11月25日，由開源鴻蒙項目管理委員會（PMC）與合規(guī)SIG聯(lián)合主辦、模速空間科創(chuàng)金融綜合服務平臺承辦的“開源鴻蒙城市技術沙龍·上海站”暨“開源鴻蒙合規(guī)SIG年度 Meetup”在上海徐匯區(qū)圓滿收官。本次活動聚焦“合規(guī)前置、風險清零”理念，匯聚來自開源鴻蒙社區(qū)、開源歐拉社區(qū)、國浩律所、東北大學、蘭州大學等產(chǎn)學研代表，圍繞 CRA/LGPL、AI許可證分析、SBOM自動化生成等議題展開研討。

年度議題全景掃描：從法律條文到工具鏈落地

年度復盤，路標規(guī)劃

開源鴻蒙合規(guī)SIG組組長于洋在《開源鴻蒙合規(guī)SIG年度總結與規(guī)劃》中介紹，2025年SIG進入第二階段，新增SBOM管理及開源軟件合規(guī)引入專項，已完成非標許可證檢測、許可證全量兼容性檢測、SBOM中間態(tài)及轉換工具等大顆粒能力建設；2026年將持續(xù)演進工程能力并覆蓋新的PMC。

工程化實踐，把合規(guī)寫進CI

開源歐拉合規(guī)SIG組組長張紅鴿在《開源歐拉合規(guī)工程能力實踐》中介紹，開源歐拉圍繞四條主線建設社區(qū)工程能力，打造可信開源軟件供應鏈、合規(guī)解決方案、組織職責及漏洞處理體系，推廣有定義、可度量、可優(yōu)化的關鍵合規(guī)實踐。

法務視角，CRA/LGPL嵌入式避坑指南

國浩律所陶冶律師結合歐盟CRA，強調(diào)SBOM的關鍵作用，并提示國內(nèi)廠商準備窗口已非常緊張；同時以真實訴訟案例拆解嵌入式場景最易觸犯的LGPL“動態(tài)鏈接”誤區(qū)，強調(diào)合理使用的重要性。

許可證導入，選擇合適的許可證

華為法務專家彭期雄在《如何為開源項目選擇和制定許可證》中結合真實案例，介紹開源許可證選擇的常見誤區(qū)及選擇策略，提示選擇開源許可證時應注意技術、法律與業(yè)務之間的鴻溝，許可證選擇與變更需謹慎。

AI加持，讓大模型解讀許可證

東北大學武天樂博士在《AI輔助非標準許可證分析與案例分享》中提出一種利用大模型輔助的非標準許可證分析及影響判定方法和工具，從使用者和貢獻者角度分別在13個維度進行影響建模，并從23個維度識別許可證條款的增、刪、改等變化，分析具體改動產(chǎn)生的不同影響。

多語言生態(tài)統(tǒng)一治理

蘭州大學劉子昂博士在《面向多語言生態(tài)的開源許可證合規(guī)治理方法》中提出一種可應用于多語言生態(tài)的可驗證合規(guī)治理分析框架，相關技術已適配開源鴻蒙主干與應用側檢測，并在持續(xù)改進與落地轉化。

SBOM“中間態(tài)”生成黑科技

東北大學余文軒博士在《SBOM中間態(tài)生成與構建SBOM生成方法》中介紹，開源鴻蒙6.0已合入PR#5840，新增build_sbom編譯目標；方案基于GN+Ninja元數(shù)據(jù)，在構建階段實時抽取“安裝文件→依賴文件→上游包”三元組，生成統(tǒng)一中間態(tài)JSON，再通過轉換工具一鍵導出國內(nèi)外標準格式，并已在多平臺驗證。

誠邀加入！共創(chuàng)開源鴻蒙合規(guī)新生態(tài)

“代碼可閱讀，許可證也要可閱讀；生態(tài)要繁榮，合規(guī)更要繁榮。”開源鴻蒙合規(guī)SIG誠邀全球開發(fā)者、法務工作者及高校師生加入，共同把“風險后置”變成“合規(guī)先行”，讓開源鴻蒙成為最值得信賴的智能數(shù)字底座。

供稿：開源鴻蒙合規(guī)SIG 于洋