1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 建筑/施工
  5. 建筑规范

OpenHarmony合规SIG项目简介.pptxVIP

OpenHarmony合规SIG项目简介.pptx

    1. 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
    2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    4. 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
    5. 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
    6. 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
    7. 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
    查看更多

    OpenHarmony合规SIG项目简介

    申请人:xx

    时间:xx年xx月

    背景:随着OpenHarmony社区的蓬勃发展,开发者向社区提交的代码越来越多,同时社区内引入的第三方开源软件也越来越多,这使得OpenHarmony面临的潜在合规风险也越来越大。在OpenHarmony开源过程中,我们开发了开源合规审查工具OAT,敏感词扫描工具、Notice生成、片段扫描等合规工具,并配合棱镜七彩工具,为社区开发提供了基础的合规风险识别及拦截能力,包括合规风险看板等,但当前的社区的合规活动中依然存在不少的人工环节和需要投入大量的人力维护,随着社区规模的上升,这将对社区的合规形成巨大的挑战。

    因此,我们希望在现有OAT等开源工具链的基础上,成立合规SIG,加强多方联接与投入,拥抱业界开源最佳实践成果,进一步加强开源合规治理的机制和工程体系,包括标准/规范、流程、装备工具、组织,通过持续的社区共建,为参与社区的组织和个人提供更完备的开源合规治理解决方案及服务。

    版权

    许可证

    许可协议选择

    许可证文件

    许可证兼容性

    许可声明

    其它

    文件类型

    内部非公开信息

    商标

    专利

    开源代码片断

    三方软件

    来源合规(代码、资料、图片、音视频)

    开源范围

    版权声明

    开源应用战略

    商业约束

    生态

    舆论

    开源引入

    来源

    许可证兼容

    技术生态

    网络安全

    生命周期

    归一化

    开源使用

    开源集成方式

    使用声明

    开源修改(解耦、兼容、扩展)

    开源义务

    漏洞修复

    升级(许可变更)

    OpenHarmony合规SIG定位

    OpenHarmony合规SIG工作目标和范围

    SIG组工作目标

    建立OpenHarmony的开源合规工程体系

    拟定OpenHarmony的开源合规治理的规则、规范、流程

    开发OpenHarmony的开源合规工具

    提供OpenHarmony的开源合规服务

    工作范围

    本小组首期核心工作聚焦于社区开源合规治理工程体系及能力的构建,根据开源软件及社区开发的生命周期,我们将开源合规分为

    来源可信

    (三方开源软件、社区代码贡献)

    许可证遵从

    (三方开源软件许可证兼容、三方开源软件证义务履行、项目许可证)

    知识产权合规

    (版权、专利、商标、术语)

    版本发布合规

    (贸易合规、发布包许可证)

    本小组工作包含以上分类中

    工程能力及工具的规划及建设

    流程规则的起草及拟定

    孵化项目毕业的合规评审

    与社区内及业界组织在工程能力方面协作

    合规治理方面最佳实践的引入与对外分享

    社区内合规文化与培训

    与社区已有开源合规审查工具OAT项目的关系:

    本小组作为一个伞形项目,包含开源合规审查工具OAT,即OAT是SIG-Compliance中的一个子项目,也是当前门禁上最主要的合规审查工具,本小组一方面会持续演进OAT工具,另一方也会引入业界其他最佳实践及工具,将多种能力进行集成,共同打造合规工程体系

    与工作委员会下开源合规组的关系:

    原则上,本小组应在开源合规组的指导下完成工程能力的建设,并定期向工作委员会下的开源合规组进行工作汇报

    本小组不包含

    社区合规及法务问题的官方口径

    社区合规及法务问题的最终解释权

    社区合规治理标准规范的最终审核权

    社区现有合规能力:提供多种合规工具并已集成到门禁及质量看板,覆盖基础合规风险

    当前进展

    1、基于片断扫描工具、OAT等工具已覆盖基础的合规能力并已部署到社区门禁

    二进制文件扫描

    许可证兼容性扫描

    义务履行配置扫描

    源文件许可头扫描

    源文件版权头扫描

    项目LICENSE文件扫描

    项目Readme文件扫描

    不合理依赖扫描

    所有规则可定制、可屏蔽

    开源审查工具OAT

    (OSSAuditTool)

    关键词扫描工具

    (WordsTool)

    来源可信、版本优选、归一化

    三方软件

    自研代码

    代码片断扫描

    风险

    二进制文件扫描

    三方软件

    许可证兼容

    版权许可头合规

    开源声明及二进制文件

    自研代码

    二进制文件扫描

    许可证兼容

    版权许可头合规

    自研代码

    商标、术语合规

    加密算法

    公共

    片断扫描工具

    工具

    细化能力

    开源代码片断扫描

    指定项目代码片断扫描

    关键词可定义

    义务履行工具

    2、提供合规看板,展示分支上各仓的开源合规扫描信息

    合规SIG工作思路:完善社区全周期的合规治理能力,打造中国合规治理标杆社区

    来源可信及二进制溯源扫描

    开源代码片段扫描增强

    开源软件信息BOM化

    合规看板度量及异常告警

    License兼容性分析

    License准入分析

    生命周期分析

    版本归一分析

    漏洞信息分析

    全量被动依赖软件成分分析

    构建信息树反向校验

    OSSNotice自动生成

    修改可追溯

    回馈上游统计

    拥抱开源新时代

    您可能关注的文档

    最近下载

    文档评论(0)

    各类考试教育模板资料专家 + 关注
    实名认证
    服务提供商

    专注于各类教育类资料、资格考试类资料、实用模板类资料、行业资料等十余年。

    咨询作者(9人已咨询) 已休息

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >