Table of contents
管理法律合規
行動編號:GGI-A-21。
描述
組織需要實施法律合規流程,以確保其在開放原始碼專案中的使用與參與符合法律要求。
在組織內部及整個供應鏈中,成熟且專業的法律合規管理涉及以下方面:
- 進行徹底的智慧財產分析,包括授權識別和相容性檢查。
- 確保組織能夠安全地使用、整合、修改和再分發開放原始碼組件,作為其產品或服務的一部分。
- 為員工和承包商提供一個透明的流程,說明如何創建和貢獻開放原始碼軟體。
軟體組成分析(SCA):許多法律和智慧財產問題源於使用的元件所釋出的授權,這些授權之間可能不兼容,或與組織希望使用和再分發這些元件的方式不兼容。SCA 是解決這些問題的第一步,因為「了解問題是解決問題的前提」。這個過程是透過在材料清單文件中識別專案中涉及的所有元件,包括構建和測試相依關係。
授權檢查:授權檢查過程使用工具自動分析程式碼庫,並識別其中的授權和著作權。如果定期執行並理想地整合到持續構建和集成流程中,這可以及早發現智慧財產問題。
機會評估
隨著開放原始碼軟體在組織資訊系統中使用的不斷增加,評估和管理潛在的法律風險變得至關重要。
然而,檢查授權和著作權可能是棘手且昂貴的。開發人員需要能夠迅速檢查智慧財產權和法律問題。擁有一個專門處理智慧財產和法律問題的團隊及企業負責人,能夠確保積極且一致的法律問題管理,幫助確保開放原始碼元件的使用與貢獻,並提供清晰的策略視野。
進度評估
以下檢驗要點顯示了此行動的進度:
- 有一個簡單易用的授權檢查流程可供專案使用。
- 專案可使用簡單易用的授權檢查流程。
- 組織內有專責人員或團隊負責法律合規事宜。
- 定期進行稽核以評估法律合規性。
其他設立驗證要點的方式:
- 有一個簡單易用的授權檢查流程。
- 有一個簡單易用的法律/智慧財產權(IP)團隊。
- 所有專案提供必要的資訊,供人員使用及貢獻於專案。
- 團隊內有專責聯絡人處理與智慧財產權及授權相關的問題。
- 企業指定一名負責人專責智慧財產權及授權事宜。
- 有一個專門處理智慧財產權(IP)和授權相關問題的團隊。
工具
建議
- 向相關人員說明使用與業務目標相衝突的授權可能帶來的風險。
- 為專案提供簡單的解決方案,以便在其程式碼庫上設置授權檢查。
- 傳達授權檢查的重要性,並協助專案將其整合到 CI(持續整合)系統中。
- 提供專案結構的範本或官方指南,幫助統一規範。
- 配置自動化檢查,以確保所有專案符合指引。
- 考慮進行內部稽核,以識別公司基礎設施中使用的授權類型。
- 考慮進行內部稽核,以識別公司基礎設施中使用的授權類型。
- 為負責人提供完整的智慧財產權與授權培訓。
- 設立流程,將智慧財產權與授權問題升級至負責人處理。
請記住,合規性不僅涉及法律,還包括智慧財產權(IP)。以下是一些問題,幫助您了解法律合規性的後果:
- 如果我發佈開放原始碼元件而未遵守授權條件,將構成違反授權(法律影響)。
- 如果在希望分發/發佈的專案中使用開放原始碼組件,該授權可能要求公開某些程式碼元素,這可能影響公司機密性和戰略優勢(法律與機密性影響)。
- 是否為希望發佈的專案使用開放原始碼授權會影響相關的智慧財產權(IP 影響)。
- 如果我在任何專利程序之前將一個專案開源,這可能排除針對該專案創建專利的可能性 –> 智慧財產影響。
- 如果我在任何專利程序之後將一個專案開源,這可能允許針對該專案創建(防禦性)專利 –> 智慧財產的潛力。
- 在包含許多元件和多種相依性的複雜專案中,開放原始碼授權條款的多樣性可能導致授權之間的不相容性 –> 法律影響(詳見行動 GGI-A-23 - 管理軟體相依性)。
資源
- 現有 OSS 合規小組頁面上有一個涵蓋範圍廣泛的工具清單。
- 企業開放原始碼合規實踐推薦 由 Linux 基金會的 Ibrahim Haddad 撰寫的一本書,探討企業開放原始碼合規實踐。 OpenChain Project
建議的下一步行動
- GGI-A-24 - 管理關鍵績效指標 使法律合規的關注點、流程和結果可視化且可衡量。這將幫助人們在流程早期意識到其重要性。