报告核心观点 - 开源并购评估清单可评估组织开源实践 需坦诚评估开源项目优缺点 组织应根据自身情况调整合规方法 [7][9][10] 评估类别 开源软件发现 - 产品开发周期早期进行开源软件发现 系统识别需合规分析的软件和材料 [13][17] - 第三方供应商披露交付物中的开源软件 组织审查披露内容准确性和完整性 [19] - 组织定期审计开源软件使用情况 准备开源物料清单 [19] 开源软件使用的审查和批准 - 组织审查所有产品和服务中使用的开源软件 定义触发重新批准的情况 [21] - 采用系统方法识别代码基线变化 有效进行增量合规 [21] - 开源审查委员会审查和批准开源软件使用 定义相关程序并记录审议情况 [23] 义务履行 - 组织验证第三方供应商提供满足开源许可义务的信息 定义触发许可义务的软件传输模式 [27] - 组织以一致和规范的方式履行义务 提供许可证文本和义务要求的存储库 [27] - 开发团队按要求提供完整源代码 进行验证活动确保源代码可构建和符合要求 [29] 社区贡献 - 社区贡献按定义流程审查和批准 确定员工贡献是否与工作相关 [34] - 明确计划贡献的版权归属 跟踪公司对开源社区的贡献 [34] 政策 - 制定政策使公司能够在产品和服务中使用开源软件 由高级管理人员倡导并传达给整个公司 [35] - 政策涵盖合规行动的角色和职责、开源软件使用的审查和批准流程等内容 [38] 合规人员配置 - 提供有技能和知识的人员参与合规工作 明确合规职能的工作描述 [38] - 从跨职能部门抽调人员参与合规 提供培训和学习机会 [38] 业务流程调整 - 估算合规工作的总工作量和持续时间 制定人员配置计划以满足产品发布周期 [41] - 修改现有业务流程以纳入开源合规活动 进行流程失效模式与影响分析 [42] 培训 - 为接触开源软件的人员提供基本培训 定义培训对象并记录培训情况 [46] - 提供开源相关主题的额外培训 鼓励内部开源用户和贡献者社区的发展 [46] 合规流程管理 - 明确实现组织级开源合规的责任 合规支持团队可获取相关专业资源 [48] - 应用项目管理原则管理合规项目和团队活动 设定合规目标和优先级 [48] 开源软件清单 - 跟踪产品合规活动的进度 系统跟踪开源问题的解决情况 [52] - 维护产品和服务中开源内容的准确记录 开源审查委员会维护审查记录 [52] 自动化和工具支持 - 评估合规流程以确定自动化和工具支持的机会 定期调查相关工具 [56] - 采用系统方法评估工具 计划和执行工具获取或开发项目 [56] 验证 - 使用批准的方法确定产品中开源软件的内容和需合规分析的文件 跟踪开源问题至解决 [59] - 合规团队按定义程序进行验证活动 确保产品发布时满足开源许可义务 [60] 流程遵守审计 - 进行流程遵守审计以确定组织是否遵循定义的合规流程 评估合规结果 [64] - 审计确定组织是否维护准确的开源软件内容和合规活动记录 [64] 收购目标公司的审计准备 了解代码内容 - 维护完整的软件清单 包括软件组件的来源和许可信息 具备识别和跟踪开源组件的流程 [66] - 制定开源合规政策和详细流程 输出开源物料清单 [67][70] - 大型企业的开源合规团队是跨学科团队 小型公司或初创企业可由工程经理和法律顾问组成 [71][73] - 提供开源和合规培训 提高员工对开源政策和策略的认识 [74] - 使用工具自动化源代码审计、发现开源代码和识别许可证 [75] 保持合规 - 跟踪所有开源软件的使用 编制最终的开源物料清单 履行开源许可义务 [76] - 每次发布软件更新时重复合规流程 及时认真响应合规查询 [79] 使用最新版本以确保安全 - 利用合规计划查找并替换不安全的开源组件版本 升级时确保组件许可证不变 [77][78] - 企业开发者应订阅并监控相关邮件列表 关注安全漏洞和修复信息 [78] 评估合规工作 - 参与OpenChain项目并获得“OpenChain Conformant”状态 确认组织有开源软件合规流程或政策 [79] 收购公司的审计准备 选择合适的审计方法 - 传统审计模型由第三方审计公司的合规审计员远程或现场扫描源代码 按流程执行并交付报告 [82][87] - 盲审计模型由FOSSID AB利用专有技术在不查看源代码的情况下进行审计 提供高度保密性 [89] - 自行审计方法使收购方或目标公司可使用开源合规云工具自行扫描 适合有内部经验的公司 [92] 明确关注重点 - 确定关键的许可证和用例 关注相关信息 [97] 提出正确问题 - 利用清单中的问题与目标公司沟通 澄清或确认合规相关问题 [98] 确定交易前需解决的事项 - 识别开源审计中发现的不可接受的许可证或合规实践 要求目标公司解决 [99][100] 制定收购后合规改进计划 - 收购大公司收购小初创企业时 帮助目标公司建立正式合规政策和流程 提供培训和支持 [101] 推荐的合规相关开发实践 推荐实践 - 使用开源软件前请求批准 链接代码时遵循相关规定 [104] - 更新修改日志 记录代码与开源软件的接口信息 [104] - 保存开源软件包的许可证信息 升级时验证许可证是否变化 [104] 避免常见错误 - 不删除或干扰现有许可或版权信息 不重命名开源组件 [107] - 未经批准不复制粘贴代码 不将开源或第三方代码提交到内部产品源代码树 [107] - 未经批准不合并不同许可证的源代码 不与公司外部人员讨论合规实践 [107] 结论 - 开源尽职调查是并购交易中重要的一部分 若双方做好准备并与高效的合规服务提供商合作 可快速完成 [108] - 目标公司应保持良好的开源合规实践 收购公司应明确关注重点并具备解决问题的能力 [109] - 开源合规是持续过程 公司应投资建设和改进开源合规计划 [110]