FOSS Compliance

Open Source ကိုသုံးတဲ့ ကုမ္ပဏီတွေက Compliance Program ကိုအဘယ်ကြောင့်လိုအပ်တာလဲ?

Open Source Software ကိုကုမ္ပဏီတွေရဲ့အသုံးပြုမှုဟာ အခုအခါမှာစံပြအနေနဲ့ရပ်တည်နေပြီး 2015 ခုနှစ်ရဲ့ Future of Open Source Survey အရ ကုမ္ပဏီတွေရဲ့ ၆၀ ရာခိုင်နှုန်းကျော်ကသူတို့ထုတ်ကုန်တွေကို Open Source Software နဲ့ build လုပ်ထားတယ်ဆိုတာကိုသိရပါတယ်။ ဒါပေမယ့် ဒီ Survey တစ်ခုထဲမှာပဲ FOSS ကို အသုံးပြုတဲ့ ကုမ္ပဏီအများစုဟာ သူတို့ software က open source ရဲ့licenses နဲ့ regulations တွေကို လိုက်နာနေပါတယ်ဆိုတာ သေချာအောင် စစ်ဆေးဖို့အတွက် သူတို့ product တွေမှာ သတ်မှတ်ထားတဲ့ လုပ်ထုံး လုပ်နည်း တွေမရှိဘူး ဆိုတာကိုလည်း ဖော်ပြနေပါတယ်။

ဒါဟာ အဲ့ဒီ companies တွေနဲ့ open source community တစ်ခုလုံးအတွက် တကယ့်ကို အန္တရာယ်ရှိတဲ့ အခြေအနေ တစ်ခုပဲဖြစ်ပါတယ်။ Open source compliance ရဲ့ပျက်ကွက်မှုတွေက တစ်ချိန်မှာ company တွေ၊ သူတို့ supplier တွေနဲ့ customer တွေ၊ lawsuit တွေအတွက် အားနည်းချက်တွေ ဖြစ်လာနိုင်ပါတယ်။ အဲ့ဒီအခါမှာ ပြဿနာတွေကို ဖြေရှုင်းဖို့အတွက် ငွေကုန်ကြေးကျများတဲ့ engineering solutions တွေပါ မကြာခဏ ဆိုသလိုပဲ လိုအပ်လာပါလိမ့်မယ်။ Supply chain တစ်ခုကို သေချာ စီမံခန့်ခွဲမှု မရှိခဲ့တဲ့အတွက် ဖြစ်လာနိုင်တဲ့ ပြဿနာအပေါ်မှာ ဘယ်လိုမျိုး တာဝန်ယူရနိုင်တယ်ဆိုတာကို Germany ရဲ့ 2013 Fantec decision ကို ဥပမာ အနေနဲ့ကြည့်နိုင်ပါတယ်။ Compliance ကို သေချာ manage မလုပ်တဲ့ company တွေကလည်းပဲ open source community ရဲ့ ယုံကြည်မှုကို ချိုးဖျက်ရာကျပြီး သူတို့product တွေပေါ်မှာ အမှီပြုနေတဲ့ project တွေမှာဆိုရင် company ရဲ့ ပုံရိပ်ကလဲ တဖြည်းဖြည်းနဲ့ လျော့ကျလာနိုင်ပါတယ်။ နောက်တစ်ချက်ကတော့ critical competitive edge တစ်ခုဖြစ်တဲ့ open source developer တွေ ခန့်အပ်တာမျိုးတွေနဲ့ ရှိနေပြီးသား developer တွေကို ဆက်ထိန်းထားနိုင်ဖို့ကလည်းပဲ ခက်ခဲလာပါလိမ့်မယ်။

FOSS Compliance ဆိုတာဘာလဲ ?

