GGI Activity: 管理法律合规性

Table of contents

管理法律合规性

活动编号：GGI-A-21。

描述

组织机构需要实施法律合规流程，以确保其使用和参与开源项目的安全性。

在组织机构内部和整个供应链中，成熟且专业的法律合规管理意味着：

• 对知识产权进行彻底分析，包括许可证的识别和兼容性检查。
• 确保组织机构可以安全地使用、集成、修改和重新分发开源组件作为其产品或服务的一部分。
• 为员工和承包商提供一个关于如何创建和贡献开源软件的透明流程。

软件成分分析 (SCA)：法律和知识产权问题的很大一部分是来自于使用了互不兼容的许可证或与组织机构希望使用和重新分发的要求不兼容的组件。软件成分分析 (SCA)是解决这些问题的第一步，因为“你需要先知道要解决的问题”。这个过程包括在物料清单（Bill of Material, BOM）文件中识别项目涉及的所有组件，包括构建和测试依赖项。

许可证检查：许可证检查的过程是使用自动化工具分析代码库并识别其中的许可证和版权。如果定期执行并在理想情况下集成到持续构建和集成链中，就可以尽早发现知识产权问题。

可行性评估

随着组织机构中对开源软件使用的日益普及，评估和管理潜在的法律风险至关重要。

然而，检查许可证和版权可能很棘手且成本高昂。开发者需要能够快速检查知识产权和法律问题。建立一个专门负责知识产权和法律问题的团队和合规专职人员，可以确保对法律问题进行积极和一致性的管理，有助于确保开源组件的使用和贡献，并提供清晰的战略愿景。

进度评估

以下验证点将呈现此项工作的进展：

• 为项目制作一个易用的项目许可证检查流程。
• 为项目制作一个易用的项目知识产权检查流程。
• 在组织机构内设置负责法律合规工作的团队或人员。
• 为组织评估法律合规性设定定期议程。

设置验证点的其他方法：

• 有一个易用的许可证检查流程。
• 有一个易用的法律/知识产权团队。
• 所有项目都要为使用和贡献项目的人提供所需的信息。
• 在团队中指定一位联系人负责解答与知识产权和许可证相关的问题。
• 指定一位合规专职人员负责知识产权和许可证事宜。
• 设置一个专业团队负责解答与知识产权和许可证相关的问题。

工具

• ScanCode
• Fossology
• SW360
• Fossa
• OSS审查工具包

建议

• 让人们了解与业务目标相冲突的许可证相关风险。
• 为项目制定一个简单的解决方案，以便在其代码库上设置许可证检查。
• 传达其重要性并帮助项目将其添加到其持续集成研发流程中。
• 提供项目结构的模板或官方指南。
• 设置自动检查以确保所有项目都符合指南要求。
• 考虑进行内部审计，以识别公司基础设施的许可证。
• 为每个团队至少一名人员提供基础的知识产权和许可证培训。
• 为管理者提供全面的知识产权和许可证培训。
• 建立一个流程，将知识产权和许可证问题上报给管理者。

请记住，合规并不仅仅是法律，它还涉及到知识产权。因此，这里有几个问题有助于了解法律合规的重要性：

• 如果我没有遵守许可证条件发布了开源组件，那么我就侵犯了许可证。（法律后果）。
• 如果我在一个希望发布或发行的项目中使用了开源组件，那么该许可证可能会要求我公开我不希望开源的代码元素–>对我公司战略优势和第三方的保密性造成影响（法律后果）。
• 这是个公开讨论的话题，关于我想使用开源许可证发布的项目是否可以授予相关知识产权（知识产权后果）。
• 如果我在任何专利程序之前将项目开源，则可能无效了与该项目相关的专利申请（知识产权后果）。
• 如果我在任何专利申请程序之后将项目开源，则可能认可了与该项目相关的（防御性）的专利申请（知识产权后果）。
• 在引入具有复杂依赖性的多组件的复杂项目中，大量开源许可证的共存可能会导致许可证之间的不兼容性（法律后果）（参见活动GGI-A-23-管理软件的依赖性）。

资源

• 现有开源软件 合规性群组页面 上有详细的工具列表。
• 针对企业开源合规实践的建议。 Linux 基金会的 Ibrahim Haddad 撰写的一本关于企业开源合规实践的书。 OpenChain项目

下一步工作建议

• GGI-A-24 - 管理关键指标 关注法律合规问题及其流程和结果的可见性和可度量性。这有助于人们在此过程的尽早理解其重要性。