COPU会议纪要2023.04.25

4月25日（周二）陆主席主持召开COPU例会。

首先陆主席小结4月21日中方与OpenSSF Brian团队联合召开的编制供应链保障安全的视频会议。他在会上谈到中国开源发展分三个阶段：

①第一阶段，围绕开发企业产品操作系统和建设生态的阶段，解决“缺芯少魂”的短板，

②围绕开发基于深度信息技术（云原生、区块链、GPT、人工智能等）的阶段，为第四次工业革命作准备，

③围绕编制建设开源组件供应链保障其安全的阶段，并保障其上游的网络安全。现在我们的工作重点是开发建设供应链。

在会上，中科院软件所、信通院、木兰社区、开放原子开源基金会的代表简要介绍了他们各自编制供应链的情况。Brian介绍了OpenSSF成立三年来的工作情况，今年4月19日发布了SLSA1.0软件供应链安全规范。

大家重点讨论Sigstore（供应链数字签名系统）的问题，中方提出，Sigstore由OpenSSF运行，但其支持模块①身份验证②完整性保护③真实性保护④公共可信证书（包含可信根）都是由企业开发的，如果企业的顶头上司政府实行脱钩断链政策胁迫企业行为，供应链将隐藏安全风险。Brian表示理解，指出Sigstore中的支持模块是可以独立开发、部署、认证的，中方可自主开发解除对供应链安全的担心。

陆主席指出，中方不能脱离全球供应链，但又要确保国内供应链的安全，是否可采用建设国内外供应链双循环机制，探讨“大同小不同”，Brian表示赞成。双方商定OpenSSF可派有经验的供应链开发者来华共同研究编制供应链保障安全所需遵循的原则，Keith、杨轩（他们既是LF一AP骨干也是OpenSSF成员）表示可先行。常务副秘书长梁志辉表示，中方如面对未曾开发或并无实践经验的模块，可先查看GitHub，或与OpenSSF技术骨干商讨。

会议讨论了6月15日～16日拟召开的《2023（18届）开源中国开源世界高峰论坛》和园桌会议，进行了分工负责做好准备工作。

会议听取了中科创达副总邹鹏程关于企业经营和发展的汇报。关于该企业是否参与开发电动汽车智能操作系统问题进行了探讨，陆主席认为对待这个问题要做好调研，在重庆的倡议书中，提到的开发目标涉及智能化车载和车控两大部分，这个问题在二十年前就由宝马.英特尔提出过，后来为何冷却了？！提出倡议书的单位似乎缺乏车企、也缺少权威的专业人士！

中科创达一旦下决心上马，也应确立智能化和简化的两套方案。

为了保护知识产权，要求对开源企业普遍进行合规检查，会议决定在中科创达进行合规检查试点。

中国软件行业协会副秘书长一行2人参加了本例会，商讨合作事宜。

参会人员：陆首群，刘澎（线上）、梁志辉、安泱、梁冠宇、唐小引、邹鹏程、付晓宇、宋贺鹏、陈伟（线上）、陈绪（线上）、鞠东颖（线上）