11月11日在出差路上，申请主持下次例会。

石勇 研发二部/研发工程师 湖南麒麟公司 手机：135-2112-9707 座机：0731-88283301-331 湖南总部：长沙市岳麓区麒云路20号麒麟科技园 北京营销中心：北京市海淀区蓝靛厂南路25号牛顿办公区601 网址：www.kylinos.com.cn 全国服务热线：400-625-6606

发件人： smartsyoung 发送时间： 2021-11-04 21:31 收件人： dev; tc 主题： [Dev] Re: [会议纪要] sig-compliance双周例会 SIG-compliance双周例会 ： 时间：2021年10月28日 10:00-12:00 会议主持人：马全一 与会者（请与会者在下面添加您的姓名）：马全一、郑志鹏、杨聪、陈一雄、芶新易、崔伟宁、许渊聪、李玉琪、马凯、Chenxi Mao、MeterCai、温志伟、aclove、唐杰、魏强、Geliang Tang、yang_suse、刁向刚、yhx、Kai Li 、石勇 下次例会时间：2021年11月11日 10:00-12:00 下次例会主持人：石勇 议题申报： 1 社区引入软件包license变更进行预警的需求分析方案讨论 分享人：许渊聪 2 license风险识别系统告警分级 分享人：杨聪 3 下游OSV厂商以openEuler为上游供应链时，应该怎么做到合规使用openEuler所提供的软件包 分享人：石勇 会议纪要： 1.社区引入软件包license变更进行预警的需求分析方案讨论 方案分成3步 a.openEuler现有仓库license情况的完整梳理摸底： openEuler社区现有的第三方软件梳理----->对应的上游仓库地址------->上游仓库的license清单----->上游仓库的license及其文本内容与openEuler仓库进行对比。 b.openEule门禁系统中加入上游社区开源软件license变更的告警功能：对openEuler引入的开源软件license发生变更的仓库提供警告 c.洞察上游社区license变更线索，提供license变更预警功能：监控上游发布新闻(提前识别许可证可能存在的变更风险，对于有过许可证变更的组件，提供变更记录用于选型时的分析 目前先对openEuler现有仓库license情况进行摸底，待摸底完成后，再考虑下一步的计划。 2.合规风险识别系统引入openEuler社区 openEuler社区现在提供的license门禁检查工具扫描项目的spec文件，解析出spec中的license字段信息，再判断license是否在自定义的白名单或黑名单中；合规SIG想基于现有的工具能力增强开源项目合规的检查能力，通过扫描repo或者PR的文本文件以及源码文件中的注释内容，提取出repo或者PR中的license和copyright信息，对提取内容进行分析，提供可视化的报告，并对扫描结果进行提示/告警分级。 主要分为以下四类提示/告警： Fatal：黑名单（社区现在提供的license检查工具的黑名单） Primary Warning： 源文件缺失copyright Secondary Warning：a、copyright不规范；b、源文件缺少license Info: a、license&copyright 清单列表；b、license权利、义务、限制条件标签展示；c、license是否通过OSI/FSF认证；d、忽略的扫描文件 各类提示/告警的内容会随着合规工具的开发逐步进行完善。 3.会上一致通过合规风险识别系统引入openEuler社区替换现有的门禁license检查系统，参与投票的有华为-马全一、华为-郑志鹏、华为-杨聪、华为-陈一雄、华为-芶新易、华为-崔伟宁、安势信息-许渊聪、安势信息-李玉琪、马凯、SUSE-Chenxi Mao、MeterCai、麒麟软件-温志伟、aclove、麒麟信安-石勇、麒麟信安-唐杰、SUSE-魏强、SUSE-Geliang Tang、yang_suse、安势刁向刚、yhx、Kai Li，投票结果为21票全票通过，在下次TC例会上进行汇报，并由杨聪建立issue，如果大家由任何建议或补充内容可在issue下回答：https://gitee.com/openeuler/compliance/issues/I4FTE3?from=project-issue 4 下游OSV厂商以openEuler为上游供应链时，引入第三方软件到openEuler社区时license合规相关问题咨询讨论 a、license名称错误：目前的门禁检查工具是黑白名单匹配，建议使用统一的SPDX标准格式的名称，待新的合规风险识别系统上线后，会去校验license名称是否正确 b、license附加条款：合规SIG正在开发优化license文本对比工具，希望通过工具将其变种license的差异内容呈现出来，针对差异的条款内容进行解读 c、license兼容性问题：可以通过此链接查询许可证兼容矩阵：https://www.osadl.org/fileadmin/checklists/matrix.html ，对于不兼容的许可证，建议选型时考虑是否有可替换的软件；另外，可以分析两个license不兼容的条款，是否能通过隔离或其它技术手段做到license不冲突 遗留问题： 1 对openEuler现有仓库license情况的完整梳理摸底 责任人：许渊聪 & 郑志鹏 完成时间：11.11 在 2021/10/26 下午6:57, openEuler conference 写道: 您好！ openEuler sig-compliance SIG 邀请您参加 2021-10-28 10:00 召开的ZOOM会议(自动录制) 会议主题：sig-compliance双周例会 会议内容：欢迎大家积极申报议题 会议链接：https://us06web.zoom.us/j/87579402658?pwd=VzI1WGFWVmpSam5Wb21TR0FNS0tPdz09 温馨提醒：建议接入会议后修改参会人的姓名，也可以使用您在gitee.com的ID 更多资讯尽在：https://openeuler.org/zh/

Hello! openEuler sig-compliance SIG invites you to attend the ZOOM conference(auto recording) will be held at 2021-10-28 10:00, The subject of the conference is sig-compliance双周例会, Summary: 欢迎大家积极申报议题 You can join the meeting at https://us06web.zoom.us/j/87579402658?pwd=VzI1WGFWVmpSam5Wb21TR0FNS0tPdz09. Note: You are advised to change the participant name after joining the conference or use your ID at gitee.com. More information

_______________________________________________ Dev mailing list -- dev@openeuler.org To unsubscribe send an email to dev-leave@openeuler.org