2021年,中国人民银行、中央网信办等五部门印发了《关于规范金融业开源技术应用与发展的意见》,从如何正确使用开源软件及如何自发拥抱开源生态两个角度出发,为金融机构合理健康地发展开源技术提供了建设性的指导意见。
纵观二十条意见,诸如“风险”“技术评估”“安全”等关键字不在少数,之前我们就“技术评估”、“漏洞管理”等关键词进行了提炼和解读,本篇文章中,我们就另一个关键词“许可证”进行解读与分析。
许可证对应着开源软件的合规问题,在《意见》中的第二条、第七条、第十条等都可以找到关键词:
第二条使用开源软件的基本原则中提到“坚持合规使用遵循开源技术相关法律和许可要求,合规使用开源技术“,指明许可证合规问题是使用开源软件时面临的基本问题之一。
其次针对开源软件具体的使用管理,第五条将“合规使用”列为规范开源软件管理制度的一部分。第十条针对引入的开源技术提出要进行“进行事前合规审查,审查开源许可证遵从性和兼容性、梳理开源技术间依赖性等,避免法律纠纷。”第七条和第十一条针对使用中的开源软件提出要“及时掌握开源许可证变更、闭源等情况”。
最后,第十六条和第二十条在鼓励金融机构自主创新开源技术、参与开源生态建设时,也反复强调要“遵循开源许可协议和相关法律法规要求,提升知识产权保护意识,保障合法权益”。
综合以上关键词的提炼和分析,可以看出开源许可证是开源软件治理中不可缺少的环节,无论是制度设置、引入审批、使用过程还是生态建设,许可证都在其中占据着重要地位。
如何有效地管理开源许可证,维护自身权益与利益呢?结合以上《意见》的内容,我们可以将其归纳为以下几点:
- 了解开源许可证的条款并遵循,避免引起法律纠纷,维护自身的合法权益与利益。
- 审查开源许可证存在的风险,明确关键性条款,选择与业务需求相匹配的许可证。
- 及时掌握开源许可证的变化情况,根据条款变化调整使用策略,避免新的合规风险。
这几点能够帮助金融机构有效管控开源许可证,然而在实际业务中,许可证的管理需要法务、安全、采购等部门共同配合,投入的资源成本过多,很难达到事半功倍的效果。因此对于金融机构来说,引入适当的第三方合规审查服务是有必要的,比如利用SCA工具,通过许可证解读、合规风险分析、风险变化监测等功能,建立起全方位的许可证管理机制。
1.许可证全文翻译+条款解读
信易盾SCA提供了许可证全文翻译 + 关键条款解读功能,帮助金融机构快速了解哪些必须做、可以做、不能做,明确应如何遵守此许可证,从而避免出现合规问题。
2.许可证风险分析
信易盾SCA能够快速检测出项目中的代码涉及了哪些许可证,是否存在如GPL等高危许可证。并识别互不兼容的许可证,提供许可证兼容性指南,帮助金融机构避免许可证条款冲突风险。
3.许可证变化识别
通过信易盾SCA的解析对比及数据更新功能,可以识别出项目中的许可证变化情况,例如新增了哪些许可证,合规条款有无变动等,有效防范新增的合规风险。
近年来,因违反许可证条款而引起知识产权及法律纠纷的案例屡见不鲜,许可证合规风险也成为了使用开源软件时需重点关注的风险问题。利用信易盾SCA工具可以帮助金融机构明确条款要求并加以遵循,建立起许可证风险审查及处理机制,及时掌握许可证的风险变化情况,为金融机构的开源软件治理工作提供坚实的法律保障。