时间:2021年10月28日 10:00-12:00
会议主持人:马全一
与会者(请与会者在下面添加您的姓名):马全一、郑志鹏、杨聪、陈一雄、芶新易、崔伟宁、许渊聪、李玉琪、马凯、Chenxi Mao、MeterCai、温志伟、aclove、唐杰、魏强、Geliang Tang、yang_suse、刁向刚、yhx、Kai Li 、石勇
下次例会时间:2021年11月11日 10:00-12:00
下次例会主持人:石勇
议题申报:
1 社区引入软件包license变更进行预警的需求分析方案讨论 分享人:许渊聪
2 license风险识别系统告警分级 分享人:杨聪
3 下游OSV厂商以openEuler为上游供应链时,应该怎么做到合规使用openEuler所提供的软件包 分享人:石勇
会议纪要:
1.社区引入软件包license变更进行预警的需求分析方案讨论
方案分成3步
a.openEuler现有仓库license情况的完整梳理摸底: openEuler社区现有的第三方软件梳理----->对应的上游仓库地址------->上游仓库的license清单----->上游仓库的license及其文本内容与openEuler仓库进行对比。
b.openEule门禁系统中加入上游社区开源软件license变更的告警功能:对openEuler引入的开源软件license发生变更的仓库提供警告
c.洞察上游社区license变更线索,提供license变更预警功能:监控上游发布新闻(提前识别许可证可能存在的变更风险,对于有过许可证变更的组件,提供变更记录用于选型时的分析
目前先对openEuler现有仓库license情况进行摸底,待摸底完成后,再考虑下一步的计划。
2.合规风险识别系统引入openEuler社区
openEuler社区现在提供的license门禁检查工具扫描项目的spec文件,解析出spec中的license字段信息,再判断license是否在自定义的白名单或黑名单中;合规SIG想基于现有的工具能力增强开源项目合规的检查能力,通过扫描repo或者PR的文本文件以及源码文件中的注释内容,提取出repo或者PR中的license和copyright信息,对提取内容进行分析,提供可视化的报告,并对扫描结果进行提示/告警分级。主要分为以下四类提示/告警:
Fatal:黑名单(社区现在提供的license检查工具的黑名单)
Primary Warning: 源文件缺失copyright
Secondary Warning:a、copyright不规范;b、源文件缺少license
Info: a、license©right 清单列表;b、license权利、义务、限制条件标签展示;c、license是否通过OSI/FSF认证;d、忽略的扫描文件
各类提示/告警的内容会随着合规工具的开发逐步进行完善。
,参与投票的有华为-马全一、华为-郑志鹏、华为-杨聪、华为-陈一雄、华为-芶新易、华为-崔伟宁、安势信息-许渊聪、安势信息-李玉琪、马凯、SUSE-Chenxi Mao、MeterCai、麒麟软件-温志伟、aclove、麒麟信安-石勇、麒麟信安-唐杰、SUSE-魏强、SUSE-Geliang Tang、yang_suse、安势刁向刚、yhx、Kai Li,投票结果为21票全票通过,在下次TC例会上进行汇报,并由杨聪建立issue,如果大家由任何建议或补充内容可在issue下回答:https://gitee.com/openeuler/compliance/issues/I4FTE3?from=project-issue
4 下游OSV厂商以openEuler为上游供应链时,引入第三方软件到openEuler社区时license合规相关问题咨询讨论
a、license名称错误:目前的门禁检查工具是黑白名单匹配,建议使用统一的SPDX标准格式的名称,待新的合规风险识别系统上线后,会去校验license名称是否正确
b、license附加条款:合规SIG正在开发优化license文本对比工具,希望通过工具将其变种license的差异内容呈现出来,针对差异的条款内容进行解读
c、license兼容性问题:可以通过此链接查询许可证兼容矩阵:https://www.osadl.org/fileadmin/checklists/matrix.html ,对于不兼容的许可证,建议选型时考虑是否有可替换的软件;另外,可以分析两个license不兼容的条款,是否能通过隔离或其它技术手段做到license不冲突
遗留问题:
t4 您好!
openEuler sig-compliance SIG 邀请您参加 2021-10-28 10:00 召开的ZOOM会议(自动录制)
会议主题:sig-compliance双周例会
会议内容:欢迎大家积极申报议题会议链接:https://us06web.zoom.us/j/87579402658?pwd=VzI1WGFWVmpSam5Wb21TR0FNS0tPdz09
温馨提醒:建议接入会议后修改参会人的姓名,也可以使用您在gitee.com的ID
更多资讯尽在:https://openeuler.org/zh/
Hello!
openEuler sig-compliance SIG invites you to attend the ZOOM conference(auto recording) will be held at 2021-10-28 10:00,
The subject of the conference is sig-compliance双周例会,
Summary: 欢迎大家积极申报议题You can join the meeting at https://us06web.zoom.us/j/87579402658?pwd=VzI1WGFWVmpSam5Wb21TR0FNS0tPdz09.
Note: You are advised to change the participant name after joining the conference or use your ID at gitee.com.
_______________________________________________ Dev mailing list -- dev@openeuler.org To unsubscribe send an email to dev-leave@openeuler.org