6月3日OpenChain开源治理论坛圆满结束，安势愿与您在开源治理之路上共同成长！

安势信息

2023-06-07

导读：OpenChain开源治理论坛圆满结束，期待与您的下次相见！

6月3日，由安势信息联合OpenChain、中国信通院、华为联合主办的「O2SGCon」OpenChain开源治理论坛于深圳大梅沙京基洲际度假酒店完美落幕。本次论坛邀请了来自于国外的开源治理专家，以及国内多家知名头部企业、社区组织的开源先锋为参会人员带来了非常精彩的开源治理实践经验分享以及探讨。

近几年开源技术或各类开源项目层出不穷，开源甚至在云计算、大数据、移动互联网等领域已经逐渐成为软件信息技术的重要支柱。开源一方面可以突破技术壁垒，推动技术创新，但随之而来的也有众多的知识产权、信息安全等问题。本次OpenChain开源治理论坛汇集众多国内外开源精英的智慧与经验，提供了一个业内你我能够沟通及交流的平台，也希望能为源治理带来更多的思考并开拓更多的前进方向。

大海、美食、沙滩、拥抱开源的你我他，本次论坛就这样在淅淅的海浪声中拉开帷幕。

嘉宾致辞

Remark

作为本次论坛的kick off嘉宾—来自华为的高锟先生以风趣幽默的形式为我们介绍了本次论坛的议程及嘉宾们。

Shane Coughlan

OpenChain General Manager

“The mission of OpenChain is business, very practical business, we are interested how to make the global supply-chain work better, we are interested how to make open source software more efficient to use, we want to reduce the costs and increase opportunity for products and services to market……”

在Coughlan先生的致辞中，我们不仅了解到了OpenChain的愿景与使命。同时在Coughlan先生看来，开源治理是一个国内外企业都急需关注的板块，开源的使用的确使得我们的开发流程更加迅速与便捷，但是不可忽视的是，众多的公司也的确因为开源的使用而引发了众多的问题，尤其是很多公司往往在产品进入市场后甚至出现事故后才会注意到安全问题以及合规问题，但是这无疑会耗费巨大的成本去解决这些问题，因此对于开源的使用我们需要一套有效的管理流程及标准去规范它们从而让开源软件的使用更加高效。

因此，开源治理刻不容缓，而今天的这场论坛，不仅仅意味着我国众多企业已经意识到开源治理这一重要问题，也是一场针对于开源治理的盛大交流会。

孟广斌华为开源软件管理委员会主任

“开源软件在各行各业中都起到了非常关键的作用，数据显示对于一般企业来说开源代码的占有率大概在60%到80%左右；从竞争力角度看，开源软件对于众多企业来说都是非常依赖的，但是因为开源软件的特点—代码的公开性及贡献者的多样性，以及在过去的那么多年，很多的企业、组织、个人对开源的认知出现了一些偏差，导致开源在安全、合规以及供应链中存在着巨大的挑战……”

孟广斌主任的致辞不仅为我们阐述了开源治理的严峻性，也为我们分享了华为作为国际大型企业的对于开源管理及治理的一些战略。主要体现在以下三个方面：

1.对内，基于对开源软件的使用建立一套覆盖整个企业的管理机制。

2.对外，积极建立并维护华为对外进行分享和分发的开源社区及平台。

3.基于以上两点，从华为自身的企业实践出发，与国内外众多企业进行交流分享，来进一步推动我国及整个产业的开源合规及安全的制度与文化建设。

薛植元安势信息CEO

“对于企业来说，在购买一款产品或者服务后，最后悔的时候往往是在签订合同那一瞬间，要如何才能让客户在采购一款工具以后不后悔，要怎样才能够帮助用户成功，要怎么样才能够帮助用户的用户成功，这是值得我们去思考的…”

薛植元先生基于他在开源安全方面有多年的理解和业务经验，为我们分享了三个小故事，从这三个小故事为我们讲述了开源治理对于企业的重要价值以及他的一些业务理念的的分享。

郭雪中国信通院云大所开源和软件安全部主任

“目前开源的应用已经是非常广泛的了，已经逐渐成为了我们的数字基础设施，可以称为“新基建”的范畴，面对大量开源软件的使用，如何有效的实施管控，控制风险，在我看来是非常重要的一个话题……”

