随着开源的兴起，开源供应链管理变得越来越重要，在2020年快要结束的时候，我们迎来了ISO/IEC 5230:2020，开源供应链的国际标准，我们的企业应该如何应对，我们应该如何去理解这样的一个标准，在新的一年，我们来聊聊吧。

OpenChain项目通过使开放源代码许可证合规性更加简单和一致来建立对开放源代码的信任。OpenChain规范定义了每个质量合规程序必须满足的一组核心要求。OpenChain课程为开源流程和解决方案提供了教育基础，同时满足了OpenChain规范的关键要求。OpenChain Conformance允许组织显示对这些要求的遵守情况。由此，对于软件供应链的参与者而言，开源许可证合规性变得更加可预测，可理解和高效。

我来互联网公司做法务之前做了大概五年知产诉讼律师，当时还犹豫了挺长时间是到公司接着做专利诉讼还是做开源的法律支持和研究。我在很多年前就大概了解了本土的开源，感觉希望渺茫，后来观点有转变，一是看到建盛老师居然坚持写了四五年开源相关的文章，我深受触动；二是近两年大家对开源的呼声挺高的，我觉得不妨先集中精力去研究一下开源相关的人和事。

最早是看了开源相关的法律诉讼，因为毕竟原来的主业是知产诉讼。看了一大圈之后觉得其实诉讼并不多，然后就想如果诉讼不多的话，为什么海外企业开源方面的合规都做得比较好，为什么国内一些出海或将要上市的企业也比较重视开源合规。

我后来发现公司供应链上下游的合同中会对软件交付有开源合规的要求，这意味着业务方面确实有需求，于是开始看怎样可以让开源合规在公司成为常态。后来去找了一些律师，有的律师就介绍了这个OpenChain项目，当时这个项目还没成为ISO标准，但看起来是一套很不错的开源合规体系。在尝试让这个体系落地的过程中，我就认识了永雷，看看他们的工具，或者是其他类似的工具能不能帮我们高效完成相关的合规工作。

这是我和开源，和OpenChain结缘的一段过程吧。我现在的认识和去年这个时候还是有很大区别的，去年这个时候我主要是想有比较高效的工具和平台，能把开源合规过程拉通。现在呢，这方面需求没有变，但是觉得作为法务，想更好的支持业务，还是要对开源有更加深入的认识。比如多读书，多关注具体项目，多参加大家的交流。

谢谢你分享了与开源和OpenChain的缘分。因为我很早就接触开源，再加上工作上和开源治理相关，业务上有这方面的需求，从而了解到OpenChain。尤其我看到在OpenChain的组织里面有许多国内外的公司，比如微软、高通、ARM、OPPO等。原来发现有OpenChain这个开源治理联盟，尤其是和开源供应链方面的治理规范和指导，因为OpenChain的源头就是基于开源合规，所以对OpenChain这一方面的信息特别感兴趣。

我是2011年进到华为的，真正从事开源相关的工作是在2014年。那个时候整个中国可能只有华为有开源治理部门。也就那个时候接触到这个开源管理的问题。

开源怎么管理呢？最早接触的开源的这一批人，意识到开源license可能是需要管理的，我最近也看到一些美国的书，他们对法律的知识产权的尊重和契约精神的尊重，简直就是跟我们（很不一样）。在东方人眼里头，其实很多东西是容易灰度的，然后以和为贵的，但美国他其实就是一板一眼地把它写到条纹里头，或者把它判成案例的，然后去遵从。就是大家很愿意去执行这个东西，都是以条文与法律来约束大家行动的。然后当时就觉得这个license怎么这么重要，打开开源软件一看，这个license居然有这么多。各式各样的来自全世界的license，所有的开源license是可以由作者自己任意去定义的。

当时我们公司有很强大的律师团队，可能有很多人振华也认识，我们公司法务部当时也是最早帮我们分析这个OpenChain的，基于OpenChain跟license去进行一些解读，去了解license该怎么遵从，我们就基于license出了公司内部的一些管理体系和机制。我当时听说过这个项目，但是从来没有打开官网看过，我记得第一次接触到这个项目应该是2016年在日本东京举办的那个open source compliance summit峰会上，我见到了Shane，就是OpenChain的负责人。然后，因为他是长期生活在日本，他就一直在做推广，所以说大家可以看到OpenChain的项目里头，其实大部分最遵从的、做得比较好的企业都是日本的企业，而且它的白金会员、黄金会员里，日本企业占比非常高。

