Aug 10

OSSコンプライアンスに関する各社のケーススタディ

By aleksaboehm Featured

自己紹介

みなさん，はじめまして．
パナソニック株式会社でOSSコンプライアンス推進を担当している加藤と申します．
今回は，OpenChain Japan WGの活動で集まったケーススタディを紹介したいと思います．

各社のケーススタディ

OpenChainの成果物は下記のWikiに置かれています．
https://wiki.linuxfoundation.org/openchain/jwg_outcomes_page

ケーススタディはこちら
OSSコンプライアンス推進の組織・体制について各社の事例 (日本語・英語)
https://wiki.linuxfoundation.org/_media/openchain/openchainjwg_organization_lt_20180419_jpen_.pdf

OSSコンプライアンス推進の教育・啓発について各社の事例 (日本語・英語)
https://wiki.linuxfoundation.org/_media/openchain/openchainjwg_education_lt_20180613.pdf

OSSコンプライアンスのステップアップ、各社のケース (日本語・英語)
https://wiki.linuxfoundation.org/_media/openchain/openchainjwg_activity-stepup_lt_20191218_jpen_.pdf

なぜ事例集めをしようと思ったのか？

OSSコンプライアンスを社内で推進していると，「他の企業はどんな取り組みをしているのだろう？」，「どんなことを課題に取り組んでいるのだろう？」と思うことがあります．それに対して，今ではOSSコンプライアンスに関するセミナーなどで企業の方のセッションを聞くことで，いろいろと参考になる情報を得ることもできます．しかし，セミナーでは聞けても1社もしくは2社くらいの事例で，聞きたかった部分について語ってくれるかもわかりません．

そこで，テーマを決めて，Lightning Talkの形式で事例紹介をしてみれば，いろんな事例を聞けるのではないか？，それをWikiに載せれる形式にすれば，参加できなかった方にも参考になるのではないか？，また，担当者が社内で推進する場合にも「他の企業は，こんなに進んでいる！」とエビデンスと共に説明できて，OSSコンプライアンス推進担当者の力になるのではないか？，などと考え，実施してみたのが始まりです．

これから

OpenChain Japan WG では，今後も，いろいろなテーマで事例集めLightning Talkを企画したいと思います．

おわりに

今回は，OSSコンプライアンスに関する各社のケーススタディの紹介を行いました．
みなさんの参考になる情報があれば幸甚です．

また，このケーススタディ紹介Lightning Talkの場では，資料にない口頭だけの情報もいろいろと聞けたりします．興味のある方はOpenChain Japan WGのMLを購読し，全体会合に参加してみてください．はじめは聞く側でも，きっと話す側に回りたくなると思います．

明日のテーマは？

明日は日立製作所の野村さんが「OpenChain認証取得、日立製作所の取り組み」を記載下さいます．日本企業でいち早くOpenChainの認証を取得された日立製作所さん．きっと皆さんにも参考になることでしょう！

Aug 03

Love0

OSSに関するコンプライアンス体制構築の際の留意点

By aleksaboehm News

本日は弁護士の野中さんに登場頂きます！（諸事情により遠藤が投稿してます）

はじめに

はじめまして。弁護士の野中高広です。最近は、バッティングセンターにはまっています。空振りが約２割ですが（笑）。
ところで皆さんの会社では、OSSのリスクの問題について、どの程度のかたが認識しておられるでしょうか？コンプライアンス体制についても最低限整っているといえますでしょうか？
本日は、OSSに関してコンプライアンス体制の構築をするうえでの留意事項について、すでに皆さんご存知のことがほとんどであるとは思いますが、簡単に検討してみたいと思います。

どうして体制を構築する必要があるのか？

これまでにOSSに関して問題となってきたいろいろな事例を見てみますと、第三者によるリバースエンジニアリングなどによって、OSSの利用が発覚し、OSSライセンス違反を指摘されるような場合があります。OSSのライセンス違反の指摘を受けた場合、謝罪やソフトウェアの差し替えを行なったり、ソースコードの公開などについて迅速かつ適切な対応をとることが重要と言われています。しかも、すばやく適切な対応を行なえば、すぐに訴訟に発展するわけではありませんし、欧米の事例を検討していますと、こうした対応の遅れが係争へと発展しているケースが多いともいえます。