郭雪女士致辞结束后随即为我们带来了她的分享—《中国信通院开源治理标准体系》，本次分享郭女士基于大量的数据分析，基于不同行业的维度，向我们阐述了开源治理在不同行业的标准及体系的制定理念，也和我们共同探讨了开源治理的体系建立中存在的问题以及切实可行的解决方案。作为本次论坛的第一位分享嘉宾，郭雪女士用她专业的的知识与丰富的经验为在座的各位提供了新的开源治理实践方向。

主题演讲

Keynote

作为本次论坛的第二位演讲嘉宾，来自中兴通讯的开源合规&安全治理总监项曙明先生为我们带来了他的主题分享—《构建组织级有效的许可证治理机制》，项总从他的角度，为我们剖析了开源软件许可证“怎么用”，“怎么管”，“怎么保证有效”的治理实践，同时项总也提到：

“许可证的风险可能不是开源最大的风险，一般会给你留出整改时间，就怕你前期从没关注和分析，不能在规定时间完成整改，从而导致核心资产开源、增加商业License购买、某些开源软件使用失权、甚至丢失细分市场。”

由此可以看出，在明确企业开源战略和治理目标的前提下，通过许可证治理，可以有效让企业进一步实现“降本增效”。

作为午餐后第一位为我们带来分享的嘉宾，来自荣耀终端的开源软件管理专家钟鸣女士的《软件成分分析在开源软件管理中的作用》阐述了开源软件管理的全流程，并且为我们简述了作为开源软件管理的有效工具——SBOM的使用实践，从主观登记、客观分析以及主客观结合验证三个方向展示了SBOM的具体运用，最后在从SCA工具的角度带来了全量与增量相结合的软件成分分析实践。

安势信息的产品架构总监朱贤曼女士作为我国在开源治理方面的先锋，无论是从开源安全还是开源合规，朱老师都有着丰富的经验。本次朱老师的《基于SBOM的开源风险管理实践》主要围绕着SBOM展开，将SBOM的生产、分发、使用等环节与企业的SDLC流程相结合，提供了一套对于企业来说极具实践价值的开源风险管理方案。不仅如此，朱老师还为我们阐述了对于不同类型的企业来说的一些SBOM之外的对于开源治理的解决方案，包括构建完整性、源代码完整性以及可用性三个方面，为在做的各位嘉宾提供了开源治理的实践新方向。

沃尔沃是国际知名的汽车品牌，也是世界上汽车生产的先驱厂商，本次论坛有幸邀请到来自于沃尔沃汽车开源生态总监—Mary Wang女士为我们带来了基于沃尔沃的一些开源治理经验分享——《Volvo car’s OSPO and Compliance Challenges》。Mary Wang女士首先为我们分享了沃尔沃公司的发展历程。而后为我们讲述了沃尔沃汽车的开源办公室的诞生，并基于几个Case study，具体的为我们展示了作为汽车企业从内部、外部两个方面对于开源的管控及实践。

最后带来分享的是来自openKylin社区合规SIG maintainer丁紫薇女士，她带来的演讲主题是《开源许可证变更思考》。开源许可证的变更一直都是开源合规中的一项难题，对众多企业组织来说，有效且正确的对开源许可证进行变更是一个涉及多部门事情并且直接影响企业的上下游厂商。丁女士从“如何变更许可证”、“ 变更后对下游厂商的影响”、“如何处理许可证变更”三个维度进行展开，从LLVM社区变更开源许可证的案例入手，给我们提供了一套有效可行的开源许可证变更的实践思路及其可能产生的影响。

圆桌讨论

Round Table

作为本次论坛的亮点环节，圆桌讨论将本次论坛的氛围推向高潮。本次讨论的议题为：ChatGPT, AIGC究竟是开源合规治理之“福”，还是“祸”？

在安势CEO薛植元先生的主持下，讨论唇枪舌剑，你来我往，嘉宾们就各类大模型、大算法等与AI相关的各类热门领域与台下的参会人员展开了深刻的讨论。不论是从感性面或理性面，很多嘉宾都表达了自身对于AI发展的情绪态度，甚至也有嘉宾随着本次讨论的不断深入改变了之前的态度，整场讨论深刻又不失诙谐。总之，本次讨论让大家对AI的发展与开源治理有了更加深刻的思考与收获。