您好!
sig-compliance SIG 邀请您参加 2023-04-27 10:00 召开的Zoom会议
会议主题:compliance—SIG例会
会议链接:https://us06web.zoom.us/j/87973177778?pwd=TjZsZU5VbktSV1NSQnFTZ2p0VXhzdz09
会议纪要:https://etherpad.openeuler.org/p/sig-compliance-meetings
温馨提醒:建议接入会议后修改参会人的姓名,也可以使用您在gitee.com的ID
更多资讯尽在:https://openeuler.org/zh/
Hello!
openEuler sig-compliance SIG invites you to attend the Zoom conference will be held at 2023-04-27 10:00,
The subject of the conference is compliance—SIG例会,
You can join the meeting at https://us06web.zoom.us/j/87973177778?pwd=TjZsZU5VbktSV1NSQnFTZ2p0VXhzdz09.
Add topics at https://etherpad.openeuler.org/p/sig-compliance-meetings.
Note: You are advised to change the participant name after joining the conference or use your ID at gitee.com.
More information: https://openeuler.org/en/
SIG-compliance双周会: 时间:2023年4月27日 10:00-12:00 会议主持人:高琨 与会者(请与会者在下面添加自己的姓名):魏建刚、王悦良、许渊聪、刘丹、高亮、陈一雄、丁欣、李亚楠、lmy、魏强、郭嘉伟、Michael蘇、丁紫薇 下次例会时间:2023年5月11日 10:00-12:00 下次例会主持人: 马全一
议题: 1.按“合规SIG组License准入审阅流程”申请对gSOAP-1.3b审阅 ——李亚楠 2.openHarmony集成貂蝉服务License条款结构信息 ——陈一雄、高亮 3.门禁系统许可证规范性校验机制及上游不规范声明社区处理机制讨论 --王悦良 4.操作系统开源合规治理思考 ——王悦良
会议纪要: 1.按“合规SIG组License准入审阅流程”申请对gSOAP-1.3b审阅
陈一雄:gSOAP 公共许可证源自 Mozilla 公共许可证 (MPL1.1),相比于MPL1.1 删除了1.0.1、2.1.(c)、(d)、2.2.(c)、(d)、8.2.(b)、10 和 11,修改 2.1.(b)、2.2.(b),简化3.2和3.6,删除3.5条款,增加了3.8条款。
王悦良:删除和修改的条款都往更加宽松的条款方向修改,增加的条款限制不得从 gSOAP 中删除任何产品标识、版权、所有权声明或标签对于基于gSOAP衍生修改的产品有一定限制 许渊聪:增加条款对于社区引用、使用gSOAP无风险,对于衍生修改产品要注意履行该限制 张伟:相比于MPL1.1,2.1.(b), 2.2.(b)在专利许可范围做了限缩,增加3.8条款,禁止使用方从gSOAP 中删除任何产品标识、版权、所有权声明或标签。另外,该license只适用于gSOAP软件包中有限的一部分,soapcpp2、wsdl2h、uddi2等工具及工具生成代码,以及Web服务器样例代码 samples/webserver不适用于此license,需要额外获得商业许可。
-
gSOAP-1.3b审阅为oE认可,投票结果——通过 投票情况: 马全一: 高琨: 魏建刚:同意 郑志鹏:同意 杨聪: 许渊聪:同意 王悦良:同意 张伟:同意
2.openHarmony集成貂蝉服务License条款结构信息
针对openHarmony用到主流的许可证在openEuler和openHarmony社区进行联合评审,引入律师进行貂蝉许可证条款结构梳理,需要重点考虑如何兼容两方社区对于许可证需求的差异点, 分为两轮,第一轮梳理标签条款的正确性,第二轮通过增加标签,场景具体话条款的使用限制条件,增强条款可读性
-
3.门禁系统许可证规范性校验机制及上游不规范声明社区处理机制讨论 --王悦良
针对BSD许可证在门禁里面增加warning提示,对于上游不规范在提示里增加向上游提issue的建议,扩大openEuler合规的影响力
4.操作系统开源合规治理思考
- OS开源合规治理与普通软件相同点:
- 遵循相同的开源标准
- 面临相同的开源合规风险
- 精准识别软件成分困难
- 不同点:
- 管理方式不同,操作系统以软件包为核心,普通软件以源代码项目为核心
- 软件规模不同,操作系统软件数量相对远多于普通软件
- 软件复杂度不同,操作系统软件涉及各种技术栈,普通软件一般为单一技术栈
- 软件修改自主权不同,操作系统需尽可能保证“原样提供”
- 软件版本维护策略不同,操作系统需同时提供多个版本
- OS软件包管理器 与高级语言包管理器相同点:
- 软件包管理自动化,包括软件包的安装、更新、卸载等操作
- 依赖解析处理,安装软件时可自动安装所需依赖
- 软件包版本管理,包括安装特定版本的软件包、更新软件包到最新版本等操作
- 提供软件仓库或包管理中心,方便用户使用并获取软件包的更新、安全性修复、文档和支持等。
- 不同点:
- 应用范围和用途不同,OS软件包管理器主要管理OS级别的软件包,支持OS的运行和管理;高级语言包管理器用于在特定语言环境中安装、管理和更新编程语言的库、模块、工具等。
- 依赖管理不同,OS软件包管理器最小化安装软件包所需的依赖;高级语言包管理器一般作为整体安装,与源代码项目完全对应。
- 软件仓库集中程度不同,OS软件仓库通常数量较多;高级语言的包管理中心或软件仓库通常唯一。
- 操作系统SCA工具存在痛点:
- 需根据二进制包匹配源码包,进一步解包获得源码
- 开源软件中识别开源软件,干扰较大,误报率较高,识别精度不满足需求
- 不能关联自有软件仓库,识别依赖不匹配,系统软件包管理器与语言软件包管理器冲突
- 数量庞大,代码轻维护,人工标定不可接受
- 操作系统软件包自身需作为元数据源,需转换格式
- 操作系统开源合规治理目标的确定应当充分考虑成本投入与收益比值,找到合适的平衡点,操作系统产业定位注定开源合规治理投入的资源短缺,更应当集中资源,处理关键问题,抓大放小
- 企业应当依托开源社区,共同合作解决开源合规治理难点痛点,尽可能从根源处解决问题
openEuler conference public@openeuler.org 于2023年4月24日周一 18:41写道:
您好!
sig-compliance SIG 邀请您参加 2023-04-27 10:00 召开的Zoom会议
会议主题:compliance—SIG例会
会议链接: https://us06web.zoom.us/j/87973177778?pwd=TjZsZU5VbktSV1NSQnFTZ2p0VXhzdz09
会议纪要:https://etherpad.openeuler.org/p/sig-compliance-meetings
温馨提醒:建议接入会议后修改参会人的姓名,也可以使用您在gitee.com的ID
更多资讯尽在:https://openeuler.org/zh/
Hello!
openEuler sig-compliance SIG invites you to attend the Zoom conference will be held at 2023-04-27 10:00,
The subject of the conference is compliance—SIG例会,
You can join the meeting at https://us06web.zoom.us/j/87973177778?pwd=TjZsZU5VbktSV1NSQnFTZ2p0VXhzdz09 .
Add topics at https://etherpad.openeuler.org/p/sig-compliance-meetings.
Note: You are advised to change the participant name after joining the conference or use your ID at gitee.com.
More information: https://openeuler.org/en/
Dev mailing list -- dev@openeuler.org To unsubscribe send an email to dev-leave@openeuler.org
-
openEuler conference -
Yixiong Chen