V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
mimzy
V2EX  ›  GitHub

公司有意在 GitHub 开源一些项目,请问有哪些需要注意的事项呢?

  •  
  •   mimzy ·
    mookrs · 2022-03-08 17:45:00 +08:00 · 2683 次点击
    这是一个创建于 1016 天前的主题,其中的信息可能已经有所发展或是发生改变。

    背景:OP 所在的公司积累了一些潜在的可以开源的组件,由于某些缘故,负责知识产权的同事找上我,想了解我是否有相关经验。可惜 OP 对此知之甚少,所以想请教下各位 V 友,有哪些需要注意的事项呢?你们公司是如何做的呢?

    我想到有几个问题:

    • 是否应该要求用个人邮箱提交代码?用公司邮箱的话,会容易被挖人或导致个人信息泄露么?
    • 是否每个成员都应该强制开启两步验证?
    • 参与项目的成员,一般哪些人应该设置为 member ,哪些人设置为 outside collaborator 呢?内部有必要分 team 么?
    • 如果项目需要开源,内部申请流程一般会怎么设计?有专门的团队来维护这些项目吗?
    • ......

    这些只是我一时想到的,如果有其他应该注意的问题以及最佳实践,请各位指出,非常感谢~

    17 条回复    2022-03-08 23:22:50 +08:00
    0044200420
        1
    0044200420  
       2022-03-08 17:48:53 +08:00   ❤️ 1
    记得去掉类似写死的密码之类配置
    lokya
        2
    lokya  
       2022-03-08 17:51:58 +08:00   ❤️ 1
    别把 node_moudules 提交上来就行
    BBrother
        3
    BBrother  
       2022-03-08 17:53:12 +08:00   ❤️ 1
    鸡蛋不要放在一个篮子里
    hannibalm
        4
    hannibalm  
       2022-03-08 17:53:36 +08:00 via Android   ❤️ 1
    问一下法务,用什么开源协议。开源是一门学问很高的生意。github 是美国公司,别把你们公司封了源代码划归他们所有。
    0o0O0o0O0o
        5
    0o0O0o0O0o  
       2022-03-08 17:55:06 +08:00   ❤️ 1
    mimzy
        6
    mimzy  
    OP
       2022-03-08 18:02:03 +08:00
    @0044200420 #1 @lokya #2 这种低级错误理论上应该不会犯,开源前肯定会好好检查的。我们在内部一直用 GitLab ,同样有去除硬编码的要求和自动检测。

    @hannibalm #4 刚才翻了翻字节和腾讯的开源项目,他们似乎用 Apache License 的比较多。
    agagega
        7
    agagega  
       2022-03-08 18:45:06 +08:00 via iPhone   ❤️ 1
    - 商用适合 Apache License (涉及到一些专利问题)
    - 检查一下代码库里有没有不该有的配置,即使不开源这个也是好事
    - 相关商标注册了吗
    - 注意一下提交历史
    - 注意一下 GitHub Organization 权限
    mimzy
        8
    mimzy  
    OP
       2022-03-08 18:52:40 +08:00
    @agagega #7 感谢,商标注册的问题我回头问下知识产权的同事,我们 organization 名字的第一选择被别人占用了,之前向 GitHub 申诉没要回来。不确定当前打算用的名字有没有注册,我提醒同事注意下这个。
    Reficul
        9
    Reficul  
       2022-03-08 20:10:17 +08:00   ❤️ 1
    1. Docker Layer / Git history 里可能有密码;
    2. 许可证问题;
    3. 社区运营,Github 的 CICD 机器人啥的
    czfy
        10
    czfy  
       2022-03-08 20:13:18 +08:00   ❤️ 1
    我记得 github 默认会把上传到它上面的代码用于训练 Copilot ,大体上还是一个知识产权问题
    hannibalm
        11
    hannibalm  
       2022-03-08 20:14:13 +08:00 via Android   ❤️ 1
    @mimzy 大家说得很多了。还有一点,你们的代码用了其他的库或开源代码没有,是否涉及版权问题。
    loading
        12
    loading  
       2022-03-08 20:17:59 +08:00   ❤️ 2
    别放一个篮子,github 会将你的代码全部列入它的分析中。可能会随时被封账号,而且代码拿不回来。
    hannibalm
        13
    hannibalm  
       2022-03-08 20:20:19 +08:00 via Android   ❤️ 1
    @mimzy 你们的代码是否涉及大数据或 AI 的东西(类似这种吧)。查一下我国政策。当时 tiktok 出台了一些限制。
    mimzy
        14
    mimzy  
    OP
       2022-03-08 20:26:50 +08:00
    @loading #12 我想我理解你和 #3 的意思了,这个的确是一个风险点,看起来内部镜像一份会比较好。
    mimzy
        15
    mimzy  
    OP
       2022-03-08 20:30:45 +08:00
    @hannibalm #13 有些是有的。去年我们试水开源了唯一的一个项目,涉及 AI 的,但是只放出了模型,数据肯定是不提供的。这个是值得注意的一个点,感谢提醒~
    lokya
        16
    lokya  
       2022-03-08 21:40:12 +08:00
    @mimzy 之前就有公司开源的时候发上去了 哈哈哈哈哈
    YaakovZiv
        17
    YaakovZiv  
       2022-03-08 23:22:50 +08:00
    我以前在一家小公司见过类似的操作。当时公司是单独一个邮箱注册了 GitHub ,所有人提交代码到一台机器,这个机器登录了 GitHub 的账户,负责汇总后代码更新提交。一开始是领导负责检查后提交,后来变成代码上传到该机器后,机器自动执行脚本更新代码。后来因为有人传了明文账户密码,就停掉代码机器了,GitHub 线上的仓库也关闭了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2608 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 15:40 · PVG 23:40 · LAX 07:40 · JFK 10:40
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.