开源合规性
商业环境变化: 传统上,企业平台和软件堆栈使用专有软件,但随着开源软件的优势,企业开始将其纳入平台和软件堆栈。这种新的多源开发模式带来了诸多好处,如开箱即用的功能、经济优势、更快的上市时间和定制源代码的能力。然而,这也带来了新的挑战,企业必须了解和管理来自数百甚至数千个授权方的数十种不同许可证的风险。
开源合规性介绍: 开源合规性是指用户、集成商和开源软件的开发人员遵守版权声明并满足使用开源软件产生的许可义务的过程。一个设计良好的开源合规计划应同时确保遵守开源许可证的条款,并帮助公司保护其自身的知识产权和第三方供应商的知识产权免受意外披露或其他后果。
开源合规性的好处: 维护开源合规性计划的公司通常可以获得技术优势,因为合规的软件组合更容易进行服务、测试、升级和维护。合规活动还可以帮助识别跨多个产品和组织部分使用的开源组件,这些组件对组织可能具有战略意义和益处。此外,合规计划在与外部社区合作时也能带来巨大的好处。
未能遵守的开源合规性: 未能遵守开源许可义务会导致知识产权失败、许可证合规问题以及流程失败。知识产权失败通常涉及将源代码混用,导致许可证合规问题,例如被迫以开源许可证发布专有源代码。流程失败则会导致无法满足开源许可证条款规定的义务。
经验教训: 确保在产品发货/服务启动之前进行合规性检查,因为未能遵守的开源合规性成本很高。与开源社区建立良好的关系非常重要,培训也是至关重要的。
建立开源管理计划: 开源管理计划为开源软件的各个方面(包括选择、批准、使用、分发、审计、库存、培训、社区参与和公共沟通)提供了结构。开源合规计划的核心要素包括策略、政策与流程、团队、工具、教育、自动化、沟通和参与相关行业计划。
合规挑战与解决方案: 建立合规计划的主要挑战是在满足产品发货和启动服务的截止日期的同时,平衡合规计划及其支持基础设施。解决方案包括高管支持、轻量级政策和流程、强制基本规则、将合规性纳入开发流程、长期目标与短期执行、沟通合规性、建立合规软件基线、维护合规性、制度化与可持续性。
合规流程: 有效的合规性需要尽职调查,以确保开源软件已识别、审查和批准,产品实现仅包含批准的开源组件和许可证,已识别所有与使用许可材料相关的义务,并在文档中提供适当的通知,包括归属和版权通知,并在产品发货时提供源代码(如果适用)。
合规流程和策略: 开源合规性政策是一组管理开源软件(包括使用和贡献)的规则。流程是详细说明公司如何日常实施这些规则的规范。合规策略驱动基于业务的共识,确定政策和流程实施的主要方面。
角色和职责: 确保开源合规性的核心团队通常称为开源审查委员会 (OSRB),由法律、工程和产品团队的代表以及合规官组成。扩展团队由来自多个部门的个人组成,他们持续为合规工作做出贡献,例如文档、供应链、企业开发、IT、本地化和开源执行委员会 (OSEC)。
管理合规性查询: 公司应制定流程来处理对其合规工作的挑战,承认收到查询,告知查询者他们将在调查结果出来之前进行调查,并提供一个合理的后续日期。
其他合规相关实践: 员工评估、网络门户、沟通、培训和源代码修改考虑因素都是重要的合规相关实践。公司应制定内部政策,要求员工在将开源软件纳入商业软件组合之前获得批准,并确保所有软件组件都经过审计和审查,以履行许可证义务。
开源许可证的特定义务: 许可证义务可能包括在文档中提供许可证副本、提供版权和归属通知以及提供源代码。公司必须履行这些义务,以避免法律诉讼和声誉损害。
扩展开源法律支持: 开源合规通常更多地是一种运营和后勤挑战,而不是法律挑战。然而,法律顾问在支持开源合规计划和核心团队中发挥着不可或缺的作用。法律顾问可以提供许可证剧本、许可证兼容性矩阵、许可证分类、软件交互方法指南和清单等实用建议。
开源审计在并购交易中: 在并购交易中,开源审计对于了解开源软件的使用深度和依赖关系至关重要。开源审计可以提供有关任何合规问题的见解,甚至可以了解目标公司的工程实践。公司应进行开源审计,以了解开源软件的使用情况,并评估与收购相关的潜在知识产权风险。
结论: 开源合规性是一个持续的过程,不是终点。维护良好的开源合规实践使公司能够为任何软件变更做好准备,无论是可能的收购、出售还是产品或服务发布。因此,公司被高度鼓励投资建立和改进其开源合规计划。
