SIG-compliance双周会：
时间：2023年2月2日 10:00-12:00
会议主持人：魏建刚
与会者（请与会者在下面添加自己的姓名）：魏建刚、郑志鹏、张广治、黄河清、赵栩锋、卢华歆、丁紫薇、邢鹏、文武刚、丁欣、李玉桃、王东、颜小兵、陈一雄、徐永辉、黄昊、王悦良、刘波、曹静波、李沐阳
下次例会时间：2023年2月16日 10:00-12:00
下次例会主持人: 马全一

议题：
1.按“合规SIG组License准入审阅流程”申请对libselinux-1.0 审阅    张广治
2.2023年合规SIG组规划


纪要：
1.按“合规SIG组License准入审阅流程”申请对libselinux-1.0 审阅

张广治：libselinux主要提供SELinux策略的核心库和工具，包括SELinux运行模式查询/设置、安全上下文查询/修改，安全规则检查等，许可证原文比较简单，大部分是一个免责声明

郑志鹏：这个许可证可以是OE认可，该许可证为public domain，但是该许可证相比其他public domain许可证补充了免责声明，public domain 许可证在其他国家可能会存在受限问题，但是对于社区我认为这类许可证都可以认为OE认可，并且该许可证补充了免责声明会更好

魏建刚：该许可比较简洁，可以认证为OE认可，可发起License准入PR


2.2023年合规SIG组规划分为四大类：

建立领先的合规能力，主要聚焦以下几个方面

License兼容性识别能力为(重点)——按照SBOM的解析License进度来规划，重点聚焦业界30+常见License

开源License的分析能力

License合规分析工具能力构建完善

SBOM生成和索引能力——在openEuler上基于SBOM在合规上看板完善、依赖解析、license分析的能力加强（包括分析未建仓的软件包能力），数字化合规度量指标，补齐开源片段引用风险的分析，加强SBOM能力与合作伙伴的互通性（部署、上手等方面），增强SBOM的工具链的业界影响力

SBOM提供notice生成功能，增加license兼容性识别能力，考虑将SBOM推进openChain

片段引用合规治理能力

综合上诉能力，出具综合的合规分析报告(重点)——报告可以作为openEuler社区版本发布的重要评审依据，对于上下游和其他开源社区则可以作为自行合规性审查依据，该报告应遵循SPDX、openChain等国际标准

理论探索聚焦于

license兼容理论探索

操作系统包管理器合规治理的研究

操作系统合规治理与普通软件合规治理的区别和联系

容器合规治理

对于操作系统合规治理可以出具白皮书

License合规知识，能力普及推广

开源合规相关指导书、白皮书、SPDX格式解读等

企业建设开源治理的经验

许可证推荐指南

社区SBOM建设经验

代码片段合规治理经验分享

openchain实践分享，帮助企业了解ISO5230，以及openChain的价值

对外合作



遗留问题：
1.下次合规例会确定各个模块节点的负责人，并规划定期进展跟踪情况   责任人：全员Maintainer    完成时间：2023.2.16