留意すべき事項は？

そのため、いろいろな事態あるいはリスクに事前に備えておくことが必要になるといえそうですが、実際にコンプライアンス体制を構築する際には、どのような点について特に留意する必要があるのでしょうか。会社によって進捗状況は様々だと思いますが、以下で、いくつか基本的な事項について触れてみたいと思います。

· まず、OSSライセンスの利用にあたってのコンプライアンス強化を図るために、OSS利用についての内部規程の作成や、内部規程遵守のための社内体制と仕組みの構築が求められるといえます。その際に、社員の方への内部規程の周知・教育に加えて、社内・社外向けにOSS利用についての問い合わせ窓口を設置することなどもセットで検討しておくことが有効といえるでしょう。

· その前提として、例えばGPLのソースコードの公開範囲についてなど、様々な解釈があり得るケースについては、この分野の有識者や専門家を交えて十分に検討を重ねて、自社の見解を統一しておくことが必要となります。その過程で社内で議論を積み重ねて、各種事例や先例についての知識や理解を深めつつ、多くの人が問題意識を共有することこそが有益ともいえるでしょう。

· また、最近では様々な有用なソフトもありますが、ソフトウェアの検査を行なうことも肝といえます。ソフトウェア開発の初期段階、委託先からソフトウェアが納入される時、あるいは製品の出荷前などに、OSS検出ツールなどを利用して、意図しないOSSが混入していないかを十分に検査する必要があります。特に、ソフトウェア開発の委託をする際には、利用するOSSとその利用条件の開示を求めたり、あるいはOSSライセンス違反をした場合の責任分担やソースコードの調査義務などについても念のため盛り込んでおくことも検討するとよいでしょう。ここらあたりの話については、個人情報の取扱いが第三者に委託される場合の留意事項とパラレルに考えることができるかもしれません。

· さらに最近では、法務デューデリジェンスによる確認も重要となってきております。例えば、M&Aにおいて、買収した会社がOSSライセンス違反をしている場合もあり得るため、法務デューデリジェンスで、OSSに関する問題をレビューしていくことも、今後は一般的になっていくものと思われます。

おわりに

以上、ごくごく簡単に見てきましたが、実際にいろいろな措置を導入していくに当たっては様々なハードルも考えられます。なかなか理解が難しい分野でもあり、問題意識を共有すること自体に苦労することも多々あるかと思います。
本日のテーマが、皆さんの会社のコンプライアンス体制構築がさらに進むうえで少しでもお役に立てれば幸いです。

明日のテーマは…

明日は、Japan WGの設立当初から中心的な活躍をされているパナソニックの加藤さんから「OpenChain Japan WGの活動で集まった事例」についてご紹介いただく予定です。
自社の体制を構築する上で一番気になる「他社はどうしているのか」がわかる貴重な情報ですので、ぜひご期待ください。

Jul 27

Love0

SW360/SPDX Liteを利用して、AGLリリースソフトを簡単に確認出来るようにする

By aleksaboehm News

この記事はOpenChain Advent Calenderの19日目の記事です

はじめに

車載向けOSSコミュニティのAGL(AutomotiveGradeLinux)で使用しているソフトウェアについて、OpenChainにて議論が進められているSW360とSPDX Liteを利用して、AGLで使用しているソフトウェアを誰でも簡単に確認出来る方法を紹介します
尚今回の内容については2020CESのAGLデモブース内のOpenChainブースでも紹介予定です
OpenChain and AGL Collaborate to Facilitate Open Source Compliance in Automotive Production

AGLのリリースソフトウェアについて

AGLでは年2回ソフトウェアをリリースしており、現状の最新ソフトはIcefish RC3 (v8.99.3)が年明けの正式リリースに向けて、リリースの準備が進められています。AGLリリースノートについて、このページを参照して下さい。
ビルド済みのソフトについても公開されており、Yoctoビルド時に出力されるlicense.manifestを確認すれば、AGLでどのようなソフトウェアが使用されているか、下記のように確認する事が出来ます

