OpenHarmony合規(guī)SIG項(xiàng)目簡介申請人：xx時(shí)間：xx年xx月背景：隨著OpenHarmony社區(qū)的蓬勃發(fā)展，開發(fā)者向社區(qū)提交的代碼越來越多，同時(shí)社區(qū)內(nèi)引入的第三方開源軟件也越來越多，這使得OpenHarmony面臨的潛在合規(guī)風(fēng)險(xiǎn)也越來越大。在OpenHarmony開源過程中，我們開發(fā)了開源合規(guī)審查工具OAT，敏感詞掃描工具、Notice生成、片段掃描等合規(guī)工具，并配合棱鏡七彩工具，為社區(qū)開發(fā)提供了基礎(chǔ)的合規(guī)風(fēng)險(xiǎn)識別及攔截能力，包括合規(guī)風(fēng)險(xiǎn)看板等，但當(dāng)前的社區(qū)的合規(guī)活動(dòng)中依然存在不少的人工環(huán)節(jié)和需要投入大量的人力維護(hù)，隨著社區(qū)規(guī)模的上升，這將對社區(qū)的合規(guī)形成巨大的挑戰(zhàn)。因此，我們希望在現(xiàn)有OAT等開源工具鏈的基礎(chǔ)上，成立合規(guī)SIG，加強(qiáng)多方聯(lián)接與投入，擁抱業(yè)界開源最佳實(shí)踐成果，進(jìn)一步加強(qiáng)開源合規(guī)治理的機(jī)制和工程體系，包括標(biāo)準(zhǔn)/規(guī)范、流程、裝備工具、組織，通過持續(xù)的社區(qū)共建，為參與社區(qū)的組織和個(gè)人提供更完備的開源合規(guī)治理解決方案及服務(wù)。版權(quán)許可證許可協(xié)議選擇許可證文件許可證兼容性許可聲明其它文件類型內(nèi)部非公開信息商標(biāo)專利…開源代碼片斷三方軟件來源合規(guī)（代碼、資料、圖片、音視頻）開源范圍版權(quán)聲明開源應(yīng)用戰(zhàn)略商業(yè)約束生態(tài)輿論開源引入來源許可證兼容技術(shù)生態(tài)網(wǎng)絡(luò)安全生命周期歸一化開源使用開源集成方式使用聲明開源修改（解耦、兼容、擴(kuò)展）開源義務(wù)漏洞修復(fù)升級（許可變更）OpenHarmony合規(guī)SIG定位OpenHarmony合規(guī)SIG工作目標(biāo)和范圍SIG組工作目標(biāo)建立OpenHarmony的開源合規(guī)工程體系擬定OpenHarmony的開源合規(guī)治理的規(guī)則、規(guī)范、流程開發(fā)OpenHarmony的開源合規(guī)工具提供OpenHarmony的開源合規(guī)服務(wù)工作范圍本小組首期核心工作聚焦于社區(qū)開源合規(guī)治理工程體系及能力的構(gòu)建，根據(jù)開源軟件及社區(qū)開發(fā)的生命周期，我們將開源合規(guī)分為來源可信

(三方開源軟件、社區(qū)代碼貢獻(xiàn)）許可證遵從

(三方開源軟件許可證兼容、三方開源軟件證義務(wù)履行、項(xiàng)目許可證)知識產(chǎn)權(quán)合規(guī)

(版權(quán)、專利、商標(biāo)、術(shù)語)版本發(fā)布合規(guī)

