开源软件合规实践4:开源代码溯源


软件的多源开发模型

开源软件合规实践4:开源代码溯源

软件的多源开发模型

800 字 | 阅读需要 2 分钟
标签: open source  book  compliance 

这篇文章是 Recommended Open Source Compliance Practices for the Enterprise 电子书(可从 Linux Foundation 网站免费下载)的中文连载第四篇。

让您的软件提供商参与开源合规中至关重要。软件提供商必须披露其可交付成果中包含的开源代码,并提供包括适用源代码在内的所有通知(notice)。

图 7 描绘了多源开发模型和传入源代码的各种源组合。在此模型下,产品或软件堆栈可以包含专有软件、第三方商业和第三方开源软件的任意组合。例如,除了第三方专有源代码之外,软件组件 A 可以包括专有源代码,而软件组件 B 除了可以包含来自开源项目的源代码之外还可以包括专有源代码。

当今的公司处于必须更新其供应链(软件采购)程序以解决获取和使用开源软件的状态。通常会有供应链人员参与将软件从供应商转移到贵公司。他们可以通过两种主要方式支持开源合规性活动:

  • 要求第三方软件提供商披露他们在其可交付成果中使用的任何开源,以及
  • 协助许可与开源软件包捆绑在一起或与之集成的第三方软件。

此领域的推荐做法是强制第三方软件提供商披露其产品中使用的所有开源组件,并声明他们计划如何满足适用的开源许可证义务。如果第三方软件包含开源,供应链必须确保在初始入口后满足开源许可证义务——您作为提供开源产品或服务的分销商将承担这些义务和责任。


开源合规实践专栏

「真诚赞赏,手留余香」

Jimmy Song

真诚赞赏,手留余香

使用微信扫描二维码完成支付

800 字 | 阅读需要 2 分钟
标签: open source  book  compliance 

DevOps 实战笔记