openEuler高琨：积极推动开源合规 助力供应链安全

受访者：openEuler 合规SIG高琨  

访谈者：马玮，SegmentFault 思否技术编辑

自2019年12月31日开放源代码以来，openEuler通过开放治理、吸引大量的合作伙伴，逐渐打造成为国内最具活力的开源社区。作为一个全球化的服务器操作系统开源社区，openEuler自开源以来，一直致力于推动软硬件应用生态的繁荣发展，而合规SIG的目标专注于合规相关领域的研究，将研究结果通过标准、流程、工具等形式提供给社区进行开源合规管理的支持，通过提升社区合规的软件工程能力，促进社区健康发展。

近期，本站编辑部就非常有幸邀请到了openEuler合规SIG的创始人高琨，共同就openEuler的创办及开源合规发展与实践等相关话题进行探讨。

众所周知，长期以来，服务器操作系统市场一直都被国外厂商所“垄断”。回看我国软件操作系统发展史，就会发现，以前我们的 IT 操作系统底座，几乎也都采用的美国软件，特别是RedHat。

好在，如今科技创新技术的大趋势下，我国创新者终于迎来了弯道超车的机会。在这一点上，作为开源软件专家的高琨，则深有体会。

“openEuler的出现，让国内开发者意识到，不用再去follow美国的那些软件的技术设施，而是自己去上游社区探索创新。”

在高琨看来，以往合规工作都是由美国企业在社区完成后我们国内企业直接拿来用的。所以当国内企业自己走这条路的时候，这其中的大量工作都需要自己去做，而这些正是 openEuler成立合规SIG的原因。

真正让openEuler“脱颖而出”，让高琨在此构建能力的最关键的因素，就是其项目的复杂性。高琨介绍称，openEuler社区汇聚了数千款上游组件，存在使用方式、构建及依赖关系等复杂情况。

openEuler在开源后便得到了大量响应，特别对于合规意识不是很强的下游合作伙伴们来说，积极欢迎他们的加入可以为社区发展带来更多活力，同时也让合作伙伴更有合规意识，这也是为什么OSCAR大会专门设立产业风险治理专场的原因。有了合规和安全意识之后，大家才会一致明确目标共同发展。

而这也是为什么有不少同样成立合规及SIG主业的其他项目，但业内依然选择openEuler的原因，也是高琨以及合作伙伴们坚持openEuler的原因。

高琨介绍称，目前openEuler整个组织都是公开透明的，包括所有例会过程、会议纪要以及代码托管平台的操作都是完全公开可追溯的。同时，社区还鼓励中英文双语交流，尽管目前多是国内合作伙伴及个人开发者参与，但相信未来一定能成长为国际化的知名社区，因此也欢迎更多海外伙伴加入。

合规SIG组于21年1月份成立，即将一年，但已经举行了多次Meetup，此前如3月、5月、7月以及8月份分别在上海、北京、深圳、长沙等地线下Meetup，每次SIG组的工作会议都会有大连理工大学、安势科技、麒麟、统信、麒麟信安、润和、普华、华为、中科院等企业参与，每次例会都有近20个行业内人士参加，同时华为也在大连理工软件学院等组织进行深度研究合作，和安势科技等公司共建工具服务，慢慢建立起来合规能力。

高琨表示，正如上次的OSCAR大会就是一个好的契机，我们已经看到了由信通院牵头，包括华为、字节跳动、百度以及供应商和律师事务所等企业也参与了进来，共同为国内开源合规生态稳步发展贡献力量，这也是openEuler社区为实现我国打造“科技强国”方面的践行。

随着软件变得越来越大、越来越复杂，软件供应链也变得愈加庞大和复杂。如果庞大、复杂的软件供应链中任何成员不能遵守许可证义务或不能提供适当的许可证信息，则将对有义务遵守许可证的供应商造成重大影响。

对于这些问题，合规SIG在致力打造一套端到端完整的开源合规工具链。规划并发布一系列合规工具，面向开发者提供一系列合规检查服务。目前可通过工具提供项目的license文本扫描“张飞”、license信息的SPDX标准对比“周瑜”、代码血缘分析与审计“华佗”、合规风险看板“诸葛亮”等一系列服务，并通过合规信息门户“貂蝉”承载这些服务。以三国相关人物典故命名服务工具，同时传扬中国古典文化。

前不久，华为以白金会员身份加入了OpenChain项目的消息引发业内关注。对此，高琨也专门就本站关心的话题做了解答。

据高琨介绍，OpenChain项目是对开源license的解读，包括规则、企业制定流程等一整套体系。众所周知，license是一个法律条文，但其实是可以标准化的，这也正是openEuler合规SIG所做的事情之一——帮助更多企业理解开源合规，有意识的遵从license。

前几年，OpenChain项目携手全球20个企业共同制定了“OpenChain ISO 5230”国际标准。华为作为新加入该组织的白金会员，也是因为此前已经学习过相关组织标准。如今华为更多的为带动整个上下游/供应链共同将整个国内开源生态发展壮大。高琨表示很高兴已经有至少5个知名企业的OSPO负责人联系到他，咨询如何加入该组织，相信很快就有大批中国公司加入，践行整个供应链合规实践。

以上就是华为加入OpenChain项目的初衷，高琨也期待所有国内企业乃至全世界企业都认同这个标准，在统一标准的前提下，共同创新发展。

与此同时，华为也在开源风险和开源治理方面与信通院有所合作。高琨介绍称，自己最早在2020年就与信通院展开了可信开源相关研究的合作。最初的时候，业内社区还并未有人提“可信”一词。而所谓“开源社区的可信”，就是要做到安全、合规，开源社区所有动作都必须是公开、透明的。

而以上这些，正是华为认为的可信开源社区的核心特征。基于这些特征，通过对大量优秀项目的洞察（如Fedora、Ubuntu、TF等），发现优秀社区在治理运营展示出多样性、包容性的特征。基于这些特征的提炼，信通院在5月26号发布了《可信开源框架白皮书》的标准。

此外，华为与信通院还合作了安全治理、开源生态相关的白皮书，围绕与新工业4~5个标准和白皮书的深度合作，主要与信通院云大所合作发布，其中有关操作系统内容的白皮书就是与openEuler共同参与完成的。

在刚刚过去的2021开源产业大会开源风险管理分论坛上，作为开源专家的高琨也是深度参其中，作为开源风险治理专场的出品人，以此来帮助更多企业更好的提升治理能力，为国内开源生态健康发展赋能。

在刚过去的一年中，华为在开源社区逐步构建合规功能的服务能力，同时，更期待在未来，有更多的开源爱好者加入到合规工具、法规的构建中，通过提供端到端的合规工具链和管理体系，建立完善的合规技术生态，为国内开源健康发展提供坚实支撑。