PACKAGE NAME: af-binder PACKAGE VERSION: master+gitAUTOINC+82a9d79621 RECIPE NAME: af-binder LICENSE: Apache-2.0
このように
・パッケージ名
・バージョン
・ライセンス
を確認する事が出来ますが、AGLでは1,500～1,600位のソフトウェアが使用されており、license.manifestを確認するのはそれなりに苦労するため、SW360/SPDX Liteを利用して誰でも簡単にAGLのリリースソフトウェアを確認出来るようにしたいと思います

今回の環境の全体イメージ

SW360にはSPDXをインポートして使用する想定のため、meta-spdxscannerを利用して、AGLリリースソフトからSPDXファイルを作成します。SW360ではSW360toolsを利用してSPDX Liteをアウトプット可能なため、EXCELを使用してAGLのソフトウェアを誰でも簡単に確認する事が可能です

環境のセットアップ

meta-spdxscanner

AGLでは下記のようにmeta-spdxscannerがサポートされていますので、
 <project name="dl9pf/meta-spdxscanner" path="external/meta-spdxscanner" remote="github" revision="483f79e66eb76b0f1bebe1e3a0a0327b0ba59f16" upstream="thud"/>
spdxscannerが使用するfossdriverをセットアップします。セットアップ方法は10日目の記事を参考にして下さい
セットアップ完了後、https://github.com/dl9pf/meta-spdxscanner を参考に local.conf を編集しbitbakeを実行して、SPDXファイルを出力します
$ bitbake agl-demo-platform –-runall=spdx # will generate all agl-demo-platform spdx $ bitbake package_name -c spdx # will generate spdx of a specified package

SW360

SW360のセットアップについては、この記事を参考にセットアップを実施します
今回はSW360からSPDX Lite(EXCEL)を出力したいので、SW360toolsを追加でセットアップします

SPDXファイルの取り込みから、SPDX Liteの出力

環境のセットアップが完了したら、生成したSPDXファイルをSW360にインポートします

インポートが完了するとSW360にインポートしたソフトウェアが表示されます

SW360toolsを使用すると出力するSPDXの項目を選択する事が可能となり、SPDX Liteなど必要な情報だけを最小限にしてcsv形式で出力する事が可能です

SW360が使用出来ない環境でも、Excelで出力したファイルをいつでも簡単に参照する事が可能となります

さいごに

駆け足での紹介になってしまいましたが、実際の開発現場に使用する際に課題と感じた事を下記します
・meta-spdxscannerを使用してSPDXを出力する時間が、bitbakeのビルド時間よりも長く、CIに組み込むには課題がある
・SPDXファイルをSW360にインポートする時に、ファイル数が100を超えると読み込み途中でフリーズが発生する時がある
・Dockerfileのメンテナンスが遅れており、環境構築にコストがかかる
他にも運用面での課題もあるかと思いますが、AGLなどのオープンな場所で少しずつFBしながら、実績を積みたいと思います

明日のテーマは・・・

明日は「OSSのコンプライアンス体制構築をするうえでの留意事項」について
Promotion SWGにも参加頂いているDLA Piperのパートナー弁護士である野中さんにご担当頂く予定です

Jul 21

Love0

OpenChain Specification Work Team – Second Monday July 2020 – Full Recording

By aleksaboehm Featured

The recording of our regular bi-weekly Specification Work Team is now available. This time we talked about framing the objectives for future OpenChain updates. It will be a long time before we release a future version of the OpenChain Specification after our ISO launch this year, but we want to ensure that people from all over the world can connect and send in suggestions over time.

