论坛介绍 ｜ COSCon'22 开源治理（G）

COSCon'22

开源社/KAIYUANSHE

业界最具影响力的开源年度盛会2022第七届中国开源年会(COSCon'22)来啦！！！

本次年会将于10月29日-30日由开源社举办。线上共设有1个主论坛和16个分论坛，线下分会场遍布成都、深圳、上海、北京等11个城市。扫描下方二维码即可报名，快来参与吧~

01

论坛介绍

开源治理已经成为全球开源生态可持续发展的关键所在，涉及到企业、基金会、开源社区、高校、政府等多方力量。国外类似 TODO Group 的组织在开源治理方面做出了很好的表率，开源社也于今年成立了 ONES Group 希望能够促进本土开源治理方法论、工具、服务等多方面的发展。本论坛希望邀请到来自不同组织背景的开源治理专业人士，共同来探讨中国在全球开源治理体系中所发挥的力量，推动全球开源的发展。

02

论坛出品人及出品人标准

1.论坛出品人

王伟

现为华东师范大学教授，博士生导师，X-lab开放实验室创始人，开源社副理事长，CCF高级会员，CCF开源发展委员会委员，标准院开源治理标准体系建设专家顾问，木兰开源社区技术委员会委员。研究方向为开源数字生态系统、计算教育学。

张俊霞

中国信通院知识产权与创新发展中心产业研究部主任。从事知识产权研究近20年，担任某国家重大专项知识产权课题负责人、科技部入库专家、OpenSSF中国开源安全工作组组长、中国通信学会知识产权标准工作组副组长、中国通信学会开源专委会委员、“科创中国”开源创新联合体理事单位代表、开源社法律委员会委员。支撑多主管部门知识产权与科技创新问题研究和政策制定，协助企业加强知识产权保护与提升风险防范能力。

2.论坛出品标准

1、聚焦开源治理关键问题；

2、提出开源合规鲜明观点，或分享开源治理实践经验；

3、时间控制在30分钟左右；

4、尽量不出现商业宣传。

03

论坛讲师阵容

演讲者简介

朱贤曼，计算机硕士，有10多年的软件开发经验，曾负责某大型通信公司多个生产测试平台的设计和开发。近几年专注于大合规领域，先后从事出口管制合规、合规相关系统设计和实施、开源软件合规工作，并对安全隐私合规有一定了解。

曾主导公司级的出口管制合规手册(总册和10多个领域分册) 的编写、法律合规IT系统建设、出口管制扫描系统需求分析和实施;负责某著名终端设备厂商开源合规制度体系的搭建和落地实施，并主导开源治理数字化平台的建设。

目前就职于安势，作为资深解决方案架构师，致力于为客户提供业界领先的开源治理解决方案和咨询服务，助力企业构建开源合规一体化的治理能力。

演讲题目

《如何在软件开发生命周期中管理引入的开源组件》

演讲简介

目前，由于开源软件的蓬勃发展，越来越多的企业在产品开发过程中选择使用开源软件来提高开发效率，降低开发成本，加快产品上市速度。但是，在降本提效的同时，使用开源软件也面临着较大的安全合规风险，如何规避或管控这些风险成了企业面临的一大难题。

当前，企业在使用开源软件时主要面临以下风险:安全风险 (安全漏洞和供应链安全)、法务合规风险 (开源许可证、专利、商标等)、运维风险以及供应链断供风险。针对这些风险，企业可以从组织、制度、流程、工具和文化建设等方面进行综合治理。

本次议题基于微软SDL流程，结合多个大公司在开源合规治理方面的经验，详细介绍在软件开发生命周期的各个阶段 (需求、设计、开发、验证、发布、部署、运维) 需进行的开源合规活动和关键控制点，形成一套完整的开源合规治理最佳实践，以达到降低企业开源合规风险的目的。

