PDF《OpenChain 规范书》

2017 a 页8of

12 G3:审查及核准自由开源软体内容 3.1 存在一个程序用于建立与管理 FOSS 元件素材清单,该清单包含所发布提供软体里每一个 元件及其确认条款. 审核稽证: ? 3.1.1 存在一份被列册的流程,以确认,追踪,及将构成所发布提供软体的 FOSS 元件 集合资讯建档保存. ? 3.1.2 每个发布的提供软体皆存在 FOSS 元件的纪录,以证明该列册流程被合宜的遵循. 理由说明: 为确定建立与管理 FOSS 元件素材清单,以构成提供软体的程序存在.一份支持系统性审 查每一个元件授权条款的素材清单是必要的,以理解当它适用于提供软体的散布时,义务 性要求及限制为何. 3.2 FOSS 管理方案必须能够处理软体工作人员提供软体时,一般会碰到的使用案例,可能包 括下列使用案例(注意本列表并未详尽,亦可能不适用于所有的使用案例): ? 以二进位执行档形式散布;

? 以源码形式散布;

? 与其他 FOSS 整合而可能触发 copyleft 义务性要求;

? 内含修改过的 FOSS;

? 内含 FOSS 或其他软体,是采与提供软体里其他互动元件不相容的授权条款;

及/或?内含 FOSS 带有姓名标示的要求. 审核稽证: ? 3.2.1 为发布提供软体里的 FOSS 元件,一套能处理一般 FOSS 授权使用案例的流程已被 实施. 理由说明: 确定该方案能充份坚实地处理组织常见的 FOSS 授权使用案例.存在一个支持这个活动的 流程,且该流程被遵循. OpenChain 规范书 1.1

2017 a 页9of

12 G4:传递自由开源软体内容文件及档案集 4.1 为每个提供软体准备一组代表其 FOSS 管理方案产出的档案集.此被指称的档案集可能包 括(但不限于)以下一个或多个:源码,姓名标示声明,著作权声明,授权条款副本,修 改注记,提供源码的书面文件 (written offers),SPDX 文件及其他. 审核稽证: ? 4.1.1 存在一份被列册的流程,以确定合规档案集有依确认条款的要求,而与提供软体 发布时一同被准备及散布. ? 4.1.2 提供软体发布时的合规档案集副本被建档保存并可轻易取回,且此保存档规划至 少在提供软体提供期间,或是依照确认条款的要求期间会存在(以较长者为准). 理由........