Free and open source software (FOSS) နဲ့အောင်အောင်မြင်မြင်နဲ့လက်တွဲလုပ်ဆောင်ခဲ့ပြီး FOSS ရဲ့ ဓလေ့တွေကို သူတို့ products တွေမှာ သုံးခဲ့ကြတဲ့ company အများစုဟာ FOSS compliance program ကို ဖန်တီးကြပါတယ်။ အရိုးရှင်းဆုံးပြောရရင် FOSS compliance မှာ FOSS သုံးတဲ့သူတွေဟာ copyright notices တွေအားလုံးကို လိုက်နာရမှာဖြစ်ပြီး သူတို့ commercial products တွေမှာ သုံးတဲ့ FOSS ရဲ့ license ရဲ့ တာဝန်တွေ ဝတ္တရားတွေကို နားလည်ကျေနပ်ကြရမှာ ဖြစ်ပါတယ်။ သင်က သင့်ရဲ့ intellectual property ကို ကာကွယ်ချင်တာမျိုး ဒါမှမဟုတ် third party supplier ရဲ့ (သင့် product မှာ ဘယ်သူ့ source code ပါနေတယ်ဆိုတာ) မရည်ရွယ်ပဲ ထုတ်ပြောလိုက်မိတာမျိုး တွေကို ရှောင်ချင်တာမျိုးတွေလဲ ဖြစ်လာနိုင်တဲ့အတွက် FOSS compliance ကို ရရှိဖို့ နည်းနည်းတော့ ပိုရှုပ်လာနိုင်ပါတယ်။

FOSS compliance က ပုံမှန်အားဖြင့် တရားဝင် စိန်ခေါ်မှုတစ်ခုဆိုတာထက် execution , scaling စတာတွေနဲ့ ပတ်သက်တဲ့ operation ပိုင်းဆိုင်ရာ စိန်ခေါ်မှုတစ်ခု ပဲဖြစ်ပါတယ်။ Compliance ကိုရရှိဖို့အတွက် policy နဲ့ process တွေ training တွေ tools တွေနဲ့ သင့်တော်တဲ့ ဝန်ထမ်းခန့်အပ်ဖို့တွေ လိုအပ်ပါတယ်။ ဒါတွေက organization ထဲမှာ FOSS ကို အကျိုးရှိရှိ အသုံးပြုနိုင်အောင်ကူညီပေးမှာဖြစ်ပြီး open source project တွေနဲ့ communities ကို လဲ အထောက်အကူ ပြုပါလိမ့်မယ်။ Goal ကတော့ compliance program တစ်ခုက သင့်ကို code တစ်ခု ပေးသုံးထားတဲ့ သူရဲ့ လိုင်စင်တွေ အခွင့်အရေးတွေ စည်းကမ်းတွေကို တန်ဖိုးထားပြီးတော့ သင့်လုပ်ငန်းကို အထောက်အကူဖြစ်စေတာပဲဖြစ်ပါတယ်။ ဒါက သင့်ကုမ္ပဏီကနေ ရရှိတဲ့ အကျိုးအမြတ်နဲ့ အချိုးကျနေတဲ့ သုတေသန လုပ်ငန်းတွေ စမ်းသပ်မှုလုပ်ဖို့အတွက် လိုအပ်တဲ့ အချိန်တွေ ကုန်ကျငွေတွေ၊ License လုပ်ထုံးလုပ်နည်း နဲ့သက်ဆိုင်တဲ့ ကုန်ကျငွေတွေအထိ cover ဖြစ်စေနိုင်ပြီး တစ်ချိန်တည်းမှာပဲ သင့် customers နဲ့ suppliers တွေရဲ့ကြားမှာ compliance trust chain တစ်ခု ဖန်တီးဖို့ကူညီပေးနိုင်ပါတယ်။