我发现一个问题就是，中国大致95%的企业在一六、一七年的时候，不知道这个项目的时候，它的上游、下游以及我们自己的开源项目的法务问题是非常多的。只不过是因为国内的一些环境，其实大家对这方面的诉讼也不太多，去年还是前年的时候，国内第一起诉讼已经有了。然后，这也是我听到的，所以说我觉得这个项目呢，到前年的时候吧，他是走的那个ISO的快速标准。

咱们中国企业如果想做好产品想出海，想去把我们的产业链做大的话，我们最好遵守这些标准。我们是需要全产业链都有这个能力才行的，而不是一家企业，否则上下游都会有问题的。

我先说一下背景和我参与的角度。其实我是绝对的新手，以前其实没怎么关注过这个。我们学校其实更多的会从研究的角度去看这些事情，这是第一个背景，因为我们后面肯定是会重度参与CHAOSS这个项目。然后在国内、亚太去推CHAOSS相关的一些东西。供应链应该也会是后面关系非常紧密的一个内容。

第二个背景，要说到中科院的武延军老师。今年夏天，他启动了供应链的开源点亮计划。武延军老师，他也是在中科院，是从研究的角度去看供应链。然后最近他们也发布了一些内容，他其实也邀请我一起来做这个项目。大概是2021年五、六月份的时候，武延军老师会发布一个开源供应链方面的报告，我们实验室也会从数据的角度去做一些支持，包括GitHub上的数据，还有其他的一些数据吧。所以说，我是从这一块儿去看，因为我们其实没有太多的专业知识，特别是在法律、合规方面，但是这些东西，我们都挺感兴趣。我们比较强的地方可能还是数据这一块吧，怎么通过数据去追踪这个供应链，然后也许能做些什么事情。

振华，你方不方便分享一下，从法律的这个层面来谈谈OpenChain里面相关的一些内容，或者你想分享其他的也可以。

我理解OpenChain和之前Linux Foundation提供的开源合规手册内容有不少重叠的地方。大致就是说，公司应该有基本的关于开源的政策，包括使用开源软件、发布开源软件和贡献开源软件的流程以及规则，需要专门的团队进行支持。同时要考虑有工具和自动化平台，因为可能每个公司，尤其大一些的公司用的开源软件数目可能会比较多，如果是说没有合适的工具和平台支撑，消耗的人力会非常大。我觉得这一点大家可能都有体会，记得十月份阿帕奇中国路演，微软的开源办公室负责人说，微软使用了510万个开源组件，我不知道是不是我听错了，但如果是数量级这么高的话肯定是要有合适的工具和平台，尽可能地把一些常用的开源组件进行自动化审核。用黑白名单机制，以及风险分级的方式来对开源组件进行管理。除了政策、流程、人员以及自动化平台之外，还需要公司内持续不断的培训、宣贯以及最佳实践的对外交流。持续的宣传、宣贯肯定是得有，因为同学们可能对开源合规的的意识没有那么强。国内的契约精神，我感觉应该没有欧美那么强。不过欧美企业可能也是因为有大公司遭到过“暴击”才更合规，比如说思科之前被自由软件基金会诉过。谷歌应该也是因为AGPL协议和社区有过纷争，所以它现在的开源政策还是禁止使用AGPL组件，似乎从零三年到现在这个政策都没变。

除了公司内部的管理之外，像琨少刚才说的，外部还是大家要共同交流，一起推动这个事情，因为整个供应链合规才能够保证我们企业的出海更容易获得外部的信任，然后保证本土软件开发有一个比较好的环境吧。不能再像前些年一样，随便封装一下开源软件就凑合了。从侧面来说，这样也有助于不断的创新：知道哪些代码是自己写的，哪些确实是依赖于社区的工作，在这个基础上再进行更好的创新。

