近日，由江蘇潤(rùn)和軟件股份有限公司（以下簡(jiǎn)稱“潤(rùn)和軟件”）參與聯(lián)合主辦的“openEuler & OpenHarmony 社區(qū)合規(guī) SIG 開源合規(guī)共建研討會(huì)”于南京在潤(rùn)和軟件成功舉辦。作為 openEuler 和 OpenHarmony 社區(qū)合規(guī) SIG 第一次線下研討會(huì)，聚集了10+企業(yè)的開源合規(guī)治理專家和法務(wù)專家，積極分享開源合規(guī)治理的經(jīng)驗(yàn)、見解和最佳實(shí)踐，共同探討開源合規(guī)治理實(shí)踐過程中遇到的痛點(diǎn)、難點(diǎn)與挑戰(zhàn)，同時(shí)積極尋求開源合規(guī)能力共建的方向和落腳點(diǎn)，共同推動(dòng)開源軟件合規(guī)能力的建設(shè)和發(fā)展。

openEuler & OpenHarmony 社區(qū)合規(guī)SIG開源合規(guī)共建研討會(huì)現(xiàn)場(chǎng)

本次研討會(huì)首先由openEuler社區(qū)合規(guī) SIG 介紹了2023 年度規(guī)劃及進(jìn)展，該規(guī)劃由 SIG 組全體成員基于各廠商實(shí)際業(yè)務(wù)訴求經(jīng)過探討共同確定，涵蓋合規(guī)工具能力建設(shè)、合規(guī)案例庫(kù)能力建設(shè)、操作系統(tǒng)合規(guī)治理能力建設(shè)、SBOM 能力建設(shè)和 License 兼容性分析能力建設(shè)等。

openEuler合規(guī)SIG代表陳一雄介紹openEuler社區(qū)合規(guī) SIG 2023 年度規(guī)劃及進(jìn)展

研討會(huì)介紹了 OpenHarmony 社區(qū)合規(guī)的三層防線兩層責(zé)任體系，同時(shí)介紹了 OpenHarmony 合規(guī) SIG 組今年的工作重點(diǎn)，包括獲取 OpenChain 認(rèn)證、完善 SBOM 樹的開源合規(guī)治理能力、增強(qiáng)開源片段掃描與許可證管理能力等。

OpenHarmony合規(guī)SIG Maintainer高亮介紹 OpenHarmony社區(qū)合規(guī)SIG工作規(guī)劃

研討會(huì)上還重點(diǎn)探討了操作系統(tǒng)開源合規(guī)治理能力建設(shè)的進(jìn)展與規(guī)劃，分析了操作系統(tǒng)與一般應(yīng)用軟件進(jìn)行開源合規(guī)治理的區(qū)別與當(dāng)前 SCA 工具存在的痛點(diǎn)，確定今年 8 月份輸出操作系統(tǒng)開源合規(guī)治理框架。操作系統(tǒng)開源合規(guī)治理是對(duì)以軟件包為核心、軟件技術(shù)棧復(fù)雜、依賴組件形式多樣，關(guān)系復(fù)雜的軟件場(chǎng)景合規(guī)治理的初步探索，對(duì)于高復(fù)雜軟件的開源合規(guī)治理具有一定參考意義。

對(duì)于SBOM能力建設(shè)進(jìn)展與規(guī)劃，與會(huì)專家表示，SBOM的數(shù)據(jù)準(zhǔn)確性和完整是一個(gè)重要的挑戰(zhàn)。會(huì)上進(jìn)一步針對(duì) SBOM 能力的完善，以及如何進(jìn)行 SBOM 數(shù)據(jù)完整性保護(hù)等進(jìn)行了深度探討，當(dāng)前 SBOM 能力已在 openEuler 和 OpenHarmony 社區(qū)落地，下一步將擴(kuò)展文件級(jí) SBOM 探索，同時(shí)與開源社區(qū)、供應(yīng)鏈合作伙伴進(jìn)行合作，共享經(jīng)驗(yàn)和最佳實(shí)踐。

潤(rùn)和軟件戰(zhàn)略技術(shù)中心專家、合規(guī)SIG Maintainer魏建剛針對(duì)SBOM能力建設(shè)發(fā)言

此外，研討會(huì)還討論了合規(guī)案例庫(kù)能力建設(shè)、License 兼容性分析能力建設(shè)等話題。由于不同國(guó)家、不同法律體系關(guān)于合規(guī)案例審判標(biāo)準(zhǔn)方面存在差異，導(dǎo)致合規(guī)案例的解讀可能具有一定的局限性，但是合規(guī)案例庫(kù)能力建設(shè)也具有積極意義，一方面能夠明晰國(guó)內(nèi)審判標(biāo)準(zhǔn)，記錄國(guó)內(nèi)對(duì)開源合規(guī)案例審判的變化過程，另一方面能夠?qū)?a target="_blank">開發(fā)者提供指導(dǎo)。License 兼容性分析能力建設(shè)仍處于探索研究階段，構(gòu)建完善 License 兼容性分析能力需要 SBOM 核心依賴調(diào)用分析、License 條款結(jié)構(gòu)、開源軟件使用場(chǎng)景等前提條件。openEuler 和 OpenHarmony 社區(qū)合規(guī) SIG 將共同建設(shè)各項(xiàng)能力，進(jìn)一步構(gòu)建 License 兼容性分析能力。

本次研討會(huì)的成功舉辦，進(jìn)一步加強(qiáng)了 openEuler 和 OpenHarmony 社區(qū)合規(guī) SIG 之間的交流，初步確定了兩大社區(qū)開源合規(guī)能力合作共建的方向，同時(shí)也為進(jìn)一步推動(dòng)國(guó)內(nèi)開源合規(guī)能力共建邁出了重要的一步。

潤(rùn)和軟件將攜手開源伙伴和行業(yè)客戶，共同建設(shè)一個(gè)開放、合規(guī)、安全的開源軟件生態(tài)系統(tǒng)。

相關(guān)鏈接：歡迎訪問openEuler和OpenHarmony社區(qū)合規(guī)SIG官網(wǎng)

https://www.openeuler.org/zh/sig/sig-detail/?name=sig-compliancehttps://gitee.com/openharmony/community/blob/master/sig/sig_compliance/sig_compliance_cn.md