近年来,因开源软件商业模式逐渐成熟,越来越多的厂商意识到开源license可用来达到商业目的,诸如Redis/Elasticsearch/mongodb等开源软件将license由商业友好的Apache/BSD等修改为限制云服务场景的SSPL。此举使得云服务厂商使用该类软件受到限制,甚至需要寻找替代。
1、对上游社区license变更线索进行洞察,提前识别可能存在的变更风险,有变更风险的软件包在选型时要进行备选分析。
2、准确识别上游社区开源软件新旧版本license名称及文本变更,对于整体变更的应给与预警,对于变更后不在允许清单内的要禁止引入。
3、对于文本发生变更的要触发license法务审核,由sig组评审是否可以引入。
4、以上能力需要落入流程和工具。
Hey clement_li, Welcome to openEuler Community.
All of the projects in openEuler Community are maintained by @openeuler-ci-bot.
That means the developers can comment below every pull request or issue to trigger Bot Commands.
Please follow instructions at https://gitee.com/openeuler/community/blob/master/en/sig-infrastructure/command.md to find the details.
此处可能存在不合适展示的内容,页面不予展示。您可通过相关编辑功能自查并修改。
如您确认内容无涉及 不当用语 / 纯广告导流 / 暴力 / 低俗色情 / 侵权 / 盗版 / 虚假 / 无价值内容或违法国家有关法律法规的内容,可点击提交进行申诉,我们将尽快为您处理。
当前CI是在入库的过程中做的检视。
所以我理解这个问题的关键是要不要预警。
从结果倒推的话,我觉得不需要预警。
当前CI是在入库的过程中做的检视。
所以我理解这个问题的关键是要不要预警。
从结果倒推的话,我觉得不需要预警。
我觉得有其必要性。
社区在变更license前是有预兆的,例如elasticsearch 在2019年就曾因和AWS的商标纠纷中讨论过修改license,Redis Lab早在2018年就在社区讨论过修改license的话题,2019年才完成Redis Module license变更。但当两款软件license真正变更时,因为没有防备导致很多厂商(包括huawei)需要在短时间内寻找替代。
这些变更讨论在上游社区都是有记录可循的,如果可以提前预警,在选型时我们就可以做好替代准备,而不是等变更了我们一拒了之,把选型成本带给下游厂商。
增加对上游开源社区进行洞察的需求,如果一旦发现社区有变更license的风险,在软件包选型时启动备选分析,寻找替代。
感谢shinwell_hu和Clement Li的评论和建议。
我们目前计划是分两步走,一是统计openEuler现有三方组件的license信息,如果同一款软件引入新的版本后license变更,进行预警;
二通过工具去关注社区软件license变更,提前进行预警,在软件包选型时启动备选分析,寻找替代。
改需求已纳入社区SBOM计划继续跟踪,该需求合并入,某开源组件的SBOM树信息,发生变化后,我们能按变化的重要等级,想开发者展示变化。
登录 后才可以发表评论