专访项曙明:混源开发模式已成主流,直面挑战解决合规难题

业界 作者:SegmentFault 2022-09-08 16:32:37
开源已经毫无争议成为软件行业发展的强大推动力,软件混源的开发模式已经别无选择。当人们不再讨论“用不用开源软件”这个命题,如何用得好,怎样安全地用就成为了新的、至关重要的问题。

在今年的 OSCAR 开源产业大会中,我们与可信开源合规计划(TWOS-C)和 OpenChain 共同出品了开源合规论坛,与大家直面挑战,共同探讨解决企业使用开源软件中可能遇到的风险。

在会前,我们也特别采访了中兴通讯开源合规 & 安全治理总监项曙明老师,他为我们分享了企业开源合规治理的相关经验,同时剧透其即将在 OSCAR 2022 开源产业大会上为我们带来的精彩演讲。



访谈者:朱玲,SegmentFault 思否技术编辑 
受访者:项曙明,中兴通讯开源合规 & 安全治理总监

  • 我们知道您自身有着非常丰富的许可证合规、EAR 合规、产品安全管控&应对方面经验,可以简单分享一下您此前的经历和目前所从事的工作吗?

我是中兴通讯的一位老兵,曾经做过 ZXJ0 万门程控交换机的软件开发,ZXTASC 排队机的产品经理,ZXB10 多业务路由交换机系列以及 WCDMA 双模手机和网卡的研发管理经理、商务总监、物流总监,研究院技术管理部的 EPG 组长等职位,对产品研发、经营、物流、商务、采购、生产、研发管理和 IT 系统均有很深的理解和管理经验。

近年来主要从事公司开源软件合规&安全合规机制和体系的建设、推动和落地工作。同时承担研究院 ECPOC(出口合规联系人)和研发外包总监。

  • 据您的观察,目前阶段企业开源合规方面目前所处的现状和所面临的挑战。

目前阶段,针对开源合规方面的风险和问题,业内已经基本达成共识。

几年前,大家讨论主要聚焦于是否应该使用开源,而如今“管控不好就不要使用开源软件”的声音已经鲜有耳闻。大家都知道,软件混源的开发模式已经别无选择,项目中平均 90%的代码是开源软件,所以问题的集中点就聚焦到了:使用了开源,如何来解决供应链风险、合规风险和安全风险,从而使自己的软件产品能够达到供应链级别。

在消除和管控好这些风险这一问题上,我认为目前所面临的最大挑战是:

  • 开源人才的缺乏:由于开源合规和安全的治理,涉及产品全生命周期、包含经营、研发、供应链、法务、知识产权、售后/运维、研发管理、质量管理、工具系统多个领域,是一个庞大的系统工程。行业、企业内通晓或了解全领域的开源人才奇缺。许多企业在推进过程中投入的人往往只是知道一个领域和几个领域的人员,合规治理推进和落地缺乏核心的灵魂人物,导致治理只是停留在表面,难以取得明显成效。
  • 难以构建有效的管控体系:企业对开源合规风险认知不一,在组建企业 OSPO 上资源投入不足;不知道如何根据企业自身战略和现状构建有效管控体系的方法,没有从构建企业稳定的开源管控能力上着手来构建企业的过程能力——规范、流程、指导书、工具流和治理工程能力,往往只是构建了部分领域的技能和能力,难以达到管控效果。如:许可证治理只是区分了黑白名单,但是没有对相关许可证进行解读。白名单许可证的开源软件引入后项目该如何使用才能降低风险?如何检查项目组已经将相关风险治理完成?都缺乏相应的规范、指导书、管控流程和工具。很多时候,开源软件的白名单只是一张 excel 表,没有 SCA 相关工具,项目组的开源软件使用情况亦不清晰,配置管理也没有完全到位,开源软件、项目版本和用户数据不能做到上下追溯……
  • 市场尚缺乏具公信力的开源可信能力评价机制:行业用户不知该如何来选择可信的软件产品,缺乏一套第三方的、有公信力的评价标准和咨询测评体系,可让我们在采购或选择第三方软件组件时对供应商的开源治理能力有一个客观的评价作为参考,甚至作为进入短名单的敲门砖,如:CMM、CMMI、GSMA NESAS 认证。由于开源和软件可信供应链的合规管控是近几年才逐渐出现的新生事物,可信的标准和评价体系正在逐步建立的过程中,其能否转化为一套可信的评价体系一方面需要标准和体系制定者构建起一套可信的合规治理能力成熟度模型,其次需要有相应的咨询、评价团队来帮助企业构建这个能力,并输出可信有效的评价结论真实反映被评估对象的合规 & 安全治理管控能力,那么采购方、需求方才会真正将此认证作为其软件采购时的入门要求之一。
    当然,这个过程是双方的,也需要行业用户与标准、体系构建的组织方共同努力,以加快这套开源可信能力评价机制的建立速度,从而造福企业和市场

