心寄源 | 2022第五期“心寄源”开源法律沙龙成功召开
2022第五期“心寄源”开源法律沙龙以线上视频会议形式成功召开,受到与会嘉宾的大力支持和一致好评。本期沙龙邀请了新思科技(Synopsys)软件质量与安全部门(Software Integrity Group)Black Duck审计团队的总经理Phil Odence先生,围绕“企业的开源合规挑战——以及如何应对(Open Source Challenges for Clients ...and how to manage)”主题进行深度剖析,与会嘉宾交流探讨。
【本期沙龙主题及嘉宾】
沙龙主题:企业的开源合规挑战——以及如何应对(Open Source Challenges for Clients...and how to manage )
演讲嘉宾:
Phil Odence
Phil Odence先生是新思科技(Synopsys)软件质量与安全部门(Software Integrity Group) Black Duck审计服务的总经理,为并购交易(M&A)双方公司的软件组成、安全性和质量进行审计。他专注于软件尽职调查(Due Diligence)的最佳实践和并购交易(M&A)的研究。他还与各公司的律师事务所和开源社区密切协作,并经常发表关于开源管理和并购(M&A)方面的演讲。Phil还担任Linux基金会的Software Package Data Exchange(SPDX)工作组的主席,该工作组为软件物料清单(SBOMs)创建了一个ISO标准。
凭借数十年的软件行业经验,Phil曾在Hammer/Empirix公司和计算机模拟建模领域的初创企业High Performance Systems (HPSI)公司担任高级管理职位。在泰瑞达(Teradyne)公司的电子设计和测试自动化(EDA)软件部门开启了他的市场营销和销售的职业生涯。他还写过一本关于飞蝇钓法的书。Phil拥有达特茅斯学院(Dartmouth College)的工程学文学士学位(AB)和工程学理学硕士学位(MS)。
【本期沙龙要点】
Phil Odence先生从四个部分进行了深入浅出的讲解:
(一)开源的兴起和挑战(The Rise and Challenges of Open Source);
(二)什么是开源代码(What is Open Source Code);
(三)使用开源代码的风险(Risks of Using Open Source Code);
(四)帮助客户进行应对/新思科技的工作(Helping Clients Manage/Working with Synopsys)。
第一部分,Phil Odence先生介绍了时代背景下开源的兴起,并分析了全球开源项目数量迅猛增长的趋势以及面临的挑战,开源项目数量从2009年的二十万左右一路攀升至2021年的四百五十万左右,现在几乎所有的组织都在使用开源软件的组件,但是很多人在使用开源代码前并没有进行检查,由此会面临安全风险、法律风险、实践操作因素等方面的挑战。
第二部分,Phil Odence先生深入讲解了什么是开源软件(OSS),并介绍了宽松型(Permissive/Attribution- style)和著佐权型(Copyleft/Reciprocal)两大类开源许可证,分别举例介绍了MIT许可证和GPL v.2许可证,并对全球主要开源许可证所占的份额进行了分析,以及一些特殊的比较有意思的许可证,比如Chicken Dance许可证、JSON许可证等等。
第三部分,Phil Odence先生以CISCO为例,分析了使用开源代码所带来的风险,并从网络安全漏洞风险、法律风险等方面进行了深入分析。
第四部分,Phil Odence先生详细讲解了如何帮助客户管理开源软件的使用、如何防范开源合规风险,从合规体系的角度出发,企业在使用开源软件时应当有对应的战略(使用开源软件的商业目标)、政策(使用规则)、流程(如何管理)、技术(自治和合规)。
现如今越来越多的科技类并购尽职调查中都涉及了开源软件的管理,Phil Odence先生介绍了SBOMs(Software Bill of Materials),指出软件和硬件一样,均有供应链,同时也存在很多风险。同时,Phil Odence先生分享了开源软件的扫描工具,以及Black Duck开源审计团队可以提供专业工具外,还可以提供人工审计和相应的流程,并提供了一些学习开源合规的路径,例如:
Legal webinar series on BrightTALK
https://www.brighttalk.com/channel/13983/
Open Hub free project directory
Blog posts tagged “legal”
https://www.synopsys.com/blogs/software-security/category/legal
https://www.synopsys.com/software-integrity/resources/white-papers/legal- resources.html
Black Duck Legal Specialist Certification Course
https://www.synopsys.com/software-integrity/open-source-software-audit/legal- certification.html
Phil Odence先生主题演讲后,与会嘉宾向Phil Odence先生提问并讨论了开源合规风险、相关审计服务、代码检测工具等问题,新思科技(Synopsys)软件质量与安全部门(Software Integrity Group)亚太区大客户技术经理高扬先生进行了翻译和补充回答。本期沙龙为大家在开源相关法律工作上带来了很多启示,取得了预期的效果,得到了与会嘉宾的大力支持和一致好评。
在此衷心感谢各位嘉宾及社会公众对基金会及本沙龙的关注和支持!有任何建议、意见或参与意愿,欢迎随时与我们交流(legal@openatom.org)。
心寄源、法同行,让我们群策群力共建“心寄源”,携手开启开源法律相关人才交流的新纪元!
沙龙宗旨
“心寄源”开源法律沙龙旨在搭建一个开放透明、交流共享的平台,开启开源法律相关人才交流的新纪元;同时进一步推广开源文化,吸引更多人才加入到开源法律行业中。
沙龙召开方式和时间
圆桌讨论、专题演讲或二者结合
通常在每个月最后一个周五的下午
沙龙特色
专注开源法律事业的公益平台
开放透明、交流共享
专业人士间定期沟通、分享经验教训、携手共同成长
群策群力、积累知识、产出成果、推广公益
声明:沙龙嘉宾的发言仅代表个人观点,除非特殊说明不代表其所在单位的观点或开放原子开源基金会的观点。