OpenChain旨在提高供应链中的开源合规性。 这个问题最初被许多人认为是法律上的关注或低优先级而忽略,实际上与确保开源尽可能有用且无摩擦有关。 简而言之,由于开源是关于第三方代码的使用,因此法规遵从性是可以在其中找到平等的访问权,使用安全性和降低风险的纽带。 OpenChain通过在组织之间建立信任来实现这一目标。
如今,许多公司了解开源,并充当开源开发的主要支持者。 但是,事实证明,以系统的,整个行业的方式解决开放源代码许可证合规性是一个难以捉摸的挑战。 在过去的十年中,全球IT市场在诸如消费类电子产品领域的开放源代码合规性问题的数量并未显着减少。
大多数合规性问题源于在众多实体之间共享多个硬件和软件组件。 全球供应链很长,参与者之间既纠缠又截然不同。 可能有制造硬件的公司,制造软件的公司以及同时做这两种事情的公司都围绕相对较小的组件进行协作。 产生的产品通常是杰出的,但是跟踪所有内容的挑战是巨大的。
供应变化合规的复杂性
合规性不是设备或代码问题。 这是一个跨越多个组织的过程挑战。
开源在全球供应链中提出了特定的挑战。 这不是因为开源固有的复杂性,而是由于公司不同程度的曝光和领域知识。 举例来说,一家开发需要设备驱动程序的小型组件的公司的员工可能完全不熟悉开源。 一个错误,一个误解以及在数十个设备中部署的一个组件可能会带来问题。 大多数合规性挑战都源于错误。 很少(如果有的话)是有目的的。
最终,解决开源合规性挑战涉及解决供应链中的开源合规性。 这是一项不小的任务:跨越数十个国家/地区的数千种公司在使用多种语言。 因为没有一家公司可以制造完成的设备,所以没有一家公司可以解决合规性挑战。 因此,全球供应链必须与某些共享方法保持一致。
意识到这一事实和提供切实可行的解决方案是两个不同的问题。 想法和建议的方法需要一段时间才能渗透和成熟。 它需要律师,经理,开发人员和政治学家的投入。 简而言之,社区需要一段时间来回跳动想法,直到找到一种简单,清晰的方法。 这就是OpenChain项目的来历。OpenChain项目
由Linux基金会托管的OpenChain项目旨在使软件供应链的开放源代码合规性更加可预测,可理解和高效。 OpenChain项目于2016年10月正式启动,三年前开始讨论,讨论的步伐不断加快,直到正式项目诞生。 基本思想很简单:确定有效的开源管理的推荐流程。 目标同样明确:减少使用第三方代码的瓶颈和风险,以使开放源代码许可证合规性在整个供应链中变得简单且一致。 关键是以平衡全面性,广泛适用性和实际可用性的方式将事物组合在一起。
OpenChain一致性
OpenChain项目包含三个相互联系的部分:
- 一个规范限定了质量合规性项目的核心要求,
- 一种一致性方法,可帮助组织显示对这些要求的遵守情况,以及
- 提供基本的开源过程和最佳实践的课程 。
该项目的核心是规范 。 这确定了一系列过程,这些过程有助于确保任何规模的组织都可以有效地解决开源合规性问题。 使用OpenChain规范的组织的主要目标是变得一致。 也就是说,要满足特定版本的OpenChain规范的要求。 合格的组织可以在其网站和促销材料上宣传这一事实,从而使潜在的供应商和客户能够理解并信任其实现开源合规性的方法。
可以通过免费的在线自我认证调查表轻松检查OpenChain 一致性 。 这是检查和确认是否遵守OpenChain规范的最快,最简单,最有效的方法。 对于流程需要进行纸质审查或禁止基于Web提交的组织,也提供了手动符合性文档。 在线或手动一致性可以按照一致性组织决定的速度完成,并且两种方法都将保持私有状态,直到提交完成为止。
OpenChain 课程可帮助组织满足OpenChain规范的培训和流程要求。 它提供了开放源代码合规性培训计划的通用,完善和清晰的示例,可以直接使用它,也可以将其合并到现有的培训计划中。 它也可以应用于组织内部管理开源的各种过程。 OpenChain课程提供的限制很少,以确保组织可以尽可能多地使用它。 它被许可为CC-0 ,实际上是公共领域,因此可以出于任何目的自由地重新混合或共享。
强大的支持社区
OpenChain项目提供了一种令人信服的方法,可以使跨多个细分市场的开放源代码合规性更加一致和更有效。 但是,好的想法需要实现,在开源中,这不可避免地取决于支持社区。 目前有14个白金会员支持OpenChain项目的开发和采用:Adobe,ARM,Cisco,Comcast,GitHub,Harman,Hitachi,HPE,高通,西门子,索尼,丰田,Western Digital和Wind River。 主邮件列表上还有一个由200名参与者组成的广泛社区,他们倾听,分享和重新混合想法。
OpenChain项目的核心是提供一种简单,清晰的方法来建立相互依赖的组织之间的信任关系,以共享代码和创建产品。 任何符合OpenChain Conformant的组织都遵循其同行认可的关键要求,以符合质量合规计划的要求。 它是关于确认总体流程和策略的,同时允许每个组织制定每个流程和策略的细节以适应其特定需求。
OpenChain规范的版本为1.1,可以被创建,使用或分发开源代码的任何组织采用。 在线符合性是免费的,邮件列表和工作团队电话对所有人开放。 这是首次采用单一的,统一的方法来应对供应链中的开源合规性挑战,并且它有可能真正改变行业。
扫一扫
201
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
