SIG-compliance 双周例会：

时间：2023年1月5号 10：00-12：00

会议主持人：王悦良

与会者（请与会者在下面添加您的姓名）：杨昭、王悦良、丁紫薇、魏建刚、郑志鹏、陈一雄、朱贤曼、张伟

下次例会时间：2023年2月2号 10：00-12：00

下次例会主持人：马全一

议题：

1.讨论合规SIG23年的诉求以及规划责任人：各个Maintainer

2.根据客户合作伙伴的需求，讨论2023年openEuler 8 30版本，上线那些合规工具服务责任人：各个Maintainer

3.summit合规演讲回顾与交流

openEuler合规风险的治理实践郑志鹏

openEuler社区License准入体系在维信金科开源合规治理中的应用许渊聪

会议纪要：

议题1&2：

王悦良：

一、合规sig 23年可研究的方向：

1.操作系统合规治理方案

探究操作系统与普通软件合规治理的区别与联系，可以考虑出个文档或白皮书

2.容器镜像合规治理

基于Base镜像构建应用镜像，可能会应用到Base镜像提供的动态库，需探讨相应合规治理方案

3.软件包基于子包拆分、传递依赖的合规治理

二、OSV厂商合规诉求

1.公开openeuler社区SBOM能力，增加流程管理相关功能；

2.现有合规能力工具化发布；

3.合规培训的形式或材料创新，使普通开发者更易于了解和使用合规知识

魏建刚：

建议社区建立类似兼容性认证的合规评测认证（引起广泛讨论，可作为23年规划的主线）

张伟：

与release sig合作，在产品发布环节提供合规测评报告

郑志鹏：

产业化已有的License准入列表，推广为标准

与其他社区和下游企业合作

不单独针对操作系统场景，分场景分级

覆盖更多市面上主流License

用户可公开自定义License清单，标签化某些License不使用原因

陈一雄：

1.社区门禁完善；

目前仅扫描仓库级，后续对整个仓库进行扫描

2,现有能力工具化；

现有能力主要集成在社区服务中，后续改造为工具化方便推广使用

3.能力平台公开化；

现有能力以服务形式公开，可对其他社区或企业提供合规服务

4.片段引用检测（华佗）完善

目前仍需大量人力分析片段引用是否合规，实用性较差。后续尝试开放能力，提升实用性

郑志鹏：

提议下次例会与openHarmony合规sig联合审阅license

许渊聪：

一、维信金科计划输出内容

1.合规部门帮助输出各类涉及开源许可证的案例，用于貂蝉的优化

许可证标记提示哪些存在合规案例，帮助开发者进一步了解合规风险

2.分享企业做建设开源治理的经验

统一制品仓库的建设分享

SBOM的初步建设思路

内部推动开源合规建设的经验

二、希望SIG组输出内容

1.开源合规相关的指导书、白皮书更新，SPDX格式解读实践等

商标等知识产权相关的开源合规（目前未了解到国内有相关实践经验）

各类国内知名CMS等的“开源”许可证风险解读（大部分国内开源CMS都采用了自己编写的许可证，对二次开发提出收费/要求授权等额外要求，和国际的开源许可证理解存在偏差）

2.社区许可证准入流程的完善

提供说明文档，门禁识别license风险时候，告诉开发者如何参与例会交流/反馈交流结果

3.类似choosealicense的国内许可证推荐选择器

帮助开发者根据个人需要推荐适合的许可证

4.社区SBOM建设经验分享

帮助上下游企业和开发者共同维护欧拉和企业项目的SBOM

鼓励个人开源项目声明SBOM

5.支持gitee / github等社区开源项目申请扫描，扩大貂蝉影响力

6.代码片段合规的分享，目前大部分企业和个人都还在组件级别，不理解代码片段存在的合规风险

7.openEuler的OpenChain实践分享，帮助企业了解ISO5230，以及参与OpenChain的价值

议题3.summit合规演讲回顾与交流

1.openEuler合规风险的治理实践分享郑志鹏

遗留问题：

1.整理讨论结果，输出合规SIG年度规划方案，下次例会公开讨论负责人：各个Maintainer

----