openEuler高琨：積極推動開源合規(guī) 助力供應(yīng)鏈安全

受訪者：openEuler 合規(guī)SIG高琨??

訪談?wù)?/span>：馬瑋，SegmentFault 思否技術(shù)編輯

自2019年12月31日開放源代碼以來，openEuler通過開放治理、吸引大量的合作伙伴，逐漸打造成為國內(nèi)最具活力的開源社區(qū)。作為一個全球化的服務(wù)器操作系統(tǒng)開源社區(qū)，openEuler自開源以來，一直致力于推動軟硬件應(yīng)用生態(tài)的繁榮發(fā)展，而合規(guī)SIG的目標(biāo)專注于合規(guī)相關(guān)領(lǐng)域的研究，將研究結(jié)果通過標(biāo)準(zhǔn)、流程、工具等形式提供給社區(qū)進(jìn)行開源合規(guī)管理的支持，通過提升社區(qū)合規(guī)的軟件工程能力，促進(jìn)社區(qū)健康發(fā)展。

近期，本站編輯部就非常有幸邀請到了openEuler合規(guī)SIG的創(chuàng)始人高琨，共同就openEuler的創(chuàng)辦及開源合規(guī)發(fā)展與實(shí)踐等相關(guān)話題進(jìn)行探討。

眾所周知，長期以來，服務(wù)器操作系統(tǒng)市場一直都被國外廠商所“壟斷”?；乜次覈浖僮飨到y(tǒng)發(fā)展史，就會發(fā)現(xiàn)，以前我們的 IT 操作系統(tǒng)底座，幾乎也都采用的美國軟件，特別是RedHat。

好在，如今科技創(chuàng)新技術(shù)的大趨勢下，我國創(chuàng)新者終于迎來了彎道超車的機(jī)會。在這一點(diǎn)上，作為開源軟件專家的高琨，則深有體會。

“openEuler的出現(xiàn)，讓國內(nèi)開發(fā)者意識到，不用再去follow美國的那些軟件的技術(shù)設(shè)施，而是自己去上游社區(qū)探索創(chuàng)新?！?/span>

在高琨看來，以往合規(guī)工作都是由美國企業(yè)在社區(qū)完成后我們國內(nèi)企業(yè)直接拿來用的。所以當(dāng)國內(nèi)企業(yè)自己走這條路的時候，這其中的大量工作都需要自己去做，而這些正是 openEuler成立合規(guī)SIG的原因。

真正讓openEuler“脫穎而出”，讓高琨在此構(gòu)建能力的最關(guān)鍵的因素，就是其項(xiàng)目的復(fù)雜性。高琨介紹稱，openEuler社區(qū)匯聚了數(shù)千款上游組件，存在使用方式、構(gòu)建及依賴關(guān)系等復(fù)雜情況。

openEuler在開源后便得到了大量響應(yīng)，特別對于合規(guī)意識不是很強(qiáng)的下游合作伙伴們來說，積極歡迎他們的加入可以為社區(qū)發(fā)展帶來更多活力，同時也讓合作伙伴更有合規(guī)意識，這也是為什么OSCAR大會專門設(shè)立產(chǎn)業(yè)風(fēng)險治理專場的原因。有了合規(guī)和安全意識之后，大家才會一致明確目標(biāo)共同發(fā)展。

而這也是為什么有不少同樣成立合規(guī)及SIG主業(yè)的其他項(xiàng)目，但業(yè)內(nèi)依然選擇openEuler的原因，也是高琨以及合作伙伴們堅(jiān)持openEuler的原因。

高琨介紹稱，目前openEuler整個組織都是公開透明的，包括所有例會過程、會議紀(jì)要以及代碼托管平臺的操作都是完全公開可追溯的。同時，社區(qū)還鼓勵中英文雙語交流，盡管目前多是國內(nèi)合作伙伴及個人開發(fā)者參與，但相信未來一定能成長為國際化的知名社區(qū)，因此也歡迎更多海外伙伴加入。

合規(guī)SIG組于21年1月份成立，即將一年，但已經(jīng)舉行了多次Meetup，此前如3月、5月、7月以及8月份分別在上海、北京、深圳、長沙等地線下Meetup，每次SIG組的工作會議都會有大連理工大學(xué)、安勢科技、麒麟、統(tǒng)信、麒麟信安、潤和、普華、華為、中科院等企業(yè)參與，每次例會都有近20個行業(yè)內(nèi)人士參加，同時華為也在大連理工軟件學(xué)院等組織進(jìn)行深度研究合作，和安勢科技等公司共建工具服務(wù)，慢慢建立起來合規(guī)能力。

高琨表示，正如上次的OSCAR大會就是一個好的契機(jī)，我們已經(jīng)看到了由信通院牽頭，包括華為、字節(jié)跳動、百度以及供應(yīng)商和律師事務(wù)所等企業(yè)也參與了進(jìn)來，共同為國內(nèi)開源合規(guī)生態(tài)穩(wěn)步發(fā)展貢獻(xiàn)力量，這也是openEuler社區(qū)為實(shí)現(xiàn)我國打造“科技強(qiáng)國”方面的踐行。

?

