DSO 2022 | OpenChain Shane：OpenChain与供应链信任建设

在本届大会上，OpenChain总经理Shane Coughlan发表了主题为“OpenChain and Building Trust in the Supply Chain（OpenChain与供应链信任建设）”的演讲，详细介绍了OpenChain在开源软件供应链安全方面所做出的积极努力和贡献。

图1 OpenChain总经理 Shane Coughlan

以下为演讲实录：

大家好，我是Linux基金会OpenChain总经理Shane Coughlan。我们相聚于此讨论安全，其实也是在讨论信任，而我所管理的OpenChain项目非常熟悉如何围绕开源软件许可证合规等开展工作，从而在开源软件供应链中建立信任。

OpenChain项目是Linux基金会生态系统的一部分，作为一个社区项目，它是由使用开源软件的企业共同组织和运营的。目前，OpenChain管理委员会中有来自各地的知名企业，比如芯片行业的ARM和高通，汽车行业的博世、宝马和丰田，电信行业的华为、爱立信和思科，以及谷歌、微软、索尼、OPPO、康卡斯特等。所有成员都有一个共同的使命，就是通过使用开源软件获取最大价值并与开源社区建立密切关系。

图2 悬镜安全是OpenChain重要的生态合作伙伴

OpenChain项目是围绕开源软件许可证合规及安全性开展工作，致力于在全世界的软件供应链中建立起信任。为此，OpenChain成立了许多全球工作组、行业特殊利益小组和本地用户组，共同讨论、分享并不断提出新的思路和解决方案。工作组方面，有制定和维护许可和安全方面标准的工作组、帮助如何采用标准和开展开源培训的教育工作组、帮助如何通过自动化工具确保流程高效运行的自动化小组以及最近设立的关于公共政策和出口管制的工作组。行业特殊利益小组目前包含汽车行业、电信行业和官方合作伙伴。而且，OpenChain在中国、日本、韩国、印度、德国、英国、美国等地区都设立了本地用户组，并持续向其他区域扩张中。以上所有活动都是为了给各企业提供讨论软件供应链信任和合规话题的场所。

OpenChain社区与许多研究开源标准和政策的机构组织保持着良好的关系，比如中国信息通信研究院，它是OpenChain ISO/IEC 5230:2020标准的第三方测评机构，能帮助企业采用这一开源软件许可证合规相关标准。

ISO/IEC 5230:2020标准由OpenChain在2016年制定并作为行业标准进入市场，随后于2020年正式成为了ISO标准。自此，该标准被越来越多地使用。

ISO/IEC 5230:2020并不复杂，它用十分简洁清晰的语言帮助企业组织明确处理软件入站、内部和出站跟踪所需的关键拐点，从而显著降低开源软件许可证合规风险。犯错误的企业越少，软件供应链就越值得信任，这种想法简单却又十分有效。在过去的几年里，使用此标准的企业在节省大量成本的同时获取了客户的信任。对于政府的决策者和立法者而言，该标准帮助消除了社会基础设施中开源软件的不确定性。

ISO/IEC 5230:2020解决了开源软件供应链的信任挑战，在市场上取得了巨大成功，不过OpenChain并没有因此停滞不前。

大约在两年前，OpenChain社区注意到部分企业通过使用ISO/IEC 5230:2020这一开源许可证合规标准来保障开源安全。合规与安全在某些场景下具有相似性，例如在识别和跟踪引入的软件时，以及对包含该软件的产品或解决方案进行检查时。我们在发现企业对开源安全领域关注的同时，编写了一份安全指南，指出ISO/IEC 5230:2020标准中与安全相关的部分。在进一步思考之后，我们也意识到市场存在一个空白，拥抱开源并希望得到安全保障的企业缺少一个标准化的解决方案。

为此，OpenChain社区以原有的ISO/IEC 5230:2020标准为基础制定了新的开源安全标准，并且新标准同样非常简洁，也非常容易被采用。如果企业已使用ISO/IEC 5230:2020许可证合规标准，便能很快适用新的开源标准，反之亦然。OpenChain在今年已正式发布该开源安全标准，并会于2023年推动其成为ISO标准。

此外，在2023年，我们仍将继续运营和推广OpenChain社区。正如前文所述，社区中的全球工作组、行业特殊利益小组和本地用户组将继续完善参考资料来帮助企业使用OpenChain标准。我们在继续搜集和整理市场知识的同时，也会讨论许多重要议题，比如标准的更新、标准及参考资料的翻译，以及最为重要的议题——如何让越来越多的企业加入OpenChain社区并参与共建。

无论是过去还是将来，OpenChain社区始终专注于营造一个提出问题并解决问题的环境，世界上任何地方的任一企业都可以在社区中提出自己在开源软件供应链安全方面的问题，同时也会有其他企业来帮助解决。我们真诚地欢迎每一个拥抱开源的企业加入OpenChain社区，无需成本，没有限制，共同构建值得信赖的开源软件供应链。

非常感谢悬镜安全邀请OpenChain成为本届大会的支持单位之一，也很高兴能在会上发表主题演讲。大会的每位嘉宾都专注于令人惊叹的工作，分享令人醍醐灌顶的知识。OpenChain也希望能举办如此盛会，在世界各地进行分享和讨论，共同解决开源软件供应链安全挑战。

关于DSO敏捷安全大会

DSO敏捷安全大会以“敏捷共生，守护中国软件供应链安全”为使命，旨在搭建一个融合“行业用户场景实践、产业智库标准研究、安全媒体行业趋势和领军厂商创新技术”的DevSecOps生态交流分享平台。聚集技术智慧之光，携手共建，致力于助力敏捷安全技术创新实践发展，共筑行业整体性解决方案。了解更多信息请访问DSO大会官网：www.dsocon.cn

关于悬镜安全

悬镜安全，DevSecOps软件供应链安全领导者，起源于北京大学网络安全技术研究团队“XMIRROR”，创始人子芽。悬镜专注于以“代码疫苗”技术为内核，通过原创专利级“全流程软件供应链安全赋能平台+敏捷安全工具链”的第三代DevSecOps智适应威胁管理体系，持续赋能金融、泛互联网、车联网、智能制造、能源及运营商等数千家行业标杆用户，帮助其构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的内生积极防御体系。了解更多信息请访问悬镜安全官网：www.xmirror.cn