述了如何應用OpenChain標準。他首先從實踐角度指出了維護良好的開源軟件供應鏈的價值：一是支持客戶使用公司提供的開源解決方案；二是支持公司使用最佳的開源解決方案；三是增強公司主導的開源項目對開發者和用戶的吸引力；四是更好地貢獻和支持公司依賴的開源生態。其次，孫律師介紹了開源合規的定義，廣義上，開源合規是開源知識產權的合規，涵蓋著作權、專利、商標和商業秘密等多個方面。狹義上，開源合規是指對于開源許可證的遵守，具體而言是指對于開源許可證中列明的義務的遵守。孫律師指出，開源合規的落地包含非常多細節，但所有工作都是為了實現兩個總體目標：一是識別開源軟件；二是滿足開源合規義務。

孫律師認為，從人員角度出發，采用OpenChain標準需要DevOps的工具團隊、合規團隊、法務團隊通力合作，并得到擴展團隊的大力支持。在引入開源軟件時，需確保開發者使用高質量的組件，并從可信的提供商處獲得；使用開源軟件時有記錄，可跟蹤；了解使用該組件的法律合規需求；在對外輸出軟件或服務時，確保工程師發布時同時有一份軟件組件清單，并滿足這些開源組件的合規要求；及時修復安全/運維/法務提出的各種問題等。此外，孫律師還強調了公司進行開源合規培訓的重要性，并舉例介紹了部分培訓內容，如公司如何實現開源、開源許可證的簡介、開源合規的簡介、端到端合規管理、如何為外部開源項目做貢獻等。

主題演講環節后，孫律師同與會嘉賓就OpenChain展示的端到端管理流程中“驗證”和“發布后的驗證”環節由哪些職能部門負責通過何種方式落實、OpenChain如何進行認證、OpenChain標準的具體落地、OpenChain相關培訓課程等問題，進行了全方位的討論。

本期沙龍給大家帶來很多啟示，達到了預期效果，得到了與會嘉賓的一致好評。

聯系我們

沙龍活動一般采取閉門的主題演講和圓桌討論的形式，線下、線上同步進行，時間通常在月初或月末的周五下午，可能根據節假日或主講嘉賓時間微調。

我們歡迎有開源法律實踐經驗的企業法務、律師等法律專家成為沙龍成員，分享您熟悉的開源法律理論和實踐，跟進業內前沿話題，展開專業、務實的探討。

沙龍旨在為相關專業人士提供一個暢所欲言、共建共享的交流平臺，開啟開源法律相關人才交流的新紀元；同時進一步推廣開源文化，吸引更多人才加入到開源法律行業中。

心寄源、法同行，攜手開啟開源法律相關人才交流的新紀元！

聲明：沙龍嘉賓的發言僅代表個人觀點，除非特殊說明不代表其所在單位的觀點或開放原子開源基金會的觀點。

審核編輯 黃宇