振华，我觉得你说的挺好的。最近我也看了一下开源治理相关的，包括上次跟王老师的团队也交流了一下如何去做开源治理。我觉得你们有一些重合的地方，包括开源的这种策略怎么引入，包括有专门的组织叫Open Source Review Board。然后现在我接触的很多公司，有包括像华为这样很早就设立了开源治理部门的，也有其他一些近几年才开始设立相关机构的，叫OSRB（open source review board），虽然有些是虚拟的，但其实它的地位是非常高的，可能是直接跟CTO这种等级的管理层去汇报的，他可以协调很多的资源进来，包括法律的专家、IT的专家、安全的专家，流程开发的专家，有助于公司进行一体化的治理。同时也有一个归口，大家有问题可以找得到对应的人，这个真的很重要。

对于大的一些公司来讲，我个人觉得开源治理还是非常重要的。从目前来看，这个事情从上到下来做，领导重视起来了，这个事情能得到更好地推行。那第二个，就是工具和平台。因为现在所有的东西都是为了业务去发展，业务的话就是要快，怎么样去快？现在技术的革新非常非常快，包括像serverless container这些，那快的一个因素就是说你的工具平台，如何去跟我们现在的这个开发平台去集成，这也是非常重要的一点，包括像我自己也有很多类似的经历。我们原来设计的产品叫protex，我们有些同事称它为monster，非常重量级、非常大而全，但是很笨重。所以从工具层面，我们自己也会去革新，然后看看现有的开发的技术栈是怎么样的，我们应该怎么更好地融合到整个的开发过程里面。尤其是现在，开源处于爆发式的增长状态，不像10年前或者20年前，可能它的数量级是很少量级的，可以通过Excel来管，现在确实是需要统筹的一个规划。另外一个就是，我们是第二大经济体了，这个不得不重视了。所以，你说的很多东西，我是蛮认同的。

那我是想跟振华请教一下，你怎么看从OpenChain里了解到的对于企业的帮助，或者一些跟企业的相关的事务，比如法务之类的，OpenChain可以如何帮助我们，或者说我可以从OpenChain这边获得什么。

是这样的，就ISO标准这个术语，一般人都或多或少知道，比如说很多公司都要通过各种 ISO标准认证。我觉得有OpenChain ISO标准参考的好处是，如果我们能够把相关的治理按照这个标准走下来并通过认证，确实可以说明对开源软件治理达到了一定水平，产品的可信度和品质会有一个较好的提升。如果说启示的话，我认为，如果大家有一个共同的目标，或者说有一个比较好的治理实践可以跟着去做，其实是有利于整个行业的进步的。

振华说的这个非常好。我觉得琨少可能对ISO这个理解更深刻，我想听听琨少的看法，就是关于，比如说OpenChain会给我们带来的真正切实的一些帮助。

刚才振华讲那块儿讲了很多东西，这个话题就接着永雷问的这个问题往下聊，就是我认为它应该是一个能力，我就是通过它的这个标准，学到了标准后面的这些要求、规则，我觉得这个都是很重要的。基于不同的公司业务、实际的需求，它是哪种类型的产品，是终端类的、还是CT领域的还是做云服务的等等，不同的类型，要求是不一样的，然后把规则build-in到流程里面。

我知道在IBM，英特尔所有的员工在入职的时候都有三天的法务培训。我有个同事是从IBM过来的，我问他，你有没有参加过这个培训，他说我好像有点印象，他在用开源软件的时候，如果license不懂的话，至少会去找一个法务安全相关的专家，和他一起做评审，至少这样子，他心里会更踏实一点，就是在他的脑海中已经有这样的一个意识。

我很认同琨少的观点。刚才琨少讲了，它的框架有specific还有Engage这些。我觉得琨少对于这个理解很深刻，我们后面再讨论。

我参加国内的一些公司活动，他们有很多痛苦的地方，痛苦什么呢？升级、维护，觉得很麻烦，不知道要怎么弄，其实真正的问题是没有想清楚。你想，你拿过来用了，当然就快速产品化了，但是你也要去应对未来的运维风险、运维成本。遇到有漏洞了，怎么办？运维的时候很烦，不知道要升级什么，或者说，我怎么知道有是否新的漏洞……很多这样的情况。我个人觉得其实要改变一下观念上面的问题，开源不等于免费，有很多东西我们是需要投入进去的。就像你说的那个成本化，现在我已经听到很多声音了。所以引入的时候，我们需要去好好地思考这个事情，而不是单纯的拿过来用就结束了，要贡献社区，要回馈社区，包括你是Upstream，比如说跟社区去建立一些互动、提一些issue，提一些case，这样子。