You can join the Specification Mailing List to follow all the activity

https://lists.openchainproject.org/g/specification

Jul 20

Love0

FOSSology の新しいOSSライセンススキャン「Atarashi」調査

By aleksaboehm Featured

はじめに

OpenChain Japan WG Advent Calendar 2019 Day18を担当する @K-Hama です．OSSマネジメントプロセスの研究とOSS管理に利用するツールの研究開発が主な仕事ですが，最近はOSS関係のコミュニティ活動も行っています．本日はFossologyプロジェクト¹が進めている新しい検索エンジン「Atarashi²」を調べて分かったことを簡単にまとめ,インストール方法までを紹介しようと思います．

Fossology とは

最初に簡単にFossologyとは何かを紹介します．Fossologyはソフトウェアを構成するソースコードを分析し，中に含まれているOSSライセンス，コピーライト，ECCなどの情報を検出，リストアップするツールです．Fossologyは The Linux Foundationの傘下プロジェクト主体で開発されていて，Fossology自体もOSSライセンスで利用許諾されているので誰でも自由に無料で利用可能となっています．基本的な使い方や情報は日本語のハンズオン資料がOpenChain Japan³（日本語）, FossologyのGithub⁴で(日本語，英語，ベトナム語)公開されているのでそちらを参考にしてください(日本語の内容はどちらも同じ)．また，誰でも無料で参加できるFossologyのイベントが OpenChain Japan WG Tooling Sub-WG 主催で2019年12月20日に東京で開催されます⁵．（このイベントにはFossologyの主開発者のMichael C. Jaeger さんも来ます）．Fossologyに関して他に以下のドキュメントが参考になります．

・Fossologyインストール方法
・Fossologyインストール方法日本語
・FOSSology – Install from Sourceのススメ
・@y-ashiduka さんがOpenChain Japan WG Advent Calendar 2019 Day 10に投稿された
　Yocto環境にmeta-spdxscannerを適用し、SPDX出力環境を構築する（fossdriver利用編）

Atarashi の調査にあたって

FossologyにはNomos, Monkなどのライセンス検索エージェントが存在しています．これらに加えてテキストマイニングをしてライセンス検知を行おうとしているのものが、Atarashi²とのことです．AtarashiはFossologyの１検索エンジンとして開発されているようですが，現時点ではFossologyの本家にPull Request⁶が行われているもののマージされておらず，FossologyをインストールすればそのまますぐにAtarashiを使えるわけではないみたいです[2019年12月時点]. そこで，本記事ではAtarashiが何を目指して開発されているのか調査し，その上で分かったことをここにまとめようと思います．Atarshiに実装されている細かい検索アルゴリズムについては今回は名前を出すに留めます. ソースコードはGitHub⁷で公開されていますので誰でも確認できます．また，Google Summer of Code Projectの一つのプロジェクトとしてもAtarashiは進められていたたようです．他にAtarashiに関する資料がとしては以下のものが公開されています．・ FOSSology: Two New Approaches For License Scanning from Shane Coughlan

Atarshiの目的

fossology-two-new-approaches-for-license-scanningによると，Atarashi はテキスト統計および情報検索をもとにしたnon-rule based scannerです．

ファイルの展開をした後に，
1. SPDX identifiers を見つける
2. SPDX headers　を見つける
3. 見つけたものを適用
4. 類似度をもとにランキング作成
5. 出力表示

といったプロセスで進んでいくようです．SPDX identifiers / SPDX headers についてはSPDXのページ⁸に詳細が書いていますので是非参考にして下さい．

なお　OpenChainJapanのSPDXに関する取り組みは　@Yoshiyuki_Ito　さんが「製品開発サプライチェーンでのライセンス情報授受の仕組みに関わる、「組織間のライセンス情報授受」サブグループの活動ご紹介」で紹介してくれています．　

また，1. SPDX identifiers を見つけるの部分に関してはすでにFossologyで ojo Agentとして実装されており，利用可能です．使い方は簡単で検索オプション指定時に[ojo]を選択するだけです．

結果は以下みたいな感じになります．

Atarashiの構成

公式ドキュメントによるとAtarashiの中にもいくつかの検索エージェントが含まれており，それを指定し利用する仕組みになっています．名前はそれぞれ利用しているワード検索の手法に由来してます．