隨著軟件變得越來越大、越來越復(fù)雜，軟件供應(yīng)鏈也變得愈加龐大和復(fù)雜。如果龐大、復(fù)雜的軟件供應(yīng)鏈中任何成員不能遵守許可證義務(wù)或不能提供適當(dāng)?shù)脑S可證信息，則將對有義務(wù)遵守許可證的供應(yīng)商造成重大影響。

對于這些問題，合規(guī)SIG在致力打造一套端到端完整的開源合規(guī)工具鏈。規(guī)劃并發(fā)布一系列合規(guī)工具，面向開發(fā)者提供一系列合規(guī)檢查服務(wù)。目前可通過工具提供項(xiàng)目的license文本掃描“張飛”、license信息的SPDX標(biāo)準(zhǔn)對比“周瑜”、代碼血緣分析與審計(jì)“華佗”、合規(guī)風(fēng)險看板“諸葛亮”等一系列服務(wù)，并通過合規(guī)信息門戶“貂蟬”承載這些服務(wù)。以三國相關(guān)人物典故命名服務(wù)工具，同時傳揚(yáng)中國古典文化。

?

前不久，華為以白金會員身份加入了OpenChain項(xiàng)目的消息引發(fā)業(yè)內(nèi)關(guān)注。對此，高琨也專門就本站關(guān)心的話題做了解答。

據(jù)高琨介紹，OpenChain項(xiàng)目是對開源license的解讀，包括規(guī)則、企業(yè)制定流程等一整套體系。眾所周知，license是一個法律條文，但其實(shí)是可以標(biāo)準(zhǔn)化的，這也正是openEuler合規(guī)SIG所做的事情之一——幫助更多企業(yè)理解開源合規(guī)，有意識的遵從license。

前幾年，OpenChain項(xiàng)目攜手全球20個企業(yè)共同制定了“OpenChain ISO 5230”國際標(biāo)準(zhǔn)。華為作為新加入該組織的白金會員，也是因?yàn)榇饲耙呀?jīng)學(xué)習(xí)過相關(guān)組織標(biāo)準(zhǔn)。如今華為更多的為帶動整個上下游/供應(yīng)鏈共同將整個國內(nèi)開源生態(tài)發(fā)展壯大。高琨表示很高興已經(jīng)有至少5個知名企業(yè)的OSPO負(fù)責(zé)人聯(lián)系到他，咨詢?nèi)绾渭尤朐摻M織，相信很快就有大批中國公司加入，踐行整個供應(yīng)鏈合規(guī)實(shí)踐。

以上就是華為加入OpenChain項(xiàng)目的初衷，高琨也期待所有國內(nèi)企業(yè)乃至全世界企業(yè)都認(rèn)同這個標(biāo)準(zhǔn)，在統(tǒng)一標(biāo)準(zhǔn)的前提下，共同創(chuàng)新發(fā)展。

?

與此同時，華為也在開源風(fēng)險和開源治理方面與信通院有所合作。高琨介紹稱，自己最早在2020年就與信通院展開了可信開源相關(guān)研究的合作。最初的時候，業(yè)內(nèi)社區(qū)還并未有人提“可信”一詞。而所謂“開源社區(qū)的可信”，就是要做到安全、合規(guī)，開源社區(qū)所有動作都必須是公開、透明的。

而以上這些，正是華為認(rèn)為的可信開源社區(qū)的核心特征?；谶@些特征，通過對大量優(yōu)秀項(xiàng)目的洞察（如Fedora、Ubuntu、TF等），發(fā)現(xiàn)優(yōu)秀社區(qū)在治理運(yùn)營展示出多樣性、包容性的特征?；谶@些特征的提煉，信通院在5月26號發(fā)布了《可信開源框架白皮書》的標(biāo)準(zhǔn)。

此外，華為與信通院還合作了安全治理、開源生態(tài)相關(guān)的白皮書，圍繞與新工業(yè)4~5個標(biāo)準(zhǔn)和白皮書的深度合作，主要與信通院云大所合作發(fā)布，其中有關(guān)操作系統(tǒng)內(nèi)容的白皮書就是與openEuler共同參與完成的。

在剛剛過去的2021開源產(chǎn)業(yè)大會開源風(fēng)險管理分論壇上，作為開源專家的高琨也是深度參其中，作為開源風(fēng)險治理專場的出品人，以此來幫助更多企業(yè)更好的提升治理能力，為國內(nèi)開源生態(tài)健康發(fā)展賦能。

?

在剛過去的一年中，華為在開源社區(qū)逐步構(gòu)建合規(guī)功能的服務(wù)能力，同時，更期待在未來，有更多的開源愛好者加入到合規(guī)工具、法規(guī)的構(gòu)建中，通過提供端到端的合規(guī)工具鏈和管理體系，建立完善的合規(guī)技術(shù)生態(tài)，為國內(nèi)開源健康發(fā)展提供堅(jiān)實(shí)支撐。