11月11日在出差路上,申请主持下次例会。


石勇  研发二部/研发工程师
湖南麒麟公司
手机:135-2112-9707    座机:0731-88283301-331
湖南总部:
长沙市岳麓区麒云路20号麒麟科技园 
北京营销中心:北京市海淀区蓝靛厂南路25号牛顿办公区601
网址:www.kylinos.com.cn    全国服务热线:400-625-6606
 
发件人: smartsyoung
发送时间: 2021-11-04 21:31
收件人: dev; tc
主题: [Dev] Re: [会议纪要] sig-compliance双周例会

SIG-compliance双周例会

时间:2021年10月28日 10:00-12:00

会议主持人:马全一

与会者(请与会者在下面添加您的姓名):马全一、郑志鹏、杨聪、陈一雄、芶新易、崔伟宁、许渊聪、李玉琪、马凯、Chenxi Mao、MeterCai、温志伟、aclove、唐杰、魏强、Geliang Tang、yang_suse、刁向刚、yhx、Kai Li 、石勇

下次例会时间:2021年11月11日 10:00-12:00

下次例会主持人:石勇

议题申报

1 社区引入软件包license变更进行预警的需求分析方案讨论 分享人:许渊聪

2 license风险识别系统告警分级 分享人:杨聪

3 下游OSV厂商以openEuler为上游供应链时,应该怎么做到合规使用openEuler所提供的软件包 分享人:石勇

会议纪要

1.社区引入软件包license变更进行预警的需求分析方案讨论

方案分成3步

a.openEuler现有仓库license情况的完整梳理摸底: openEuler社区现有的第三方软件梳理----->对应的上游仓库地址------->上游仓库的license清单----->上游仓库的license及其文本内容与openEuler仓库进行对比。

b.openEule门禁系统中加入上游社区开源软件license变更的告警功能:对openEuler引入的开源软件license发生变更的仓库提供警告

c.洞察上游社区license变更线索,提供license变更预警功能:监控上游发布新闻(提前识别许可证可能存在的变更风险,对于有过许可证变更的组件,提供变更记录用于选型时的分析

目前先对openEuler现有仓库license情况进行摸底,待摸底完成后,再考虑下一步的计划。

2.合规风险识别系统引入openEuler社区

openEuler社区现在提供的license门禁检查工具扫描项目的spec文件,解析出spec中的license字段信息,再判断license是否在自定义的白名单或黑名单中;合规SIG想基于现有的工具能力增强开源项目合规的检查能力,通过扫描repo或者PR的文本文件以及源码文件中的注释内容,提取出repo或者PR中的license和copyright信息,对提取内容进行分析,提供可视化的报告,并对扫描结果进行提示/告警分级

主要分为以下四类提示/告警:

Fatal:黑名单(社区现在提供的license检查工具的黑名单)

Primary Warning: 源文件缺失copyright

Secondary Warning:a、copyright不规范;b、源文件缺少license

Info: a、license&copyright 清单列表;b、license权利、义务、限制条件标签展示;c、license是否通过OSI/FSF认证;d、忽略的扫描文件

各类提示/告警的内容会随着合规工具的开发逐步进行完善。

3.会上一致通过合规风险识别系统引入openEuler社区替换现有的门禁license检查系统,参与投票的有华为-马全一、华为-郑志鹏、华为-杨聪、华为-陈一雄、华为-芶新易、华为-崔伟宁、安势信息-许渊聪、安势信息-李玉琪、马凯、SUSE-Chenxi Mao、MeterCai、麒麟软件-温志伟、aclove、麒麟信安-石勇、麒麟信安-唐杰、SUSE-魏强、SUSE-Geliang Tang、yang_suse、安势刁向刚、yhx、Kai Li,投票结果为21票全票通过,在下次TC例会上进行汇报,并由杨聪建立issue,如果大家由任何建议或补充内容可在issue下回答:https://gitee.com/openeuler/compliance/issues/I4FTE3?from=project-issue

4 下游OSV厂商以openEuler为上游供应链时,引入第三方软件到openEuler社区时license合规相关问题咨询讨论

a、license名称错误:目前的门禁检查工具是黑白名单匹配,建议使用统一的SPDX标准格式的名称,待新的合规风险识别系统上线后,会去校验license名称是否正确

b、license附加条款:合规SIG正在开发优化license文本对比工具,希望通过工具将其变种license的差异内容呈现出来,针对差异的条款内容进行解读

c、license兼容性问题:可以通过此链接查询许可证兼容矩阵:https://www.osadl.org/fileadmin/checklists/matrix.html ,对于不兼容的许可证,建议选型时考虑是否有可替换的软件;另外,可以分析两个license不兼容的条款,是否能通过隔离或其它技术手段做到license不冲突

遗留问题

1 对openEuler现有仓库license情况的完整梳理摸底 责任人:许渊聪 & 郑志鹏 完成时间:11.11

在 2021/10/26 下午6:57, openEuler conference 写道:

您好!

openEuler sig-compliance SIG 邀请您参加 2021-10-28 10:00 召开的ZOOM会议(自动录制)

会议主题:sig-compliance双周例会

会议内容:欢迎大家积极申报议题

会议链接:https://us06web.zoom.us/j/87579402658?pwd=VzI1WGFWVmpSam5Wb21TR0FNS0tPdz09

温馨提醒:建议接入会议后修改参会人的姓名,也可以使用您在gitee.com的ID

更多资讯尽在:https://openeuler.org/zh/



Hello!

openEuler sig-compliance SIG invites you to attend the ZOOM conference(auto recording) will be held at 2021-10-28 10:00,

The subject of the conference is sig-compliance双周例会,

Summary: 欢迎大家积极申报议题

You can join the meeting at https://us06web.zoom.us/j/87579402658?pwd=VzI1WGFWVmpSam5Wb21TR0FNS0tPdz09.

Note: You are advised to change the participant name after joining the conference or use your ID at gitee.com.

More information


_______________________________________________
Dev mailing list -- dev@openeuler.org
To unsubscribe send an email to dev-leave@openeuler.org