那我也看到一个非常好的现象，有振华、还有很多公司也是重视起来这个法律的事情了。我还是那句话，要多鼓励。现在国家层面也是很支持这个事情，包括供应链这一块。

关于王老师这边，因为王老师本身背景是做大数据这一块的，我的想法是，一方面，从我们的层面来讲，能不能给王老师提供一些数据，到时候帮助一下王老师，但这是我自己个人想的；第二个，因为是一个互助，比如说中科院提一个标准，或者假如说未来有可能，推出一个中国的一个标准出来，慢慢的形成一个产业链，大家都来推动这个事情，就慢慢的变得越来越好。王老师这边有没有想分享的？

专业知识上我能够分享的其实不多，能够分享的就是决心。因为现在学校不光是学校，包括在标准院（中国电子技术标准化研究院）的杨丽蕴老师，也是在拉着我们一起去做开源治理方面的团标甚至国标，不光是社区的一些标准，包括供应链也是。

但是，其实就像大家所说的，包括供应链这件事情，其实很重要，目前还没有太多的认识，也没有太多这方面的意识。其实更多的是有点像政府的一些部门，他们是真正的要去出这些东西。开源这块真的要在国内发展起来，挑战真的是蛮大的。因为整个体系，基本上是西方那边差不多已经都给你框住了，你在这个体系下面去做事情，我觉得还是挺难的。那这个呢，其实我感觉确实蛮需要一些专业人士来做。那我能做的，一方面是能够从数据的角度尝试着去做这些研究。第二个，我觉得我也是可以从高校内部去想办法，找一些专业人士一起来看，第三个，高校其实也有渠道能够给相关部门提一些建议。特别是像教育部、科技部，如果我们有机会能够给他们去提供一些建议的话，我相信还是能够做一些事情的。当然，目前更重要的是要向大家学习，把这一块的内容学习消化掉，然后讲出来。因为从我们的学校的这个层面上去讲出来，其实也是挺重要的。

我从王老师这边来看的话，我觉得也有很多的渠道，也属于一个共促。就像OpenChain，其实有好几个柱子。我想我们可能也有好几个柱子，比如说我们是从企业层面的，您那边是从高校学术层面的，那我觉得今天我们的聊天其实也是一个好的开始，或者是一个方式，看大家怎么来一起推动，去做这个事情。谢谢王老师。

振华，我想听听你的另外一个，OpenChain的Conformant(遵从)这个解读。它有三个specification（规范）。琨少也是分享了很多，那你这边可不可以理解、分享一下你的其他的一些解读，或者是理解这样子的。

它上面是一个标准，底下是一套工具，中间还有一些就是认证啊，一些优秀实践什么的，我印象中好像是这样子的。

这就是我们几个人，基于对OpenChain的理解，然后做了一个就是叫软件兼容性的一个分析。你可以看到信通院和我们一起发的白皮书，就说你要做一个产品的时候要兼容其他软件，甚至你作为开源项目要去依赖上游的开源软件的时候，它的license之间是有冲突的。如果是公司内部使用的，还是作为产品分发，还是云服务形式的，其实我们大概写了一些，像字典一样的，想让真正的企业跟研发人员更方便的去查阅、更好的学习。

琨少你发的这个，我解读过的。在研究了之后，我跟我公司内部的同事，做了一个大概两三个小时的分享。就是正好今天振华也在，我想起来一个问题，就是copyright和license之间的关系，使我们同事当时没弄清楚想问的。假如我在copyright里面声明了一下，我说这个东西，是不允许别人去copy去用，如果跟open source license之间产生冲突，这个应该怎么解读?

