之前分享過 OpenChain 2.0相關訊息, 隨著 OpenChain 進入 ISO 國際標準, 如何合規使用開源軟體以降低使用開源軟體的潛在風險對組織來說就是很重要的課題了.
這篇主要是介紹 OpenChain 流程、規格以及如何一步步地符合 OpenChain 開源合規規格.
英文規格書
繁體中文規格書
基本概念 – 建立 OpenChain 流程的六大要點:
1、方案建立規範範圍、 開源政策書建立框架
2、聯絡窗口、資源配置、角色及責任
3、開源軟體清單的建立流程
4、開源軟體清單的驗證、合規稽證產出流程
5、與開源社群互動規範
6、確認以上要點皆被妥善記錄、保存、以及定期更新
OpenChain 是以方案 (program) 為單位, 意及同個組織內允許擁有多個 OpenChain program, 以因應不同單位因使用特性等因素而不能共用 open source policy 或者其他 program 內容.
OpenChain 核心元素
根據類型, OpenChain 核心可分為四個元素, 分別為
1. 政策書
- Open Source Policy
- 組織如何看待及使用 Open source software
- Open Source Contribution Policy
- 組織如何看待開源貢獻, 以及跟社群之連結
2. 流程
- Policy Implementation
- 實作開源政策
- Program R&R and Implementation
- 方案中對參與者的角色以及責任實作
- License Obligations
- 授權之義務
- Open Source Content Review and Approval
- 審核及核可開源相關內容
- Compliance Artifact Creation and Delivery
- 合規稽核產出以及交付
- Open Source License Compliance Inquiry
- 開源授權合規查詢
- Documentation
- 資訊文件化
- Regularly updated
- 定期更新
3. 人員
- Open Source Liaison
- 對外聯絡窗口, 專門處理開源議題.
- Software Staff
- 軟體開發人員
- Program Participants
- 方案參與者
4. 技術
- License Scanning Tools
- 軟體授權掃描工具
- SPDX Tools
- Software BOM 工具
- Software BOM Management Tools
- 管理 Software BOM (bill of materials) 列表工具
深入淺出 OpenChain 規格書
將規格書內的文字具像化並佐以步驟以滿足規格書之要求.
1. 每個方案都需有開源政策書以及開源貢獻政策書.
2. 開源政策書以及開源貢獻政策書需有方法或途徑 (如: wiki, 訓練等等) 能夠提供給軟體開發人員.
3. 需配置對外聯絡窗口, 專門處理開源議題.
4. 定義方案範圍並文件化之.
5. 建置方案中所需的人員 – 定義角色、責任, 並確認參與人員皆具備應有之意識, 並核對參與人員是否可勝任該所屬之職責 – 以上結果皆需進行文件化.
6. 建立開源審核流程, 釋出流程, 以及貢獻流程
7. 所使用的開源軟體清單透過開源審核流程產出相對應之 copyright, obligation, 以及 use cases
8. 所使用的開源軟體清單透過釋出流程產生合規稽證, 並提供相對應的文件化資訊.
9. 確保方案合乎 OpenChain 規範
10. 保存相關文件化資訊至少 18 個月以上
OpenChain 評核流程
想獲得 OpenChain 流程認證, 可透過以下三種方法:
- Self-Certification / 線上自我測驗
- 組織/ 單位自行評定是否合規, 並至下列網站進行註冊確認
- https://certification.openchainproject.org/
- Independent Compliance Assessment/ 獨立合規評估
- 由第三方進行獨立合規評估, 並至下列網站進行註冊確認
- https://certification.openchainproject.org/
- Third-Party Certification / 公正第三方驗證
- 由第三方進行獨立合規評估, 通過後給予認證
SZ Lin with Cybersecurity & Embedded Linux 