开源笔记
[TOC]
开源笔记
By:weimenghua
Date:2022.08.17
Description:开源笔记
一、CLA(贡献者许可协议)
CLA,全称为 Contributor License Agreement(贡献者许可协议)。简单来说,项目接收贡献者提交的 Pull Request 之前,需要贡献者签署的一份协议,协议只需签署一次,对该贡献者的所有提交都生效。如果你想起诉开源违规行为,有了 CLA 授予的版权许可,就不必一一通知所有贡献者。
CLA 是约束开源项目和贡献者之间的关系,通常是要求贡献者在代码和专利做出声明或者承诺。
签署人是代码 (包含文档等其它内容) 和专利的拥有者 (或是被授权贡献),授权这些贡献在项目的开源许可证下进行再分发。
CLA 大体上包含这些内容:
- 关于签署该 CLA 的主体和贡献的定义;
- 授予版权许可给拥有该软件知识产权的企业或组织;
- 专利许可的授予;
- 签署者保证依法有权授予上述许可;
- 签署者确保所有的贡献内容均为原创;
- 签署者为贡献提供支持的免责描述;
- 说明贡献者提交非原创作品应该采用的方式;
- 保证在获悉任何方面不准确的事实或情况之时通知签约方。
二、OpenSCA
OpenSCA 官网
OpenSCA 作为悬镜安全旗下源鉴 OSS 开源威胁管控产品的开源版本,继承了源鉴 OSS 的多源 SCA 开源应用安全缺陷检测等核心能力,通过软件成分分析、依赖分析、特征分析、引用识别、合规分析等方法,深度挖掘组件中潜藏的各类安全漏洞及开源协议风险。
OpenSCA(Software Composition Analysis)是一款开源的软件成分分析工具,用来扫描项目的第三方开源组件依赖及漏洞信息。
执行命令
opensca-cli -path ${project_path} -out output.json
三、木兰宽松协议
许可证内容以 中英文双语表述 ,中英文版本具有同等法律效力,方便更多的开源参与者阅读使用, 简化了中国使用者进行法律解释时的复杂度 。
许可证明确授予用户永久性、全球性、免费的、非独占的、不可撤销的版权和专利许可,并针对目前专利联盟存在的互诉漏洞问题,明确+ 规定禁止“贡献者”或“关联实体”直接或间接地(通过代理、专利被许可人或受让人)进行专利诉讼或其他维权行动,否则终止专利授权。
许可证明确不提供对“贡献者”的商品名称、商标、服务标志等的商标许可,保护“贡献者”的切身利益。
许可证经技术专家和法律专家共同修订,在明确合同双方行为约束的前提下尽可能地精简条款、优化表述,降低产生法律纠纷的风险。