SIG-compliance双周例会 ：
时间：2021年9月8日 14:30-16:00
会议主持人：郑志鹏
与会者（请与会者在下面添加您的姓名）：郑志鹏、杨聪、陈一雄、崔伟宁、芶新易、程鑫鑫、杜奕威、王悦良、许渊聪、绳童、张晓飞、yuqi、杨昭
下次例会时间：2021年9月23日 10:00-12:00
下次例会主持人：杨聪

议题:
1.组织并讨论合规SIG组compliance仓库的现有issue问题 分享人：杨聪

会议纪要:
1. 自由软件基金会（FSF）与开源组织（OSI）认证license的标准和规则有什么不同 :
基于的价值观有着本质上的区别：
（1）对于自由软件运动而言，自由软件是一个道德底线，是对用户自由的基本尊重。
（2）开源软件则与此不同，开源哲学考虑的是怎么做把软件做得“更好”—仅仅从实用的角度。
2. gnome-shell-theme-flat-remix软件包license为CC-BY-SA-4.0，PR License告警，评估是否有风险
这个软件是用于桌面主题之类的，CC-BY-SA-4.0是FSF认证的许可证，相对风险较小，是可以引入的
3. CDDL License风险评估
可以引入，但是需要注意使用场景：独立进程里使用，如果和其他进程一起使用，则会存在风险
4. 引入tidb至openEuler，license为QL、STRUTIL，是否有风险需要确认。
QL、STRUTIL为引入第三方软件的名称，这两个许可证的文本内容是BSD-3-Clause
5. jasper软件包涉及license不安全，能否引入 ？
从license描述上来看是宽松友好型的许可证，可以引入，但是没有授予专利许可，使用过程中需注意专利问题
6. WTFPL license 是否符合openeuler的license要求？
这个许可证是否授予全部权利是有争议的，不建议引入

会议经讨论决定：双周例行例会时间更改为双周周四上午10:00 - 12:00

遗留问题:

1. 建议在貂蝉中增加针对license的关键条款的告警提示 责任人：郑志鹏 完成时间：9月15日
2. License字段中Copyright only如何理解是否有合规风险 责任人:杨聪 完成时间：9月22日
3. blast组件的license是public domain ，需要评估下是否开源友好 责任人：杨聪 完成时间 9月22日
4. chromium，druid，elasticsearch，freetype2涉及license不安全，能否引入 ？需要对针对license不安全的点进行分析 责任人：杨聪 完成时间 9月22日
5. 代码仓的spec的免责声明，可以调研下centos等社区是否有相关申明 责任人：陈一雄 完成时间：9月23日
6. 对于license声明中没有明确提到license名称，但是有文本内容的，需要进行比对识别License名称 责任人:郑志鹏 完成时间：10月31日