PDF《OpenChain 规范书》

2017 a 页5of

12 3) 要件 G1:了解你的自由开源软体责任 1.1 存在一份成文的 FOSS 政策书,用于管理提供软体散布时的 FOSS 授权合规.该政策必须于内 部传达. 审核稽证: ? 1.1.1A 存在一份被列册的 FOSS 政策书. ? 1.1.2A 存在一份被列册的流程,使得所有的软体工作人员知悉 FOSS 政策书的存在. (例如,透过教育训练,内部共笔,或其他实际可行的传达方式.) 理由说明: 确保 FOSS 政策书被创建、纪录,并使软体工作人员知悉其存在的步骤被执行.虽然什么 应该要被包括到政策书里在此并未被提出,然其他章节可能会施加要求. 1.2 存在对所有软体工作人员必须性的 FOSS 教育训练,使得: ? 该教育训练,至少包括以下主题: o FOSS 政策书及至何处取得副本;

o 涉及 FOSS 及FOSS 授权条款的智慧财产法律基础知识;

o FOSS 授权概念(包括宽松式及 copyleft 授权的概念);

o FOSS 专案授权模式;

o 软体工作人员的角色及其与具体 FOSS 合规及一般 FOSS 政策相关的责任;

及o于提供软体里确认,纪录和/或追踪 FOSS 元件的程序. ? 软体工作人员必须在过去

24 个月内完成 FOSS 教育训练(方被视为当期).得使用测 验方式许可软体工作人员满足此一教育训练的要求. 审核稽证: ? 1.2.1 存在涵盖上述各主题的 FOSS 教育训练素材(例如,投影片、线上课程,或其他 教育训练素材). ? 1.2.2 追踪所有软体工作人员完成教育训练的方法. ? 1.2.3 根据上述定义,至少 85% 的软体工作人员是当期的. 理由说明: OpenChain 规范书 1.1

2017 a 页6of

12 确保软体工作人员参与了近期的 FOSS 教育训练,且一组核心的 FOSS 相关主题被包含其内. 此目的是为了确保核心基础层面的主题得到涵盖,然典型的教育训练方案可能比此处的要 求更为全面. 1.3 存在审查确认条款的程序,以确定每个授权条款授与的权利,其义务性要求及限制. 审核稽证: ? 1.3.1 存在一份被列册的流程,使每个管理提供软体之确认条款,其授与的权利,义务 性要求及限制得被审查与纪录. 理由说明: 确保在各种使用案例里,用于审查及确认每一个确认条款授权义务性要求的程序存在. OpenChain 规范书 1.1

2017 a 页7of

12 G2:分担责任以达到合规 2.1 确认 FOSS 联系人的职责 ? 指派人员负责接收外部的 FOSS 垂询;

? FOSS 联系人必须尽其商业上合理的努力以合宜地回应 FOSS 合规垂询;

及?公开地确认一个他人能够连络到 FOSS 联系人的途径. 审核稽证: ? 2.1.1 FOSS 联系人的职责是公开地确认(例如,透过一个已公布的连络电邮地址,或透 过Linux Foundation 的开源合规联系目录). ? 2.1.2 存在一份被内部列册的流程,以分配接收 FOSS 合规垂询的责任. 理由说明: 确定第三方就 FOSS 合规垂询有合理的管道能连络组织,并且此责任已被有效率地分派. 2.2 确认内部 FOSS 合规内部的角色分配 ? 指派人员负责管理内部的 FOSS 合规.此一 FOSS 合规角色与 FOSS 联系人可能为同一 人员. ? FOSS 合规管理活动得到充份资源: o 履行该角色的时间已被分配;

及o商业上合理的预算已被分配. ? 分派开发及维护 FOSS 合规政策与程序的责任;

? 与FOSS 合规有关的法律专家可为 FOSS 合规角色接触咨询(例如,可为内部或外部专 家);

及?存在一套解决 FOSS 合规争议的程序. 审核稽证: ? 2.2.1 FOSS 合规角色分配的人员姓名,团体或职责在内部被确认. ? 2.2.2 确认内部或外部法律专家的源头资讯能被 FOSS 合规角色获得. ? 2.2.3 存在一份被列册的流程,以分派 FOSS 合规的内部责任. ? 2.2.4 存在一份被列册的流程,以处理不合规案例的审查与补正. 理由说明: 确定相当程度 FOSS 责任分担已被有效率的分派. OpenChain 规范书 1.1