受訪者:openEuler 合規 SIG 高琨
自 2019 年 12 月 31 日開放原始碼以來,openEuler 通過開放治理、吸引大量的合作伙伴,逐漸打造成為國內最具活力的開源社群。作為一個全球化的伺服器作業系統開源社群,openEuler 自開源以來,一直致力於推動軟硬體應用生態的繁榮發展,而合規SIG的目標專注於合規相關領域的研究,將研究結果通過標準、流程、工具等形式提供給社群進行開源合規管理的支援,通過提升社群合規的軟體工程能力,促進社群健康發展。
近期,本站編輯部就非常有幸邀請到了 openEuler 合規 SIG 的創始人高琨,共同就 openEuler 的創辦及開源合規發展與實踐等相關話題進行探討。
“立根鑄魂”:打造國內數字基礎設施作業系統生態底座
眾所周知,長期以來,伺服器作業系統市場一直都被國外廠商所“壟斷”。回看我國軟體作業系統發展史,就會發現,以前我們的 IT 作業系統底座,幾乎也都採用的美國軟體,特別是 RedHat。
好在,如今科技創新技術的大趨勢下,我國創新者終於迎來了彎道超車的機會。在這一點上,作為開源軟體專家的高琨,則深有體會。
“openEuler 的出現,讓國內開發者意識到,不用再去 follow 美國的那些軟體的技術設施,而是自己去上游社群探索創新。”
在高琨看來,以往合規工作都是由美國企業在社群完成後我們國內企業直接拿來用的。所以當國內企業自己走這條路的時候,這其中的大量工作都需要自己去做,而這些正是 openEuler 成立合規 SIG 的原因。
真正讓 openEuler “脫穎而出”,讓高琨在此構建能力的最關鍵的因素,就是其專案的複雜性。高琨介紹稱,openEuler 社群匯聚了數千款上游元件,存在使用方式、構建及依賴關係等複雜情況。
openEuler 在開源後便得到了大量響應,特別對於合規意識不是很強的下游合作伙伴們來說,積極歡迎他們的加入可以為社群發展帶來更多活力,同時也讓合作伙伴更有合規意識,這也是為什麼 OSCAR 大會專門設立產業風險治理專場的原因。有了合規和安全意識之後,大家才會一致明確目標共同發展。
而這也是為什麼有不少同樣成立合規及SIG主業的其他專案,但業內依然選擇openEuler 的原因,也是高琨以及合作伙伴們堅持 openEuler 的原因。
高琨介紹稱,目前 openEuler 整個組織都是公開透明的,包括所有例會過程、會議紀要以及程式碼託管平臺的操作都是完全公開可追溯的。同時,社群還鼓勵中英文雙語交流,儘管目前多是國內合作伙伴及個人開發者參與,但相信未來一定能成長為國際化的知名社群,因此也歡迎更多海外夥伴加入。
合規 SIG 組於 2021 年 1 月份成立,不到 1 年的時間已經舉行了多次 Meetup,如去年 3 月、5 月、7 月以及 8 月份分別在上海、北京、深圳、長沙等地線下 Meetup,每次 SIG 組的工作會議都會有大連理工大學、安勢科技、麒麟、統信、麒麟信安、潤和、普華、華為、中科院等企業參與,每次例會都有近 20 個行業內人士參加,同時華為也在大連理工軟體學院等組織進行深度研究合作,和安勢科技等公司共建工具服務,慢慢建立起來合規能力。
高琨表示,正如上次的 OSCAR 大會就是一個好的契機,我們已經看到了由信通院牽頭,包括華為、位元組跳動、百度以及供應商和律師事務所等企業也參與了進來,共同為國內開源合規生態穩步發展貢獻力量,這也是 openEuler 社群為實現我國打造“科技強國”方面的踐行。
工具打造:傳揚中國古典文化 構建合規工具鏈
隨著軟體變得越來越大、越來越複雜,軟體供應鏈也變得愈加龐大和複雜。如果龐大、複雜的軟體供應鏈中任何成員不能遵守許可證義務或不能提供適當的許可證資訊,則將對有義務遵守許可證的供應商造成重大影響。
對於這些問題,合規 SIG 在致力打造一套端到端完整的開源合規工具鏈。規劃併發布一系列合規工具,面向開發者提供一系列合規檢查服務。目前可通過工具提供專案的 license 文字掃描“張飛”、license 資訊的 SPDX 標準對比“周瑜”、程式碼血緣分析與審計“華佗”、合規風險看板“諸葛亮”等一系列服務,並通過合規資訊門戶“貂蟬”承載這些服務。以三國相關人物典故命名服務工具,同時傳揚中國古典文化。
加入 OpenChain:助力生態 共同創新發展
前不久,華為以白金會員身份加入了 OpenChain 專案的訊息引發業內關注。對此,高琨也專門就本站關心的話題做了解答。
據高琨介紹,OpenChain 專案是對開源license的解讀,包括規則、企業制定流程等一整套體系。眾所周知,license 是一個法律條文,但其實是可以標準化的,這也正是 openEuler 合規 SIG 所做的事情之一——幫助更多企業理解開源合規,有意識的遵從 license。
前幾年,OpenChain 專案攜手全球20個企業共同制定了“OpenChain ISO 5230”國際標準。華為作為新加入該組織的白金會員,也是因為此前已經學習過相關組織標準。如今華為更多的為帶動整個上下游/供應鏈共同將整個國內開源生態發展壯大。高琨表示很高興已經有至少 5 個知名企業的 OSPO 負責人聯絡到他,諮詢如何加入該組織,相信很快就有大批中國公司加入,踐行整個供應鏈合規實踐。
以上就是華為加入 OpenChain 專案的初衷,高琨也期待所有國內企業乃至全世界企業都認同這個標準,在統一標準的前提下,共同創新發展。
攜手信通院:發力可信開源 賦能生態治理
與此同時,華為也在開源風險和開源治理方面與信通院有所合作。高琨介紹稱,自己最早在 2020 年就與信通院展開了可信開源相關研究的合作。最初的時候,業內社群還並未有人提“可信”一詞。而所謂“開源社群的可信”,就是要做到安全、合規,開源社群所有動作都必須是公開、透明的。
而以上這些,正是華為認為的可信開源社群的核心特徵。基於這些特徵,通過對大量優秀專案的洞察(如 Fedora、Ubuntu、TF 等),發現優秀社群在治理運營展示出多樣性、包容性的特徵。基於這些特徵的提煉,信通院在去年 5 月 26 號釋出了《可信開源框架白皮書》的標準。
此外,華為與信通院還合作了安全治理、開源生態相關的白皮書,圍繞與新工業 4~5 個標準和白皮書的深度合作,主要與信通院雲大所合作釋出,其中有關作業系統內容的白皮書就是與 openEuler 共同參與完成的。
在剛剛過去的 2021 開源產業大會開源風險管理分論壇上,作為開源專家的高琨也是深度參與其中,作為開源風險治理專場的出品人,以此來幫助更多企業更好的提升治理能力,為國內開源生態健康發展賦能。
在剛過去的一年中,華為在開源社群逐步構建合規功能的服務能力,同時,更期待在未來,有更多的開源愛好者加入到合規工具、法規的構建中,通過提供端到端的合規工具鏈和管理體系,建立完善的合規技術生態,為國內開源健康發展提供堅實支撐。