အောင်မြင်နေတဲ့ FOSS compliance programs တွေရဲ့အဓိကသော့ချက်ကတော့ Open Source Review Board (OSRB) လို့ခေါ်တဲ့ Centralized core team ပဲဖြစ်ပါတယ်။ ဒီ team ကိုများသောအားဖြင့် FOSS ရဲ့ (eg. Development နဲ့ legal မှ) knowledge experts တွေ အပြင် engineering, product teams နဲ့ supply chain တွေက representatives တွေနဲ့ ဖွဲ့စည်းထားတာပဲဖြစ်ပါတယ်။ ကောင်းကောင်းမွန်မွန်နဲ့ run နေကြတဲ့ပရိုဂရမ်တွေမှာဆိုရင် Organization အတွက် ချမှတ်ထားတဲ့ compliance ရဲ့ mission တွေကို လက်ကိုင်ထားပြီး product teams နဲ့business units တွေရဲ့ကြားမှာ ပူးပေါင်းဆောင်ရွက် ပေးရတဲ့ Compliance Officer တစ်ယောက် (တစ်ခါတစ်ရံမှာ Open Source ရဲ့ Director လို့လဲ ခေါ်ပါတယ်။) ရှိတတ်ပါတယ်။ Core OSRB Team အပြင် Documentation, Corporate Development, IT , Localization စတဲ့ Department ပေါင်းစုံက တစ်ဦးတစ်ယောက်ချင်းစီ ပါဝင်တဲ့ extended team ကို ဖွဲ့စည်းခြင်း အားဖြင့်လည်း benefits တွေရလာနိုင်ပါတယ်။

ဒီလိုစီစဉ်တဲ့နေရာမှာ Software development team မှာ open source licenses နဲ့ပတ်သက်တဲ့ မေးခွန်းတစ်ခုချင်းစီ ပေါ်လာတိုင်း legal council ဘက်ကိုခဏခဏ ပြန်လာမေးနေစရာမလိုပဲ developer ကိုယ်တိုင် ဆုံးဖြတ်ချက်တွေ ချနိုင်ဖို့အတွက် Legal counsel ဘက်ကနေ လက်တွေ့ကျတဲ့ အကြံဉာဏ် တွေကို မကြာမကြာ ပေးလေ့ရှိပါတယ်။
ဒီအချက်အများစုကိုတော့ ကျွန်တော်တို့ရဲ့ “Practical Advice to Scale Open Source Legal Support” ဆိုတဲ့ စာတမ်းမှာ ဖော်ပြထားပါတယ်။ ဒီစာတမ်းမှာ ဆိုရင် FOSS compliance ကို သေချာလုပ်နိုင်ဖို့ အတွက် legal council ရဲ့ role တွေကို Samsung Research Americas မှာ လက်ရှိ အလုပ်လုပ်နေတဲ့ Ibrahim Haddad က ဆွေးနွေး ပေးထားတာပဲ ဖြစ်ပါတယ်။ ရှေ့နေတွေဘက်ကနေ software development team ကိုပေးနိုင်မယ့် လက်တွေ့ကျတဲ့ အကြံဉာဏ် တွေကို လည်း သူက ဒီစာတမ်းအတွက် သေချာ လေ့လာစိစစ်ခဲ့ပါတယ်။

FOSS Compliance ရဲ့ Free Resources များ

FOSS compliance ရဲ့ operation ပိုင်းဆိုင်ရာ စိန်ခေါ်မှုတွေကို ဖြေရှင်းတဲ့နေရာမှာ company တွေကို ကူညီပေးနိုင်မယ့် free resources တွေအများကြီးလည်း ရှိပါတယ်။ ဒါတွေကတော့ –

• Compliance training courses တွေဖွင့်ပေးထားခြင်း။

Linux Foundation ကနေ compliance အကြောင်းပိုပြီးလေ့လာချင်တဲ့သူတွေ ၊ open source compliance program ကို စတင်တည်ထောင်ဖို့နဲ့ open source licenses နဲ့ ပတ်သတ်တဲ့ compliance ကိုရရှိဖို့တာဝန်ယူထားရတဲ့ သူတွေ အတွက် compliance expert တွေနဲ့ တစ်ဦးချင်းစီ ရော company အလိုက်ရော လက်တွေ့ training ပေးနေတာမျိုးတွေ ရှိပါတယ်။ Instructor ဦးဆောင်တဲ့ live remote training အပြင် live onsite training လည်း ရှိတဲ့ အတွက် သင်နဲ့ အဆင်ပြေတဲ့ training ကို ရွေးချယ်တက်ရောက်နိုင်မှာဖြစ်ပြီး training ပြီးသွားတဲ့ သူတွေအားလုံးကိုလည်း certificate ပေးသွားမှာဖြစ်ပါတယ်။