目标听众群

企业内OSPO团队成员、PM、架构师、开发人员、测试人员、运维人员

给开源生态体系带来的利益

培养开源合规意识，协助企业构建开源合规治理体系和落地实施，达成合法合规安全地使用开源软件的目的，有助于整个开源生态圈构建可信开源供应链。

演讲者简介

刘杨，新加坡南洋理工大学(NTU)计算机学院教授，NTU网络安全实验室主任、HP-NTU实验室主任以及新加坡国家卓越卫星中心副主任，Scantist联合创始人。

刘杨教授专攻软件工程，网络安全和人工智能，其研究填补了软件分析中理论和实际应用之间的空白，研发了多款高效的软件质量和安全检测平台并成功商业化。

到目前为止，刘杨教授已在顶级会议和顶级期刊上发表发了超过400篇文章。他还获得多项著名奖项，包括MSRA fellowship，TRF Fellowship，Tan Chin Tuan Fellowship，Nanyang Research Award 2019，NRF Investigatorship 2020，并且在ASE、FSE、ICSE等顶级会议上获得20项最佳论文奖以及最具影响力软件奖。

演讲题目

《开源安全：挑战、解决方案和机遇》

演讲简介

开源软件已经成为网络空间的重要基础设施，现在许多企业都已拥抱开源软件，各方也都应积极开展开源软件源代码检测工程，推动内部建设开源软件治理体系，形成开源软件管理的长效机制。作为一名软件工程领域的科研工作者，我们一直致力于开源软件供应链及安全关键技术研究。我们接下来的方向在于探索更好的方法来开发程序，开发更多的标准化工具来分析，理解和管理软件及其开发过程，并完善整个开源的管理机制。我们也希望需要充分利用自身和协作优势，号召更多的贡献者，发展壮大开源项目影响力的同时，肩负起开源安全责任与使命持续前行。

目标听众群

开发者、开源领域从业者和技术爱好者

给开源生态体系带来的利益

无论是从业者还是技术爱好者，都要积极参与并开展前瞻性的技术探索和产品研发，努力推进开源事业的发展，加强关于开源的规范引导和教育，从技术、应用和法律层面作出相应的贡献。开源软件的正确和安全使用需要社区的力量，我们希望共同维护开源市场和生态，继续引领开源治理与软件供应链安全的发展方向，为开源软件行业带来更加蓬勃的生机。

演讲者简介

王永雷，2016年加入BlackDuck，2018年初新思收购BlackDuck，加入新思软件质量与安全部门，Synopsys资深软件安全架构师,开源软件治理专家，为大中华区的企业客户提供企业级的软件安全和开源合规治理解决方案。

开源社成员

演讲题目

《开源供应链在企业面临的挑战和实践》

演讲简介

随着开源在企业的数字化的转型中扮演着越来越重要的作用，企业的开源治理也进入到深水区，最近的log4j的漏洞，开源投毒事件的发生，让大家意识到开源供应链的风险治理迫在眉睫，我们想从如下的方面跟大家探讨企业的开源供应链的挑战和实践，

1、开源的现状

2、开源供应链的挑战

3、开源供应链的风险治理实践

目标听众群

OSPO，安全工程师，开发经理，开发工程师，CSO

给开源生态体系带来的利益

提升整个开源生态对于开源供应链的风险的意识，同时希望提升企业的开源供应链的关注和治理的思考。

演讲者简介

TAKASU Masakazu，新加坡和深圳梨滙節(Maker Faire)及上海创客嘉年華(Maker Carnival)的资深成员。Maker Faire 是在世界各地享负盛名的活動，向世界展示創新項目和背後具創意的頭腦。高須先生擅於揉合並引用日本首屈一指的科技、設計與科學等知識，其豐富的經驗和人際網絡連繫著亚洲多個地区的Maker Faire。他現駐居深圳。日本早稻田大学非常勒講師。

高須先生亦是日本知名獨资科技产品製造材料公司SwitchScience全球業務发展人员，其公司在DIY手作零件销售市場上亦占舉足輕重的地位。此外，他的著作《ECOSYSTEM BY MAKERS》一書，在日本廣受歡迎。现在他是开源社(China OpenSourceAlliance)正式成员，及一个国际成员。

演讲题目

《中国开源活动介绍日本》

演讲简介

近几年，我介绍中国开源活动到海外，比如日本OSPN(Open Source People Network）和新加坡FOSSASIA。现在中国开源有特点商业化方面，日本的开源爱好家感兴趣这方面。我今天介绍海外人的反应。

