近日,2022第五期“心寄源”開源法律沙龍以線上視頻會議形式成功召開,受到與會嘉賓的大力支持和一致好評。本期沙龍邀請了新思科技(Synopsys)軟件質(zhì)量與安全部門(Software Integrity Group)Black Duck審計(jì)團(tuán)隊(duì)的總經(jīng)理Phil Odence先生,圍繞“企業(yè)的開源合規(guī)挑戰(zhàn)——以及如何應(yīng)對(Open Source Challenges for Clients ...and how to manage)”主題進(jìn)行深度剖析,與會嘉賓交流探討。
企業(yè)的開源合規(guī)挑戰(zhàn)——以及如何應(yīng)對
(Open Source Challenges for Clients...and how to manage)Phil Odence先生是新思科技(Synopsys)軟件質(zhì)量與安全部門(Software Integrity Group) Black Duck審計(jì)服務(wù)的總經(jīng)理,為并購交易(M&A)雙方公司的軟件組成、安全性和質(zhì)量進(jìn)行審計(jì)。他專注于軟件盡職調(diào)查(Due Diligence)的最佳實(shí)踐和并購交易(M&A)的研究。他還與各公司的律師事務(wù)所和開源社區(qū)密切協(xié)作,并經(jīng)常發(fā)表關(guān)于開源管理和并購(M&A)方面的演講。Phil還擔(dān)任Linux基金會的Software Package Data Exchange(SPDX)工作組的主席,該工作組為軟件物料清單(SBOMs)創(chuàng)建了一個ISO標(biāo)準(zhǔn)。憑借數(shù)十年的軟件行業(yè)經(jīng)驗(yàn),Phil曾在Hammer/Empirix公司和計(jì)算機(jī)模擬建模領(lǐng)域的初創(chuàng)企業(yè)High Performance Systems (HPSI)公司擔(dān)任高級管理職位。在泰瑞達(dá)(Teradyne)公司的電子設(shè)計(jì)和測試自動化(EDA)軟件部門開啟了他的市場營銷和銷售的職業(yè)生涯。他還寫過一本關(guān)于飛蠅釣法的書。Phil擁有達(dá)特茅斯學(xué)院(Dartmouth College)的工程學(xué)文學(xué)士學(xué)位(AB)和工程學(xué)理學(xué)碩士學(xué)位(MS)。Phil Odence先生從四個部分進(jìn)行了深入淺出的講解:(一)開源的興起和挑戰(zhàn)(The Rise and Challenges of Open Source);(二)什么是開源代碼(What is Open Source Code);(三)使用開源代碼的風(fēng)險(xiǎn)(Risks of Using Open Source Code);(四)幫助客戶進(jìn)行應(yīng)對/新思科技的工作(Helping Clients Manage/Working with Synopsys)。第一部分,Phil Odence先生介紹了時代背景下開源的興起,并分析了全球開源項(xiàng)目數(shù)量迅猛增長的趨勢以及面臨的挑戰(zhàn),開源項(xiàng)目數(shù)量從2009年的二十萬左右一路攀升至2021年的四百五十萬左右,現(xiàn)在幾乎所有的組織都在使用開源軟件的組件,但是很多人在使用開源代碼前并沒有進(jìn)行檢查,由此會面臨安全風(fēng)險(xiǎn)、法律風(fēng)險(xiǎn)、實(shí)踐操作因素等方面的挑戰(zhàn)。第二部分,Phil Odence先生深入講解了什么是開源軟件(OSS),并介紹了寬松型(Permissive/Attribution-style)和著佐權(quán)型(Copyleft/Reciprocal)兩大類開源許可證,分別舉例介紹了MIT許可證和GPL v.2許可證,并對全球主要開源許可證所占的份額進(jìn)行了分析,以及一些特殊的比較有意思的許可證,比如Chicken Dance許可證、JSON許可證等等。