  • 如今,越来越多的企业将开源软件二次开发后用于商业用途,但如未能履行开源软件协议项下义务将使企业面临巨大的法律风险。可否结合相关案例谈谈开源领域在知识产权、合同、商业秘密、安全等领域的法律风险?

这样的案例有很多,比如:

  • 2021 年 4 月,深圳市中级人民法院对原告罗盒公司诉被告风灵公司侵害开源软件“VirtualApp”著作权侵权纠纷案作出判决,认定被告构成侵权,责令其立即停止提供涉案软件的下载、安装和运营服务,并赔偿原告经济损失及维权费用共计 50 万元。它围绕开源软件的著作权归属、合作作品的判断标准、开源许可协议的法律性质和效力等方面展开了详细论述,对于在司法实践中判断使用开源软件是否构成侵权具有重要的司法指导意义;

  • 去年闹得沸沸扬扬的 log4j2 安全漏洞事件,影响多达 60644 个开源软件,涉及相关版本软件包更是达到了 321094 个。而本次漏洞的触发方式简单,利用成本极低,可以说是一场 java 生态的‘浩劫’,那么作为企业来说如何构建起及时发现漏洞、漏洞产生后的应对机制就显得非常重要;
  • 我们使用了某一开源软件,原则上就是和该开源项目签订了一个许可证合同,它是不用签署,只要你使用了就是一个事实合同,所以许可证的许多协议条款再赋予你许多修改、分发权利的时候也要承担起相应的义务。那最典型的就是 GPL 许可证,一个商用分发的软件项目如果没有做好核心商业秘密的代码与 GPL 许可证开源软件的有效隔离,那么核心代码就会感染也必须遵循 GPL 协议,从而核心商业秘密也必须公开,也是很多企业无法承受的,应为起导致的结果就是要不你不再在某一细分市场进行商业分发导致商业利益受损,要么核心商业秘密公开整个市场受损。如果不这样做就是违反许可证合同,导致企业不能使用该 GPL 许可证的开源软件。
    所以开源软件在给我们企业带来各种便利的前提下,如何做到商业分发条件下的合规&安全就显得尤为重要!

  • 我们知道,作为一家覆盖全球市场的国际化公司,中兴很早就已经构建了可信供应链实践,以确保对产品的质量追踪溯源。您可以分享一下这方面的内容吗?比如,都使用了怎样的工具,从规范到系统建设都取得了哪些工作成果?

可信供应链构建一定是一个自上而下的管控体系,同时又兼顾自下而上的快速响应和工程自由,两者有效的协同配合是可信供应链成功的基础。可信供应链它不是一套独立的体系,而是在企业既有产品经营&研发管控体系上的一个补充。

  • 首先:合规是公司经营成功的基石之一,公司领导重视开源合规,是成功最关键的要素;
  • 其次:全公司一盘棋,进行公司级的开源治理是成功的次要因素,也是提升研发&经营效能的最有效手段;
  • 第三:企业已具备固化的研发管控流程体系,开源合规和安全管控流程要求能较容易的嵌入了现有的产品/项目研发管理过程中,确保了管控的有效性;
  • 第四:完整、全面、正确的识别产品/项目版本如何使用开源软件是一切治理的基础!专业的 SCA 扫描工具是帮助项目了解开源现状和使用的必备工具;
  • 第五:开发“开源软件全生命周期管理”工具,并结合开源可信供应链要求,逐步将开源合规&安全管控过程全面纳入企业既有的研发、经营 IT 系统中,并进行数据化的度量和跟踪推进,及时掌握治理进展和治理效能情况;
  • 第六:虽然是虚拟化的 OSPO 运作,但是一个相对固定专业化的核心团队是确保治理方向正确、并引领企业逐年迭代演进的关键要素。