目标听众群

希望看看海外的反应

给开源生态体系带来的利益

理解中国开源的位置，特点

演讲者简介

陈映初

美国纽约大学计算机硕士

Apache DevLake PPMC成员

思码逸全栈工程师

连续创业者

ApacheCon演讲(研发效能数据集成平台DevLake的架构分享):https://www.bilibili.com/video/BV1ot4y1g7MW?spm_id_from=333.337.search-card.all.click&vd_source=eef96e9f7d6f0998046ed12ba3551fba

演讲题目

《DevLake社区成长历程》

演讲简介

本次演讲将分享我们的项目DevLake如何在不到两个月的时间里就在GitHub上发展到1500颗星，以及这个过程中我们的经验和教训。

目标听众群

与会者将了解到DevLake从最简单的制作一个GitHub页面和ReadMe开始，到战略营销和社区共建的全过程。

给开源生态体系带来的利益

为更多的开源爱好者打开一扇门，特别是对于想要在国外运营开源社区的小伙伴会有很大的参考价值。

演讲者简介

罗杨，Casbin社区创始人。

2018-2022: 前微软亚洲研究院高级研究员，主导了微软全球Azure和Bing恶意流量检测算法与系统的核心研发工作

2014-2018: 北京大学软件工程专业博士

2007-2014: 北京航空航天大学计算机专业本科、硕士

Casbin、Casdoor开源软件作者、Casbin开源社区创始人，Nmap开源社区成员，Npcap开源软件作者，2019谷歌开源贡献奖获得者（全球约50人） 2021年度中国杰出开源贡献者（仅6人）

入选2021“科创中国”开源创新榜（64个项目入选）

中国计算机学会（CCF）开源发展委员会首批执行委员（共113人）

入选SegmentFault 思否、开源社、腾源会、X-lab 实验室共同发起中国开源码力榜（共99人）

发表国内、外计算机相关学术论文27篇（一作14篇），拥有多项发明专利，《计算机学报》审稿人

演讲题目

《十年磨一剑，浅谈Casbin社区的开源发展之路》

演讲简介

Casbin是一套访问控制开源库，是目前全球Star排名第一的开源访问控制框架，共计20000 Stars以上，5000+家用户，被写入中美两国政府相关技术白皮书。2020年2月21日星期一，谷歌发布了Summer of Code 2020入围项目，Casbin成为Summer of Code有史以来首个国人创始人开源项目。同时，Casbin获得了谷歌2020年度全球开源贡献奖，每年全球约100个项目获奖…… 在社区逐渐强大获取各种荣耀的背后，是社区创始人罗杨博士和社区全部贡献者一起经历的漫长的酝酿和沉淀。

截止目前，是Casbin社区创建的第五年，是Casbin创始人罗杨博士开始做开源的第10年。在最初的很长一段时间里，只有社区开创期的孤独岁月，如何从零开始，一步步脚踏实地的把社区做大，如何汇聚江河之力成海，都离不开那些日日夜夜的坚持，离不开坚定的信念和初心。十年磨一剑，坚持一定会有收获，跟着罗杨博士一起，回顾十年开源之路，纵观如何从零到一做开源。

目标听众群

所有开源爱好者，推广社区，希望更多的人了解Casbin，走进Casbin。

给开源生态体系带来的利益

为脚踏实地做开源软件的技术人们带来一些启示；为开源人传授经验。

演讲者简介

肖伦文（Lunny），毕业于南开大学软件学院，从业将近20年，从普通程序员逐步成长为CTO及Gitea社区创始人，技术过硬，经验丰富。2016年创办Gitea并开源，经过几年的发展，Gitea逐渐成长为一款工业级软件，消费级体验的产品，在 GitHub 上获得了超过 3 万 2 千颗星，累计下载量超过 3 亿次，约 40 万安装量，覆盖超过1000万开发者，获得了上千家国内外中大型企业认可并在企业中进行了部署，在开源代码平台领域，Gitea颇具有影响力。秉承开源创造价值，开源提升效率，开源带来双赢的原则，Gitea正在探索商业化路径，希望能继续为广大的开源爱好者服务并带来更好的价值实现途径。

