OCX26上的合规性OC

作者: Daniela Nastase
原文链接: https://blogs.eclipse.org/post/daniela-nastase/oc-compliance-ocx26

---

本次回顾总结了 2026 年开源体验大会（OCX26）上“开放社区合规”轨道的相关内容，会议议题聚焦于《网络弹性法案》（CRA）、SBOM、开源治理，以及合规对工程团队的实际要求。

在 OCX26 的三天会议中，“开放社区合规”轨道始终立足于一个现实：合规已不再是发生在别处的法律讨论。它如今，它正在塑造软件的设计、构建和维护方式。

这些会议的重点在于：团队需要交付什么、法规如何转化为工程工作，以及组织在哪些方面仍准备不足。

合规轨道的关键议题

多个议题中反复出现了一些模式：

• 合规正从文档要求转向具有实际后果的可执行要求
• 开发者直接负责交付合规的某些部分，而不仅仅是法务或安全团队
• SBOM 提供了可见性，但并不能独自解决合规问题
• 开源生态系统引入了共享责任，但这一点仍未被充分理解

除了主要会议，该轨道还包括了实践工作坊，重点是将《网络弹性法案》分解为可操作的步骤。由 Olle E. Johansson 主持的工作坊“你准备好迎接 CRA 了吗？了解欧盟法规将如何影响开源”提供了对 CRA 范围、关键义务以及开源项目、维护者和商业参与者如何融入监管框架的结构化讲解。参与者围绕 SBOM、漏洞处理和经济运营者角色等具体问题进行了探讨，重点聚焦于团队现在可以采取哪些准备措施。

开放社区合规第一天：亮点

FOSS、AI 与合规：是良配吗？——Lina Böcker

本场会议聚焦于 AI 系统与现有合规框架之间的张力。核心问题在于 AI 引入了新的不确定性层面。数据来源、许可和模型行为并不总是像传统软件组件那样可追溯。这造成了合规框架期望与团队实际能证明的内容之间的差距。

讨论明确指出，现有方法是不够的。AI 系统需要新的方式来追踪输入、输出和责任。您可以在我们的 OCX YouTube 频道 上观看录播。

一个关键要点： AI 系统暴露了当前合规模型中的漏洞，尤其是在可追溯性和问责制方面。

CRA 标准化工作的经验教训——August Bournique

会议强调了将《网络弹性法案》转化为具体标准的持续努力，其中一个观点立即凸显出来：“监管者是一个钝器。”

August Bournique 指出，宽泛的法律要求正被转化为技术期望，这往往伴随着模糊性。这给试图在没有明确指导的情况下实施合规的团队带来了摩擦。

会议还指出，标准化过程仍在演变，这意味着组织在截止日期固定的情况下，却要处理不完整的信息。您可以在我们的 OCX YouTube 频道 上观看录播。

一个关键要点： CRA 的要求仍在定义中，但团队不能等到完全明确后再行动。

开源与标准化：迈向合规的必要但有时充满挑战的协作——Timo Perälä

本场会议探讨了将开源生态系统与正式标准对齐的实际挑战。一个关键点捕捉到了期望与现实之间的差距：“标准化始终是一种妥协。”

开源项目发展迅速，依赖分布式贡献，而合规框架则要求一致性和可追溯性。将两者结合会带来无法完全消除的摩擦。

会议强调，协作是唯一可行的前进道路，即使这会拖慢进度。您可以在我们的 OCX YouTube 频道 上观看录播。

一个关键要点： 标准化引入了必要的结构，但它与开源生态系统的自然运作方式相冲突。

开放社区合规第二天：亮点

CRA、NIS2、DORA：高级 Java 工程师在 2027 年前必须交付什么——Markus Schlichting 和 Ixchel Ruiz

法规的影响在开发者层面变得非常具体。会议强调了财务和运营两方面的后果，并指出“没有威胁的立法不会被市场参与者认真对待。”

除了罚款，风险更进一步。产品可能被完全从市场移除。

软件现在被更明确地视为一种必须被理解和文档化的产品。SBOM（软件物料清单）被比作成分列表，实现了跨系统的可追溯性。您可以在我们的 OCX YouTube 频道 观看录播。

