适用场景:所有前端/后端/客户端/硬件固件/AI 项目新增、升级开源依赖组件
生效规则:未经本表审批,禁止合入代码、禁止上线、禁止发布包
一、基础信息
表单编号:_______________
申请日期:______年____月____日
项目名称:________________________
项目类型:□内部系统 □商用客户端/固件 □SaaS云服务 □移动端APP □工具类SDK
申请人/开发:__________ 部门:__________
版本分支:__________ 预计上线时间:__________
二、开源组件信息(必须完整填写)
组件名称:________________________
版本号:________________________
仓库地址(GitHub/Gitee/Maven/NPM):________________________________
开源协议:□MIT □Apache2.0 □BSD □LGPL □GPLv2 □GPLv3 □AGPLv3 □MPL2.0 □无协议 □其他_______
传递依赖情况:□无深层高风险依赖 □存在传递依赖(已附SCA扫描报告)
组件用途(详细说明功能、使用位置):
________________________________________________________________
________________________________________________________________
三、关键合规风险判定(核心必填,法务审核重点)
1. 使用方式:□源码直接复制 □静态链接 □动态链接 □独立服务调用 □仅配置引用
2. 是否修改组件源码:□否 □是(需附修改记录、补丁文件)
3. 是否对外分发二进制包/固件/APP:□否 □是
4. 是否对外提供SaaS/线上API服务:□否 □是
5. 协议兼容性判断:□与项目整体协议兼容 □存在冲突(已做隔离方案)
四、风险等级判定(系统自动对标,人工复核)
□低风险(白名单):MIT / BSD / Apache2.0 / CC0,可正常引入
□中风险(灰名单):LGPL / MPL2.0,需架构审批、确认链接方式
□高风险(黑名单):GPL / AGPL / SSPL / BSL / 无协议,禁止直接商用引入
风险说明及处置方案:
________________________________________________________________
五、合规整改与隔离方案(高风险必填)
如涉及 GPL/AGPL/LGPL,需明确隔离方式:
□独立微服务/独立进程网络调用(完全隔离,无代码链接)
□仅动态链接,不静态编译打包
□已替换为低风险替代组件
□其他合规方案:________________________________
六、义务履行承诺(开发承诺)
本人承诺:
1. 完整保留原组件版权声明、LICENSE、NOTICE,未做删除、篡改;
2. 如有代码修改,已完整记录变更日志,可随时提供补丁;
3. 已完成全依赖树扫描,无隐藏高风险协议依赖;
4. 严格按照协议要求履行开源、声明、分发义务;
5. 已知悉违规商用将构成著作权侵权,愿意承担对应责任。
申请人签字:__________ 日期:__________
七、各级审批意见
1. 技术负责人/架构师审核(审核链接方式、隔离方案、技术风险):
意见:________________________________________
签字:__________ 日期:__________
2. 安全/SCA审核(审核依赖漏洞、协议风险、扫描报告):
意见:________________________________________
签字:__________ 日期:__________
3. 法务审核(审核协议合规、商用风险、侵权风险):
意见:________________________________________
签字:__________ 日期:__________
4. 最终审批结论:□允许引入 □允许引入但需按整改方案执行 □禁止引入,需替换组件
八、归档附件清单(必须随表存档)
1. SCA 依赖协议扫描报告
2. 开源组件 LICENSE 原文截图/文件
3. 源码修改补丁(如有)
4. 架构隔离设计文档(高风险组件必填)
5. SBOM 物料清单版本记录
配套填写规范(强制标准)
1. 白名单直接通过:MIT、Apache2.0、BSD、CC0,无需法务深度审核
2. 灰名单必须架构审核:LGPL、MPL2.0,必须确认无静态打包分发
3. 黑名单默认禁止:GPL/AGPL/SSPL/无协议代码,商用产品严禁直接引入;确需使用必须做进程/服务级完全隔离并法务终审
4. 无 LICENSE 仓库一律禁止商用,直接判定侵权风险,禁止入库
简易审批流程图
开发提报 → SCA扫描检测协议风险 → 技术审核使用方式 → 安全审核 → 法务终审 → 允许合入/整改/驳回 → 归档入SBOM