演讲题目

《开源 X DAO》

演讲简介

介绍 Gitea 开源社区的组织方式和发展，同时提出开源项目未来的发展设想，如何更好的实现开源贡献者和用户的双赢。

目标听众群

开源贡献者，开源平台，希望帮助开源贡献者和开源平台更好的实现价值，包括商业上和声誉上。

给开源生态体系带来的利益

促进社会环境对开源贡献者有更多的肯定和回报。

演讲者简介

龙文选，西安奇科厚德信息科技有限公司副总经理，Linux基金会亚太区开源布道者，中国信通院云大所区块链推进计划区块链专家，湖南大学数字社会与区块链研究院特聘研究员。

目前在奇科厚德从事开源治理方法和工具研究、开源培训、社区联络工作。

此前担任树根格致首席运营官，在中国信息通信研究院牵头下，组织撰写和发布了《工业区块链应用指南》和《基于工业区块链的碳核查系统研究（征求意见稿）》两个白皮书，参与了《区块链溯源技术规范（行标）》等标准写作,组织征集和发布国内首个《工业区块链案例集》，并在多个大型会议上介绍区块链技术和工业区块链相关方案。

2017年至2020年，担任超级账本基金会中国区负责人期间，在国内十多个城市组织过七十多场线上线下会议，发展国内会员最多达60多家。2007年至2016年担任美国黑鸭子软件公司中国大陆地区的售前项目经理，是国内最早从事开源治理相关工作的专业人员，服务过华为、新华三、爱立信（中国）等企业，应邀在北京大学、天津大学、南京大学等学校介绍开源软件及社区知识。

演讲题目

《企业开源治理的变迁》

演讲简介

演讲者总结了当前开源软件席卷全球的趋势，进而通过回顾开源历史上的一些关键人物和事件如理查德斯托曼和著佐权、“Linux之父”林纳斯特瓦兹和Linux基金会，开源促进会等，回顾了开源生态发展的哲学和逻辑，介绍了形成目前趋势的原因，分析了当前我国的开源所处的阶段。 

随着开源合规的要求，话题将引入到企业开源治理，首先介绍了开源治理技术和方法的变化过程，并且从混源开发的角度，介绍了开源治理的原理，以及开源治理工具的使用方法。最后介绍了Linux基金会总结的开源治理的四个阶段，鼓励企业主动投入到开源运动中。

目标听众群

企业高层、企业开源管理者、社区开源贡献者。希望让大家了解开源发展的主线和逻辑，了解企业开源治理的路径，自己企业应该怎么做。

给开源生态体系带来的利益

希望通过我的介绍，让听众家明白开源生态是如何演变成现在这样的，生态的立足点在什么地方，同时让企业了解和重视开源治理，明白生态能够带来的好处，甚至积极投入到开源生态中来。

演讲者简介

项曙明，中兴通讯开源合规&安全治理总监、ECPCC，具备丰富的开源许可证合规、EAR合规、开源安全管控和风险应对经验。资深产品经理和研发过程改进专家，长期从事公司级流程、规范、方案和管控系统建设，致力于构建企业级开源可信供应链管控能力实践。信通院“可信开源治理标准专家”、“可信开源治理讲师”和“金融开源治理社区技术专家”。

演讲题目

《如何提升项目开源的成功率》

演讲简介

开源项目怎样才算成功?除了项目本身的选题和技术性能领先以外还有哪些因素影响其被广泛使用?在可信开源供应链大背景下，可信开源项目是提升成功率的必经之路。那么贡献者该如何确保自己贡献的项目成为可信开源项目，本演讲试图从此角度出发描述如何管理和运营开源项目，使其成为可信开源项目。

目标听众群

将项目开源到外部社区、或者参与外部开源项目贡献者与企业，此演讲将帮助这些贡献者和企业增加其开源项目的认可度，下载和使用量，从而提高开源项目的成功概率。

给开源生态体系带来的利益

提升开源项目的合规和安全性，从而提升整个软件供应链生态的健康发展

演讲者简介

冯才效，Seal 数澈软件有限公司安全专家，多年云计算领域经验，深度参与 Rancher, Harvester，Rke 等开源项目。现加入软件供应链安全解决方案提供商Seal，致力于构建新一代软件供应链防火墙，打造全链路安全解决方案。