如果你写了相互矛盾的许可条款在代码文件里，别人就不敢用你的代码。特别公司层面的使用，法务会仔细分析相关的许可条款。这会让你的软件变得不受欢迎。

哦，现在就清楚了。其实copyright跟这个open source license是不冲突的，copyright是著作权，license的话是对于你的一些义务吧。

Copyright细分大概有十几种权利，你可以放弃部分权利的行使来推动作品传播，也可以选择把所有权利控制在自己手里。简单来说，license就是安排这些权利的文件。

我们很重视许可证冲突这一块我也跟振华聊过，其实每种license里面，我们都有terms，但terms我们自己律师也会解读，解读完之后的话，比如说这个GPL2.0、3.0，它为什么不兼容，就像我们指南上写的，那有一个是针对专利这一块的，2.0可能模糊，3.0明确。那假如说这一个application有的话，我们就会提出来有冲突。新的产品版本里面，我们也在朝这个方向去做，这个也是跟大家分享一下。

那我们前面谈到了遵从性，它允许组织统一他的自己的一个规范，坚持遵守他的这些规范。

其实我觉得 OpenChain有点像美国的法律一样的，他应该是有个联邦的法律，就是它的法律维护的是什么。它应该有两个底线的要求，一个就是物权法，所有属于这个人的东西，这个人是拥有对它的所有权的。然后引申出来的，就是我们说的这个著作权啊这些东西。他写的东西，他的脑子里的东西，包括他的专利。然后他的这个商业秘密就是这些人或者组织里头，他自己所拥有的东西，这个是不能被别人所侵犯的。所以说这个有点像OpenChain上的specification这个东西，它是行业必须遵从的一个标准。另外一个有点像企业基于行业标准和它对行业的理解以及产品化的能力，然后定制的，在产品里头，应该去干什么。

其实我们国家的程序员，我发现一个问题，很多程序员他其实不愿意去理解这个东西。那么，除了不断地去赋能、培训程序员，给他们发一些宣传类的东西，更重要的是让他去理解这个东西。

这块儿就引出来一点，中国企业除了个人的能力和理解之外，我们还需要有相应的工具去检查它、提升它的效率，然后给它做一些反向的check。

OpenChain的那个项目底下是一个SPDX的一个指标，这个逻辑是什么呢？也就是说，我所有的license遵从之前，我要有自己的「一本账」。我要知道我的这个产品或开源软件里有多少个物料清单（bom）有多少个开源软件是片段使用的，是依赖使用的，是模块化使用的，还是整包调用的。这样的话，我就能知道我到底要不要遵从它的license，是怎么去遵从。这涉及到你的代码是否会被感染的问题。

说到SPDX，我粗浅的理解就是，就像你说的是「一本账」，但「一本账」里面是一个通用的格式，比如说我上游、下游一起去交流的时候会有这个SPDX，SPDX还会定义说，比如我这个引用的时候是哪一个引用的方式。也就是说，比如这个开源软件，它是整包的、单个的，或者是片段引用的。

王老师，因为在GitHub上面，会有一些license的声明，那我们未来有没有可能，比如针对GitHub上面的一个项目，license之间，基于之前信通院发布许可证兼容性指南，我们有没有可能做一些数据的分析。比如GitHub上面现在有这么多的项目，它的许可证是什么。那还有一个做得比较深入的，比如说这个开源组件有很多依赖，我也可以把它拉出来，那么这个拉出来之后，依赖的这个开源组件，其实它的license也是不太一样的。

有的有的。现在可以直接做的一件事情，就是看整体层面上，各个项目社区他们是怎么去用license的，这个是肯定可以看的，因为这个数据本身已经有了。然后可以找一些比较重要的或者典型的社区，我们分析一下。包括AI那边是怎么用的，原生那边怎么用的，包括前端，这些都是可以去看的。第二件事情呢，是在代码里面去看它们之间的引用，可能现在不一定能够做得了。目前，我们主要还是分析它的行为数据，并没有去看它的代码内容，因为代码内容信息量太大，变化得比较频繁。中科院那边可以看代码内容。他们选了三个供应链去做。这三个供应链，我们后面会把它作为典型去看的，但是可能不是全局的。我们可以去看代码之间的一些依赖，再联合前面的一些数据。目前这一块我们还处于初步阶段，国外的话，我们知道像CMU，还有欧洲，是有一些可以去做的。这个我们后面也去做研究，如果做好了，到时候可以和大家一起来分享。

我希望大家还是能够一起推动这个项目的进展，差不多的时候也像todo group一样，各个公司比较开放的去分享相关的治理实践，会对行业本身比较有帮助。

我最后这边有一个小话题。OpenChain2.1和ISO/IEC5230的关系是？

我先说一下，具体这个原因我不知道，但我觉得应该是标准是一定的，但具体的规则文本可能会有调整，所以会有升级这一说。

比如说信息安全体系ISO标准号是一定的，但是文本可能过几年会有一个升级。这个回头我也可以对一下，因为之前我看企业信息安全ISO标准的时候，标准号没有变，但标准后的年份会有变化，比如2013，2017这样。