  • 全球数字化浪潮下,积极拥抱开源成为了越来越多企业进入市场长期发展的准入门槛。作为开源合规方面的专家,您对当下企业开源风险治理策略的建立方面有哪些建议?

我的建议是:

  • 首先需要结合企业战略和经营目标,对照开源合规和安全风险进行分析,明确企业自身的开眼合规&安全治理目标。
  • 其次,企业领导一定要理解和领会到开源合规&安全风险的重要性,将其提升至组织战略高度,并投入一定的资源,支持 OSPO 的持续改进。
  • 购买合适的 SCA 工具,对软件项目进行全面扫描,了解开源使用现状,据此分析实际的开源合规 & 安全风险。
  • 参考现有国际、国内的可信供应链相关的标准和规范,对标进行自评分析找出弱项。
  • 结合治理目标、当前现状,以及企业所能的投入,输出切实可行的可信供应链管控能力构建计划,一般应该为一个比较长期的几年计划,将目标逐年分解以项目形式进行管控和推进。
  • 现在国际、国内已经有一些开源合规和可信供应链方面的标准和认证,企业可以选择相关标准进行认证为牵引而开展治理工作目标会比较明确,治理推进也更有推动了。如:OpenChain ISO/IEC 5230 国际标准、信通院《开源供应链风险管理框架 第 1 部分:面向软件提供商和云服务商(第二次征求意见稿)》开源可信供应链标准,OpenSSF SLSA。企业自身行业的相关标准要求,如通信行业的 GSMA NESAS 系列标准。
  • 企业在开源合规风险治理过程中若缺乏相关能力,建议可以寻找外部咨询机构或专家进行培训、辅导、咨询,可以起到事半功倍之效果,少走弯路,缩短治理时间。

  • 可否分享一下中兴通讯与信通院在开源合规等方面此前已建立的合作有哪些?

中兴通讯和信通院是在很多领域进行长期合作的战略伙伴,如在大数据、云原生等方方面。

在开源合规方面,中兴通讯参与了信通院有关开源治理能力成熟度模型、可信供应链标准、可信开源项目/社区标准、SCA 标准等系列标准的编撰、讨论和评审工作,积极将我司的最佳实践和关注点贡献进相应标准中。

同时中兴通讯以全权成员、普通成员和技术专家的身份,积极参与了信通院“科技制造开源技术应用社区”、“金融行业开源技术应用社区”、“通信开源技术应用社区”、“可信开源项目社区”和“可信开源合规计划”等社区。

除此以外,我司积极参与信通院组织的各种 OSCAR 开源产业大会、线上线下开源相关交流会、开源培训上的分享及培训;积极参与信通院相关标准的认证,2021~2022 年以国内科技企业第一家的身份先后通过了信通院“可信开源供应链认证”和“可信开源供应链 & OpenChain 双认证”测评等。



据悉,在今年的 OSCAR 2022 开源产业大会 - 开源合规分论坛,项曙明老师还将为我们带来主题分享《持续构建可信软件产品,服务全球电信运营商》。如题目所示,面对开源引入及混源开发模式带来的合规一体化(许可证、EAR、产品安全、GDPR)和软件可信供应链风险,国际/国内运营商客户对产品的高质量要求,项曙明老师将为我们介绍 ZTE 是如何探索并逐步构建起企业级软件可信供应链管控体系的经验教训。

在采访的最后,项曙明老师也向广大开源爱好者发出邀请:参与 OSCAR 开源产业大会,为你的开源治理答疑解惑!

关注公众号:拾黑(shiheibook)了解更多

赞助链接:

关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接