演讲题目

《EPSS 和 CVSS 的对比，如何使用 EPSS 评估漏洞严重性》

演讲简介

CVSS（通用漏洞评分系统）通过基本分，临时分和环境分来评价漏洞的潜在影响。人们常用CVSS来确定漏洞补救优先级的，但并不意味着CVSS反映了整体的风险。例如，它不能衡量漏洞被利用的概率。EPSS（漏洞利用预测评分系统）刚好弥补了这一缺憾，通过 EPSS 估计漏洞被利用的概率，可以帮助人们更好地评估漏洞修复的优先级，实现更广的漏洞覆盖，更早的漏洞发现，更高效的漏洞修复。

目标听众群

使用开源软件的开发者和企业，安全从业人员等

给开源生态体系带来的利益

我们在引入开源软件的同时也引入了其中的漏洞，了解漏洞评分机制，有助于评估使用的开源软件，以及自研软件的安全情况，促进开源软件提升安全性。

演讲者简介

边思康，蚂蚁集团技术战略发展部资深专家，开源办公室负责人，负责蚂蚁开源的设计、统筹、治理、洞察等工作。CCF开源发展委员会执委，开源社成员。ex-Square，ex-Microsoft 软件工程师，UC Berkeley Haas MBA。

演讲题目

《开源办公室 - 是什么和不是什么》

演讲简介

开展开源办公室工作的一年多以来，对于开源办公室所能带来的潜在价值有了多轮思考之后，有一种感觉：随着开源所能带来的价值被越来越多的企业所接受，以及开源的潜在风险及成本被更多的企业所熟知，开源办公室是一个潜在的企业标配，也是能给企业带来高价值的开源网络接入节点。

目标听众群

所有企业使用开源和贡献开源的从业者，开源布道师，开源运营团队负责人，开源社区专家

给开源生态体系带来的利益

开源办公室正如互联网中的节点，大家都有才能发挥最大的价值。开源办公室的出现和蓬勃发展，对于开源的大生态是长期有益的，因为它提供了一个“标准化的开源生态接入方式”。

演讲者简介

张苏兵，中国政法大学法律硕士，现为华为技术有限公司知识产权部开源&版权律师，从事开源与版权法律工作三年，主办开源及版权类诉讼纠纷十余起。支撑公司开源项目合规运作，目前对接开放原子开源基金会及欧洲Eclipse基金会，负责OpenHarmony及欧拉等开源项目法律支撑工作。

演讲题目

《从典型案例看企业开源合规》

演讲简介

许可证合规义务引发的诉讼主要指以违反许可证义务的版权诉讼为主，由维权个人/组织发起，原告胜诉率极高，后果含开源、赔款、禁令。近几年由开源许可证合规引发的诉讼呈现多样性，如法国仅能通过合同诉解决；非开源软件用户可以基于第三人利益发起诉讼等，都给企业带来了新的启示。

目标听众群

企业内从事开源工作的软件工程师，使用开源与贡献开源从业者

给开源生态体系带来的利益

从法律角度介绍基于开源合规引发的典型诉讼，开源软件维权形势正在改变，维权人开始从版权人和被许可人扩大到软件的最终用户，维权目的也从维护开源秩序或版权费转变为商业竞争原因， 企业需要一如既往严格履行开源许可证的义务，同时也为其获得开源软件代码提供新的启示。

本次大会的线上互动群（COSCon'22 @开源人团聚）也如约而至。加入社群，了解大会一手信息，精彩周边拿不停！

出品丨COSCon'22组委会

编辑丨邵佳怡

设计丨苏子馨

更多精彩丨COSCon'22

#

Vol.1

#

Vol.2

KAIYUANSHE/   开源社

#

开源社成立于 2014 年，是由志愿贡献于开源事业的个人成员，依 “贡献、共识、共治” 原则所组成，始终维持厂商中立、公益、非营利的特点，是最早以 “开源治理、国际接轨、社区发展、开源项目” 为使命的开源社区联合体。开源社积极与支持开源的社区、企业以及政府相关单位紧密合作，以 “立足中国、贡献全球” 为愿景，旨在共创健康可持续发展的开源生态，推动中国开源社区成为全球开源体系的积极参与及贡献者。

2017 年，开源社转型为完全由个人成员组成，参照 ASF 等国际顶级开源基金会的治理模式运作。近八年来，链接了数万名开源人，集聚了上千名社区成员及志愿者、海内外数百位讲师，合作了近百家赞助、媒体、社区伙伴。