September 25, for the first time OpenChain China Workshop was held in Shenzhen.
OpenChain is a project under the Linux Foundation, which developed a series of standards specifications, which contains a series of regulations and management processes, helping organizations of all sizes to more efficiently solve their open source license compliance issues. OpenChain through a unified standard, open-source license consistency will become more predictable and easy to understand, participants can participate more effectively in the software supply chain in.
OpenChain project currently has more than Platinum members include Adobe, ARM, Google, Cisco, Microsoft and so on GitHub.
Popular speaking, OpenChain project can be understood as that unifies the entire set of open source software supply chain certification standards, to join the project and its suppliers have to go through compliance found, after all so a unified framework in OpenChain the next, you do not need to worry about the open-source supply chain related issues regarding open source licensing. And that is why most of the day to attend the meeting of each company's legal affairs related to intellectual property representatives. In addition, OpenChain a procedure through this authentication process is simplified.
Open source software compliance can not be done by one person alone
In fact, not only is the current entire open source community to address this problem we are in the early stages, this is actually related to open source software patents, which also have to mention related items OIN (Open Invention Network).
OIN 是一个共享的防御性专利池,旨在保护 Linux 及其相关的开源项目。OIN 已经拥有多个行业领导者支持,包括谷歌、IBM、NEC、飞利浦、红帽、索尼、SUSE 和丰田等。任何从事 Linux、GNU、Android 或其它 Linux 相关的软件开发的公司、项目或开发者都可以加入 OIN,通过交叉许可而免费获得数千项专利或版权。
可以简单理解为 OIN 项目主要针对开源软件(并以 Linux 为基础),比如它定义了一个集成了各种软件专利认证的 Linux 操作系统是怎么样的,这可以结合微软之前开放 exFAT 到 Linux 内核时所做的承诺来理解:微软同时也宣布支持在未来 OIN 的 Linux 系统定义版本中最终包含具有 exFAT 支持的 Linux 内核;而 OpenChain 项目主要面向的是公司层面。
为什么 OpenChain 与 OIN 都关注到开源软件专利相关的问题呢,从会上多次被提到的 Patrick McHardy 案例可以大概看得出来。
Patrick McHardy 是 Netfilter 核心开发团队的前负责人,Netfilter 是 Linux 内核的一个实用网络工具,在 Linux 内核中占有比较重要的地位。来自 Linux 基金会的 OpenChain 项目总经理 Shane Coughlan 介绍,Patrick 通过给全球各个国家(包括中国)使用到 Linux(也就是使用到了 Netfilter)的公司发送邮件,以他们项目没有遵守 GPL(Linux 内核采用的开源许可协议)为由索要小额金钱,但这并不是 Linux 的主张,据介绍,Patrick 此前已经通过这种方式获得了数百万欧元。Patrick 被称为“自行担负起 GPL 执法的角色”与“开源专利流氓”,同时他的索要方式也在不断演化。
虽然开源社区对如何以最好的方式来推动公司遵守 GPL 条款也有许多苦恼(公司没有正确采用 GPL 协议本身就是不对的),但是像 Linux 大多数人认为这种维权应该是非正式的,也就是不应该通过诉讼,并且主要的目的也应该是告知合规,而不是为了惩罚企业。Patrick 的方式之所以能够奏效,主要也是因为这种机制里边存在着过多的“道德因素”,没有强制效力;并且由于像 Linux 内核这样的大型项目,它的所有权通常是分散在不同开发者手里,那么这些个体所有者就可以采取不符合社区整体目标的维权行动,Patrick 就是以一人的想法代替了整个 Linux 内核在进行所谓的维权(当然了,Linux 社区唾弃他)。
所以我们可以看到开源软件会在运作中产生这样那样的专利许可等问题,并且对于整个软件供应链会造成严重的破坏,OpenChain 与 OIN 可能就是行之有效的解决方案。
回到此次 OpenChain 会议上,会上大家还讨论了当前中国公司在开源方面面临的一些问题与挑战,特别是关乎到整个开源软件供应链上的问题,诸如目前没有便捷的机制去把控公司使用到的开源项目的合规性,比如从 npm 或者 Maven 等软件平台上下载一个项目,这些项目虽然声明了采用某某开源协议,但是当你只想要快速、简单地使用它提供的二进制包时,那这种时候,怎么去确认它的协议合规性呢?同时项目下又可能会依赖许多其它的项目,这又使同一个问题更加复杂;又比如有人提出源代码继承问题,比如开源贡献者死亡,那么他所写的代码的继承如何处理?
目前 OpenChain 相关活动已经在日本与韩国等地展开,中国这还是第一场线下活动。开源软件供应链上的相关问题虽然棘手,但是现场 Shane 与 OIN 首席执行官 Keith Bergelt 都认为接下来的 5 年内,中国在这一方面的建设将会跑在世界前列。
关于 OpenChain 的更多信息查看官网: