93. l 仰賴於使用的軟體科技
l 現代軟體專案使用依賴管理
l 進口聲明、依賴項、所使用的函式庫,諸如此類等
l 可以獲取定義的依賴項
l 在一些OSS的個案中,使用過的元件原碼可以被提出
l 然而.複雜的軟體也可以呈現二進位的形式執行
l 必須確定二進位式文件的來源及內容
l “手工的依賴項”:增加商用軟體
如何去了解何謂導入
95. l 授權許可增加
l 大約350個主要授權存在
l 還有許多未涵蓋的部分
l 已存在的授權升級為新版本
l 以不同語言做成授權許可 (例如: 法語CeCILL)
l 必須了解授權許可義務
l 商業授權如EULA 缺少標準化流程
證明導入軟體中的授權內容:問題(1)
96. l OSS = reuse OSS=重複使用
l OSS要件並非總是具備同質性的
l 若是OSS存在,把它從其他位置拉出來
l 原碼來自其他資源,具備不同的授權許可
l 主要的授權並不適用於全部的內容
l 如果方案未對所有貢獻成果強制執行常見的授權
l CLA: 貢獻者授權許可協議
證明導入軟體中的授權內容:問題(2)
112. 物料清單可以為基本的權利義務,例如在:
l 美國:網路供應鏈管理以及 Transparency Act of 2014
l 德國: KRITIS: BSI-Kritisverordnung [2]
l 有呈報設備干擾義務
l 有實施資訊安全義務
l 要求了解物料清單基本知識
物料清單證明文件(2)
[2] https://www.bmi.bund.de/SharedDocs/pressemitteilungen/DE/2017/06/nis-richtlinie.html
113. 是的,有時候軟體開發者會想將其心血公開
l 補充說明:動機3.0[3]
l 如何公開? - 一個程序主題
l 但是證明文件是必備的(除公開發行外)
l 什麼是所需涵括的授權書?什麼是自己的授權?
l 形式方面上都有達到需求嗎?
你的自身軟體如同OSS(1)
[3] https://www.youtube.com/watch?v=u6XAPnuFjJc
139. l 整合入Dev Ops 工具需要自定義
l 構建軟體取決於使用的技術以及獨立設置工具
l 若軟體由不同技術建構而成,則需要付出額外的努力
l 如今,建構環境已包含所涉及OSS軟體授權許可的元數據
l 識別的軟體要件可能需要額外的檢查才能確定實際的許可訊息
l (在異構許可的情況之下)
Dev Ops 持續整合:科技
144. l 問題:一旦分析了要件 w.r.t. 授權許可合規性則不應要求重複分析,但應得重複
使用資訊
l 要件目錄:
l 使用於產品或方案中的地圖要件
l 如果組織實際上有多種產品則是有道理的
l 向組織展示重要的軟體要件
l 允許對每個產品涉及的許可進行綜合概述
要件目錄:解決問題
145. l 一個要件目錄可以被視為一個入口網站
l 存放目錄資訊的數據庫
l 另一個使用案例是歸檔OSS發佈/原碼
l 亦可儲存多項文件,例如授權許可分析報告、SPDX文件
l 提供匯報產量,例如OSS產品證明文件
l 要件目錄能夠如同入口網站一般實行,因此可以進入組織中的不同客戶的電腦
之中
要件目錄:科技