• The Software Package Data Exchange (SPDX) အတွက် အသေးစိတ်ရှင်းလင်းဖော်ပြထားခြင်း။

Linux Foundation ကစီစဉ်ပြီး SPDX workgroup ကနေ develop လုပ်ထားတဲ့ specification တွေအနေနဲ့ free and open source software licenses တွေမှာ software package နဲ့ သက်ဆိုင်တဲ့ components, licenses နဲ့ copyrights တွေကို လွယ်လွယ်ကူကူ နားလည်နိုင်အောင် standard format ထားပေးထားတဲ့အတွက် အလွယ်တကူပဲ လိုက်နာ နိုင်ပါတယ်။

• OpenChain

OpenChain ဆိုတာကတော့ Linux Foundation work group အသစ်တစ်ခုဖြစ်ပြီး company တွေရဲ့ internal အတွက်သာမကပဲ သူတို့ရဲ့supply chain တစ်ခုလုံးအတွက်ပါ အသုံးပြုနိုင်မယ့် compliance ရဲ့ best practice တွေ ကို ဖန်တီးပေးဖို့ရည်ရွယ်ထားတဲ့ group လည်းဖြစ်ပါတယ်။ OpenChain ကတော့ FOSS compliance အတွက် ပြန်ပြီး audit လုပ်နိုင်တဲ့ အလေ့အကျင့်ကောင်းတွေနဲ့ standard တစ်ခုကို သုံးပြီး FOSS compliance ရဲ့ အကောင်းဆုံး practices တွေကို supply chain တွေမှာ စွဲစွဲမြဲမြဲကျင့်သုံးနိုင်ဖို့ ကြိုးစားပေးရပါတယ်။

• Open source compliance tools များ

FOSS Bar Code Tracker, Dependency Checker Tool နဲ့ Code Janitor Tool တွေ ကတော့ product တစ်ခုမှာ ပါဝင်တဲ့ အရေးကြီးတဲ့ information တွေကို ခြေရာခံနိုင်ဖို့အတွက် Linux Foundation ကနေတီထွင်ထားတဲ့ open source compliance tools တွေပဲဖြစ်ပါတယ်။

ကျွန်တော်အပေါ်မှာဖော်ပြပေးခဲ့တဲ့ Tool တစ်ခုစီတိုင်းဟာဆိုရင် topics တွေပေါ်မူတည်ပြီး ရင်ဆိုင်ဖြေရှင်းကြရတာပဲ ဖြစ်ပါတယ်။ လာမယ့် လအနည်းငယ် လောက်ဆိုရင်တော့ company တွေတော်တော်များများက ရင်ဆိုင်ဖြေရှင်းဖို့ ကြိုးစားနေရတဲ့ FOSS compliance ရဲ့ ကဏ္ဍမျိုးစုံကို ပိုပြီး နက်နက်နဲနဲ ဖြေရှင်းလာနိုင်လိမ့်မယ်လို့ကျွန်တော် မျှော်လင့် ပါတယ်။ ပြီးတော့ သင့်ရဲ့company က compliance ကို ဘယ်လို handle လုပ်နေလဲ၊ industry ရဲ့ ဘယ် area မှာ focus ထားပြီးသုံးသင့်သလဲဆိုတာကိုပါ ကျွန်တော်ပြန်ပြီး သိချင်ပါသေးတယ်ခင်ဗျ။ ကျွန်တော့်ကိုတော့ Twitter မှာ @mdolan ဆိုပြီး ရှာဖွေနိုင်ပါတယ်ခင်ဗျာ။

SPDX
OpenChain
BlackDuck

Why Companies That Use Open Source Need a Compliance Program

June 1, 2015
By The Linux Foundation

Back To Top