(貿(mào)易合規(guī)、發(fā)布包許可證)本小組工作包含以上分類中工程能力及工具的規(guī)劃及建設(shè)流程規(guī)則的起草及擬定孵化項(xiàng)目畢業(yè)的合規(guī)評審與社區(qū)內(nèi)及業(yè)界組織在工程能力方面協(xié)作合規(guī)治理方面最佳實(shí)踐的引入與對外分享社區(qū)內(nèi)合規(guī)文化與培訓(xùn)與社區(qū)已有開源合規(guī)審查工具OAT項(xiàng)目的關(guān)系：本小組作為一個(gè)傘形項(xiàng)目，包含開源合規(guī)審查工具OAT，即OAT是SIG-Compliance中的一個(gè)子項(xiàng)目，也是當(dāng)前門禁上最主要的合規(guī)審查工具，本小組一方面會(huì)持續(xù)演進(jìn)OAT工具，另一方也會(huì)引入業(yè)界其他最佳實(shí)踐及工具，將多種能力進(jìn)行集成，共同打造合規(guī)工程體系與工作委員會(huì)下開源合規(guī)組的關(guān)系：原則上，本小組應(yīng)在開源合規(guī)組的指導(dǎo)下完成工程能力的建設(shè)，并定期向工作委員會(huì)下的開源合規(guī)組進(jìn)行工作匯報(bào)本小組不包含社區(qū)合規(guī)及法務(wù)問題的官方口徑社區(qū)合規(guī)及法務(wù)問題的最終解釋權(quán)社區(qū)合規(guī)治理標(biāo)準(zhǔn)規(guī)范的最終審核權(quán)社區(qū)現(xiàn)有合規(guī)能力：提供多種合規(guī)工具并已集成到門禁及質(zhì)量看板，覆蓋基礎(chǔ)合規(guī)風(fēng)險(xiǎn)當(dāng)前進(jìn)展1、基于片斷掃描工具、OAT等工具已覆蓋基礎(chǔ)的合規(guī)能力并已部署到社區(qū)門禁二進(jìn)制文件掃描許可證兼容性掃描義務(wù)履行配置掃描源文件許可頭掃描源文件版權(quán)頭掃描項(xiàng)目LICENSE文件掃描項(xiàng)目Readme文件掃描不合理依賴掃描所有規(guī)則可定制、可屏蔽開源審查工具OAT（OSSAuditTool）關(guān)鍵詞掃描工具（WordsTool）來源可信、版本優(yōu)選、歸一化三方軟件自研代碼代碼片斷掃描風(fēng)險(xiǎn)二進(jìn)制文件掃描三方軟件許可證兼容版權(quán)許可頭合規(guī)開源聲明及二進(jìn)制文件自研代碼二進(jìn)制文件掃描許可證兼容版權(quán)許可頭合規(guī)自研代碼商標(biāo)、術(shù)語合規(guī)加密算法公共片斷掃描工具工具細(xì)化能力開源代碼片斷掃描指定項(xiàng)目代碼片斷掃描關(guān)鍵詞可定義義務(wù)履行工具2、提供合規(guī)看板，展示分支上各倉的開源合規(guī)掃描信息合規(guī)SIG工作思路：完善社區(qū)全周期的合規(guī)治理能力，打造中國合規(guī)治理標(biāo)桿社區(qū)工具平臺(tái)建設(shè)：覆蓋社區(qū)全周期活動(dòng)的合規(guī)治理平臺(tái)來源可信EOX生命周期信息生命周期分析源代碼合規(guī)掃描許可證頭掃描開源使用合規(guī)非準(zhǔn)入license預(yù)警License準(zhǔn)入分析文件級license分析開源軟件引入社區(qū)開發(fā)發(fā)布開源貢獻(xiàn)合規(guī)商標(biāo)術(shù)語貿(mào)易合規(guī)術(shù)語敏感詞掃描License兼容性分析全量視角License兼容性分析開源發(fā)布合規(guī)OSSNotice自動(dòng)生成二進(jìn)制發(fā)布的項(xiàng)目OSSNotice自動(dòng)生成版本直接引入歸一分析版本歸一化分析漏洞信息分析開源軟件信息樹全量被動(dòng)依賴軟件成分分析責(zé)任田及Owner合規(guī)看板度量及異常告警CVE漏洞信息獲取開源軟件信息BOM化二進(jìn)制兼容性掃描版權(quán)頭掃描項(xiàng)目合規(guī)掃描項(xiàng)目許可證掃描項(xiàng)目Readme掃描不合理依賴掃描開源代碼片段掃描許可證兼容性掃描二進(jìn)制掃描二進(jìn)制溯源掃描出口貿(mào)易合規(guī)掃描構(gòu)建信息樹反向校驗(yàn)自動(dòng)建倉知識產(chǎn)權(quán)、貿(mào)易合規(guī)義務(wù)履行掃描義務(wù)履行工具掃描來源可信生命周期超期告警漏洞定位及修復(fù)DCO簽署工程能力惡意掃描及哈希驗(yàn)證數(shù)字簽名選型評估軟件BOM化高危License傳染代碼區(qū)分隔離上游回饋合規(guī)修改可追溯修改可追溯版本全量引入歸一分析回饋上游統(tǒng)計(jì)已有待增強(qiáng)來源可信及二進(jìn)制溯源掃描開源代碼片段掃描增強(qiáng)開源軟件信息BOM化合規(guī)看板度量及異常告警License兼容