一个关键要点： 开发者直接负责交付合规性，而失败可能导致产品被可能导致产品从市场下架。

驯服 SBOM 混乱——面向 CRA 与开源合规的法律指南针（Hendrik Schöttle 主讲）

一个常见的误解被直接指出：生成 SBOM 是不够的。

可见性是必要的，但它并不等同于合规。组织仍然需要履行许可证义务、管理依赖关系并确保合同一致性。SBOM 的角色存在于更广泛的法律和运营框架内，而非作为独立解决方案。您可以在我们的 OCX YouTube 频道 观看录播。

一个关键要点： SBOM 提供可见性，但合规需要额外的法律和需要额外的法律与运营工作。

开源也服务于服务者（Daniel Thompson-Yvetot 主讲）

这里的焦点转向了执法和机构准备。Daniel Thompson-Yvetot 指出，当前状况被直白地概括为：“我们还没准备好，政府也落后了。”

市场监督机构将能够要求提供文档、调查漏洞并限制产品。

在组织和执法机构中，监管能力与运营能力之间存在明显差距。您可以在我们的 OCX YouTube 频道 观看录播。

一个关键要点： 执法初期可能不均衡，但组织仍需为真正的审查做好准备。

合规开放社区第三天：亮点

Eclipse Apoapsis ORT 服务器：一个用于自动化 CRA 检查的开源平台（Martin Nonnenmacher 和 Sebastian Schuberth 主讲）

本次会议探讨了 Eclipse Apoapsis ORT 服务器如何将 OSS Review Toolkit（开源审查工具包）扩展为一个端到端自动化合规工作流的平台。重点是用一个结构化系统取代碎片化、手动的检查，该系统连接许可证合规、漏洞管理，以及策略执行。

该平台引入了一个共享接口，使工程团队之外的协作成为可能，直接将法律和合规角色纳入工作流。这反映了合规责任向组织范围转变，而非孤立的所有权。您可以在我们的 OCX YouTube 频道 观看录播。

一个关键要点： 合规正在成为一个持续、自动化的流程，嵌入到开发工作流中，而非发布前的静态验证步骤。

让开源最佳实践对质量驱动的受监管行业可见（Philipp Ahmann 主讲）

Philipp Ahmann 探讨了如何将开源开发实践系统地映射到受监管行业的期望中，在这些行业中，质量和合规必须证明而非假设质量与合规性。

演讲挑战了文档化流程与实际实施之间的差距。正如会议中所言，“如果没有人遵循流程，流程就毫无价值”，这强化了合规必须基于可观察、可验证的实践而非意图。

所展示的工作侧重于识别开源项目中的现有实践，并使其在受监管环境中使其可见、可评估且可重用。这种方法使组织能够与合规期望对齐，而无需引入全新的框架。您可以在我们的 OCX YouTube 频道 观看录播。

一个关键要点： 合规的基础已存在于开源实践中，但需要使其明确、可衡量且可重用。

CRACY：让 CRA 合规变得简单的开源工具（Ulrich Seldeslachts 主讲）

Ulrich Seldeslachts 介绍了 CRACY，这是一套旨在简化 CRA 合规的开源工具和方法论，尤其适用于中小型组织。

该会议聚焦于将监管要求转化为实用工具。这些工具覆盖了关键领域，如 SBOM 生成与验证、漏洞跟踪、依赖分析和合规指导。强调开放、社区驱动的解决方案解决了成本和可访问性挑战，使更广泛的生态系统能够采用。您可以在我们的 OCX YouTube 频道 观看录播。

一个关键要点： 开源工具正成为使合规可扩展、透明且跨组织可访问的核心机制。

这在实践中意味着什么

在为期三天的活动中，一个清晰的模式逐渐浮现：合规性不再是团队可以在项目结束时才处理的时代已经过去。

它要求：

• 了解软件内部包含什么
• 持续管理漏洞
• 维护文档与可追溯性
• 协调工程、法律与安全实践

这一转变是结构性的。合规性正成为软件构建方式的一部分，而非事后添加的内容。

在这些工作坊中，团队直接处理真实的合规场景，而非抽象要求，从而直接回应了该专题中提出的许多实际问题。

如果您错过了工具开放社区（Open Community for Tooling Community for Tooling）的某场会议，现在可以在我们的 YouTube 频道上观看。