GOTC2023極氪汽車開源合規(guī)體系建設(shè)實(shí)踐分享-「軟件定義汽車」專場

「軟件定義汽車」專場極氪汽車開源合規(guī)體系建設(shè)實(shí)踐分享吳慧康2023年05月28日極氪ZEEKR知識知識知識知識范范第一課組織架構(gòu)極氪開源合規(guī)公司多條公司多條研發(fā)團(tuán)隊(duì)制度建設(shè)流程落地培訓(xùn)宣傳對外交流OSCAR尖峰開源企業(yè)（開OSCAR尖峰開源企業(yè)（開源治理）【制造業(yè)唯一】參與國內(nèi)首份開源辦公室案參與國內(nèi)首份開源辦公室案例集編撰【制造業(yè)唯一】開源合規(guī)審查小組CLO審檢維履行開源合規(guī)各項(xiàng)管理要求配合安全人員修復(fù)安全漏洞對引入的開源組件代碼記錄信息審核合規(guī)風(fēng)險(xiǎn)并出具整改意見已使用的開源軟件漏洞追蹤解決擬使用的開源軟件的漏洞檢測審核開安全漏洞風(fēng)險(xiǎn)并提供分析意見開源軟件安全漏洞評估和處置工作外采軟件開源合規(guī)的合同管理歸納和梳理開源協(xié)議牽頭制定制度文件開源協(xié)議培訓(xùn)及指導(dǎo)檢查組件代碼庫開發(fā)和日常運(yùn)維工作根據(jù)需求對引入的開源代碼運(yùn)維管理配合安全和法務(wù)的檢測審核協(xié)助運(yùn)維人員對組件代碼庫管理維護(hù)開源合規(guī)審查小組CLO審檢維履行開源合規(guī)各項(xiàng)管理要求配合安全人員修復(fù)安全漏洞對引入的開源組件代碼記錄信息審核合規(guī)風(fēng)險(xiǎn)并出具整改意見已使用的開源軟件漏洞追蹤解決擬使用的開源軟件的漏洞檢測審核開安全漏洞風(fēng)險(xiǎn)并提供分析意見開源軟件安全漏洞評估和處置工作外采軟件開源合規(guī)的合同管理歸納和梳理開源協(xié)議牽頭制定制度文件開源協(xié)議培訓(xùn)及指導(dǎo)檢查組件代碼庫開發(fā)和日常運(yùn)維工作根據(jù)需求對引入的開源代碼運(yùn)維管理配合安全和法務(wù)的檢測審核協(xié)助運(yùn)維人員對組件代碼庫管理維護(hù)用用按照法務(wù)建議嚴(yán)格履行開源協(xié)議義務(wù)按照法務(wù)建議嚴(yán)格履行開源協(xié)議義務(wù)表開源許可證風(fēng)險(xiǎn)管理開源軟件外包引入管理制度開發(fā)人員開源合規(guī)培訓(xùn)管理開源軟件活躍度管理開源軟件開發(fā)源碼庫管理開源軟件開發(fā)介質(zhì)庫管理表開源許可證風(fēng)險(xiǎn)管理開源軟件外包引入管理制度開發(fā)人員開源合規(guī)培訓(xùn)管理開源軟件活躍度管理開源軟件開發(fā)源碼庫管理開源軟件開發(fā)介質(zhì)庫管理開源軟件引入溯源開源軟件交付物管理制度開源軟件直接引入管理制度5“新&穩(wěn)定”遵循成熟可靠、兼顧性能、社區(qū)活躍的原則，重點(diǎn)考慮許可證和安全漏洞的風(fēng)險(xiǎn)等級，兼顧軟件來源、活躍度、社區(qū)規(guī)范度等多種因素。安全漏洞要求？操作風(fēng)險(xiǎn)建議？開源加密算法管控？64.供應(yīng)鏈管理動作1：修改軟件采購合同模板，增加開源合規(guī)的要求，并修改合規(guī)承諾書內(nèi)容；動作2：要求每一個供應(yīng)商提供開源軟件使用情況表或SCA檢測報(bào)告；動作3：引入前，對代碼進(jìn)行SCA掃描。7開源三階段信通院汽車行業(yè)開源2022.7月28日極氪開源合規(guī)審查小?實(shí)現(xiàn)開源協(xié)同，建立內(nèi)源?實(shí)現(xiàn)開源協(xié)同，建立內(nèi)源?階段目標(biāo)：?對內(nèi)：管控開源軟件使用?落地工具，建立開源合規(guī)“內(nèi)部運(yùn)營”?階段目標(biāo)：?對外：創(chuàng)建主導(dǎo)開源項(xiàng)目，?成為開源社區(qū)的戰(zhàn)略決策?階段目標(biāo)：?對外：創(chuàng)建主導(dǎo)開源項(xiàng)目，?成