IT资讯 首次 OpenChain 中国活动,从 Patrick 代行 GPL 执法案讲起

lenny · 2019-09-27 12:30:06 · 热度: 18

9 月 25 日,第一次 OpenChain China Workshop 在深圳举行。

首次 OpenChain 中国活动,从 Patrick 代行 GPL 执法案讲起

OpenChain 是 Linux 基金会下的一个项目,它制定了一系列标准规范,这些规范和条例包含一系列管理流程,用来帮助各种规模的组织更高效地解决他们的开源许可证一致性问题。通过统一的 OpenChain 规范,开源许可证的一致性将变得更加可预测和易于理解,参与者可以更有效地参与到软件供应链中。

OpenChain 项目目前已有多位白金会员,包括 Adobe、ARM、谷歌、Cisco、微软与 GitHub 等。

通俗地来说,OpenChain 项目可以理解为,它统一了一套在整个开源软件供应链上的认证标准,加入的供应商及其项目都需要经过合规认定,之后大家在 OpenChain 这么一个统一的框架下,就不需要再担心开源供应链上关于开源许可的相关问题。而这也就是为什么当天参加会议的大多是各个公司的法务与知识产权相关的代表。此外,OpenChain 还通过一套程序将这个认证过程简化了。

首次 OpenChain 中国活动,从 Patrick 代行 GPL 执法案讲起

开源软件合规无法由一个人单独完成

其实不仅是国内,目前整个开源界对于这个问题的探讨都处在早期阶段,这其实涉及到开源软件专利问题,这里也不得不提一下相关项目 OIN(Open Invention Network)。

OIN 是一个共享的防御性专利池,旨在保护 Linux 及其相关的开源项目。OIN 已经拥有多个行业领导者支持,包括谷歌、IBM、NEC、飞利浦、红帽、索尼、SUSE 和丰田等。任何从事 Linux、GNU、Android 或其它 Linux 相关的软件开发的公司、项目或开发者都可以加入 OIN,通过交叉许可而免费获得数千项专利或版权。

可以简单理解为 OIN 项目主要针对开源软件(并以 Linux 为基础),比如它定义了一个集成了各种软件专利认证的 Linux 操作系统是怎么样的,这可以结合微软之前开放 exFAT 到 Linux 内核时所做的承诺来理解:微软同时也宣布支持在未来 OIN 的 Linux 系统定义版本中最终包含具有 exFAT 支持的 Linux 内核;而 OpenChain 项目主要面向的是公司层面。

为什么 OpenChain 与 OIN 都关注到开源软件专利相关的问题呢,从会上多次被提到的 Patrick McHardy 案例可以大概看得出来。

Patrick McHardy 是 Netfilter 核心开发团队的前负责人,Netfilter 是 Linux 内核的一个实用网络工具,在 Linux 内核中占有比较重要的地位。来自 Linux 基金会的 OpenChain 项目总经理 Shane Coughlan 介绍,Patrick 通过给全球各个国家(包括中国)使用到 Linux(也就是使用到了 Netfilter)的公司发送邮件,以他们项目没有遵守 GPL(Linux 内核采用的开源许可协议)为由索要小额金钱,但这并不是 Linux 的主张,据介绍,Patrick 此前已经通过这种方式获得了数百万欧元。Patrick 被称为“自行担负起 GPL 执法的角色”与“开源专利流氓”,同时他的索要方式也在不断演化。

虽然开源社区对如何以最好的方式来推动公司遵守 GPL 条款也有许多苦恼(公司没有正确采用 GPL 协议本身就是不对的),但是像 Linux 大多数人认为这种维权应该是非正式的,也就是不应该通过诉讼,并且主要的目的也应该是告知合规,而不是为了惩罚企业。Patrick 的方式之所以能够奏效,主要也是因为这种机制里边存在着过多的“道德因素”,没有强制效力;并且由于像 Linux 内核这样的大型项目,它的所有权通常是分散在不同开发者手里,那么这些个体所有者就可以采取不符合社区整体目标的维权行动,Patrick 就是以一人的想法代替了整个 Linux 内核在进行所谓的维权(当然了,Linux 社区唾弃他)。

所以我们可以看到开源软件会在运作中产生这样那样的专利许可等问题,并且对于整个软件供应链会造成严重的破坏,OpenChain 与 OIN 可能就是行之有效的解决方案。

回到此次 OpenChain 会议上,会上大家还讨论了当前中国公司在开源方面面临的一些问题与挑战,特别是关乎到整个开源软件供应链上的问题,诸如目前没有便捷的机制去把控公司使用到的开源项目的合规性,比如从 npm 或者 Maven 等软件平台上下载一个项目,这些项目虽然声明了采用某某开源协议,但是当你只想要快速、简单地使用它提供的二进制包时,那这种时候,怎么去确认它的协议合规性呢?同时项目下又可能会依赖许多其它的项目,这又使同一个问题更加复杂;又比如有人提出源代码继承问题,比如开源贡献者死亡,那么他所写的代码的继承如何处理?

目前 OpenChain 相关活动已经在日本与韩国等地展开,中国这还是第一场线下活动。开源软件供应链上的相关问题虽然棘手,但是现场 Shane 与 OIN 首席执行官 Keith Bergelt 都认为接下来的 5 年内,中国在这一方面的建设将会跑在世界前列。

关于 OpenChain 的更多信息查看官网:

https://www.openchainproject.org

暂无回复。
需要 登录 后方可回复, 如果你还没有账号请点击这里 注册