第三部分,Phil Odence先生以CISCO為例,分析了使用開源代碼所帶來的風(fēng)險(xiǎn),并從網(wǎng)絡(luò)安全漏洞風(fēng)險(xiǎn)、法律風(fēng)險(xiǎn)等方面進(jìn)行了深入分析。第四部分,Phil Odence先生詳細(xì)講解了如何幫助客戶管理開源軟件的使用、如何防范開源合規(guī)風(fēng)險(xiǎn),從合規(guī)體系的角度出發(fā),企業(yè)在使用開源軟件時應(yīng)當(dāng)有對應(yīng)的戰(zhàn)略(使用開源軟件的商業(yè)目標(biāo))、政策(使用規(guī)則)、流程(如何管理)、技術(shù)(自治和合規(guī))。現(xiàn)如今越來越多的科技類并購盡職調(diào)查中都涉及了開源軟件的管理,Phil Odence先生介紹了SBOMs(Software Bill of Materials),指出軟件和硬件一樣,均有供應(yīng)鏈,同時也存在很多風(fēng)險(xiǎn)。同時,Phil Odence先生分享了開源軟件的掃描工具,以及Black Duck開源審計(jì)團(tuán)隊(duì)可以提供專業(yè)工具外,還可以提供人工審計(jì)和相應(yīng)的流程,并提供了一些學(xué)習(xí)開源合規(guī)的路徑,例如:Legal webinar series on BrightTALKhttps://www.brighttalk.com/channel/13983/
Open Hub free project directoryBlog posts tagged “l(fā)egal”https://www.synopsys.com/blogs/software-security/category/legal
https://www.synopsys.com/software-integrity/resources/white-papers/legal-resources.html
Black Duck Legal Specialist Certification Coursehttps://www.synopsys.com/software-integrity/open-source-software-audit/legal-certification.html
Phil Odence先生主題演講后,與會嘉賓向Phil Odence先生提問并討論了開源合規(guī)風(fēng)險(xiǎn)、相關(guān)審計(jì)服務(wù)、代碼檢測工具等問題,新思科技(Synopsys)軟件質(zhì)量與安全部門(Software Integrity Group)亞太區(qū)大客戶技術(shù)經(jīng)理高揚(yáng)先生進(jìn)行了翻譯和補(bǔ)充回答。本期沙龍為大家在開源相關(guān)法律工作上帶來了很多啟示,取得了預(yù)期的效果,得到了與會嘉賓的大力支持和一致好評。在此衷心感謝各位嘉賓及社會公眾對基金會及本沙龍的關(guān)注和支持!有任何建議、意見或參與意愿,歡迎隨時與我們交流(legal@openatom.org)。心寄源、法同行,讓我們?nèi)翰呷毫步ā靶募脑础?,攜手開啟開源法律相關(guān)人才交流的新紀(jì)元!沙龍宗旨
“心寄源”開源法律沙龍旨在搭建一個開放透明、交流共享的平臺,開啟開源法律相關(guān)人才交流的新紀(jì)元;同時進(jìn)一步推廣開源文化,吸引更多人才加入到開源法律行業(yè)中。
沙龍召開方式和時間
圓桌討論、專題演講或二者結(jié)合
通常在每個月最后一個周五的下午
沙龍?zhí)厣?/strong>
專注開源法律事業(yè)的公益平臺
開放透明、交流共享
專業(yè)人士間定期溝通、分享經(jīng)驗(yàn)教訓(xùn)、攜手共同成長
群策群力、積累知識、產(chǎn)出成果、推廣公益
聲明:沙龍嘉賓的發(fā)言僅代表個人觀點(diǎn),除非特殊說明不代表其所在單位的觀點(diǎn)或開放原子開源基金會的觀點(diǎn)。
原文標(biāo)題:2022第五期“心寄源”開源法律沙龍成功召開
文章出處:【微信公眾號:開放原子】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。
評論