我也没仔细看2.1跟之前版本的区别，但是我知道他前一段时间要找中文的翻译，说是一些小的改动。因为这个标准其实也是不断打磨的，再加上它最早是英文做的，中文还有一个翻译的过程，所以在中国发布的这个标准可能是有一些出入。

OpenChain也是一个体系，它还不同于License的那一套，应该还是有一些区别的。OpenChain也是建立一套合规的这种模式，究竟是什么，其实我感觉可能目前还没有特别明确。只不过OpenChain背后是Linux，应该这个就是它比较厉害的地方，所以它背靠Linux，让这些大厂都去按照它的这个模式来做。那具体是不是，因为还没有经过深入研究，我也不是特别清楚，但是有些内容是可以感觉出来的。

好。这个其实也是我的一个疑问，就是Linux Foundation一个基金会来去支撑这样的一个事情。那第二个，它和compliance就是法务、法律这一块还是不太一样，听振华之前分享的，它跟企业的一些流程，制度建设，各方面都有息息相关的，包括培训或者说教育这一块。另外，琨少也分享了，就是说你从工具层面或者技术层面，其实没有一个具体的流程，你要根据不同的场景，制定适合企业自身的这样的一个遵从，不管是不是说遵从于ISO的一个标准的开源合规的，这样的一个一整套的一个体系，这可能还会涉及到文化的不一样。其实，刚才王老师也讲了就是体系，西方体系跟中国这个体系的一个差异，但我觉得现在大家都在全球化的这样一个背景下面，互相都在融合，有碰撞，我们也在去理解西方的那一套的一个东西。

我觉得后面我们多多交流吧，因为振华毕竟是科班出身，我也向振华多学习。OpenChain第一次在中国开的Con，是当时就是我们组织的，2018年在深圳。当时Shane本人也过来了，百度，阿里，腾讯也都有人来参加。

现在随着技术的进步，越来越多的包管理机制出现，dependence这块也是一个难点。

谢谢琨少。拿OpenChain的dependence来说，现在container真的是个难点，我非常认同这个，包括依赖之间的这个问题，传导性这一块儿，上次还说到这个，叫聚合体这个事儿，怎么去解读这个聚合体，如何去看待这个事情，包括怎么样去结合啊，从技术层面怎么去看，还有新的这种serverless，而且它是通过API之间去调动的话，这个也没有传导性。

我印象当中，我们公司原来在加拿大有一个研发中心是做过一些，他们说假设使用API这种方式有没有传导性，我想这个真的是一些前瞻性的东西，可能比如说像振华呀，或者是像王老师做学术性的这种研究的话，可能要给我们一些指导性的意见了，就现在可能都没有具体的。因为serverless大部分都是那种，假如说真的就是API调用的话，那这边怎么办。他们到底是聚合体还是一个分发的，一个独立的个体。所以我刚才还想问琨少，有没有机会你们OpenChain再开个会。现在看起来，主要是推广嘛，是不是因为我们都了解的差不多了，是因为这个原因吗？

所以说我觉得他应该一方面推广做标准，还有一方面应该去解决当前企业真正的痛点问题，这样子才会有更多企业去参与到这个OpenChain里头。

我赞同。之前说请琨少来的时候，我有问几个问题，其实是比较有痛点的问题。基本的治理流程以及说法律上的很多理解，大家都研究的比较多了，但是有一些比较具体的场景，才是最难处理的。最好他们能够出一些这样的细节指引或者提供一下这样的能力会比较好。

我希望OpenChain真的可以把compliance chain起来，真的形成一个链条，大家都去遵从，这样中国企业在国际社会上才有更强的竞争力。

我希望国内企业通过学习这个OpenChain，可以更好地遵守相关的协议，保护相应的知识产权。在比较好的认识开源的基础上，增进自己的创新，也能够在国际上更好的获得其他企业的信任。

-- END --

关于 OpenChain 的更多信息请查看官网：

https://www.openchainproject.org