DLD agent
- レーベンシュタイン距離を求めて類似度検索
  - Damerau–Levenshtein distance
- https://github.com/fossology/atarashi/blob/master/atarashi/agents/dameruLevenDist.py
wordFrequencySimilarity agent
- https://github.com/fossology/atarashi/blob/master/atarashi/agents/wordFrequencySimilarity.py
tfidf agent
- （Term Frequency、単語の出現頻度）&　idf（英: Inverse Document Frequency、逆文書頻度)
  - Term Frequency(TF)、
  - Inverse Document Frequency(IDF)
- https://github.com/fossology/atarashi/blob/master/atarashi/agents/tfidf.py
Ngram agent
- https://github.com/fossology/atarashi/blob/master/atarashi/agents/cosineSimNgram.py

前準備

以下をインストール

Python >= v3.5
pip3

インストール

今回はインストール方法まで紹介しようと思います．(以下 commit id 387e144)

はじめに　requirement.txt を利用してパッケージを導入すればいいのですが、numpyだけは別途入れる必要があります。

$ git clone  https://github.com/fossology/atarashi.git
$ cd atarashi
$ pip3 install numpy
$ pip3 install -r requirements.txt
$ pip3 install .

以上でインストールは完了です．

下記のようにヘルプコマンドを押して

$ atarashi -h

以下のように出てきたらインストールは成功

インストールのあとどのように利用するか，利用した結果などを今後紹介できたらいいと思います．

さいごに

FOSSologyのを含めOSSライセンスの検索エンジンに関しては，いろいろなニュース出てきてて，今とても熱い分野だと言えそうです．(例： Digging for license information with FOSSology ). 今後OpenChain Japan WG Tooling Sub-WGでは企業の枠を超えてFossologyやAtarashiの利用方法調査や機能の実装も協力して進めていきたいと思います．興味があればメーリスに登録することをお勧めします．　https://lists.openchainproject.org/g/japan-sg-tooling

なお、OpenChain Japan WG Tooling Sub-WGの活動については @ystk-k さんの記事を参考にしてみてください。
https://qiita.com/ystk-k/items/1ec2b416cc05b98597a9

追記(2020/01/06)

Fosoology/Atarashiのレポートが公開されてたようなので共有しておきます．
https://github.com/fossology/atarashi/files/4016573/Atarashi-Report.pdf

公開場所: https://github.com/fossology/atarashi/pull/60

明日は

@yuichi-kusakabe さんがOpenChainとAGLに関係する記事を書いてくれます．Automotive Grade Linuxに興味がある方は是非一読しましょう．

Jul 13

Love0

富士通のオープンソースへの取り組み

By aleksaboehm News

はじめに

こんにちは。富士通の青木です。
富士通で唯一”オープンソースソフトウェア（OSS）”という名前が付く組織「OSS技術センター」に所属しています。
私のプロジェクトでは、社内でのOSS利活用推進全般を実施しています。
今日は、OpenChainプロジェクトの活動に至るまでの富士通のOSS専門組織や社内の関連部門とスクラムを組んで歩んできた取り組みについてご紹介します。

富士通のオープンソース専門組織「OSS技術センター」

富士通とOSSとの関わりは、1999年に富士通サーバーのLinuxサポートをスタートし、現在のOSS技術センターの前進組織として2000年1月設立の富士通Linuxセンターが発足しました。

OSS技術センターの発足

ミッションクリティカルな領域でOSSがどんどん使われるようになり、富士通社内でもOSSの重要性が認知されて、お客様の要件や用途に合わせた適材適所なオープン技術の選択によってお客様の新たな価値を創造していくことを目指して2005年11月に専門組織「OSS技術センター」が組織化されました。

OSSの選定や技術支援など富士通のフィールドと一体となった活動には多くの実績がありますが、ここ3年ほどはOSSのライセンスリスクや技術リスクなどをお客様自身が課題ととらえて、様々な相談が寄せられるようになってきています。

社内でのOSSコンプライアンス活動

社内では、ツールを利用したOSSの混入チェックや、ライセンスポリシーを自動判定、さらにBOM管理を実施して、脆弱性を通知するサービスを開発部門へ提供し、OSSのライフサイクルマネージメントを実現しています。

主に実施していること
・利用しているOSSの見える化。
・製品で利用しているOSSコンポーネントとライセンス情報や脆弱性情報との紐付け。
・会社として問題ないと判断したソフトウェア/バージョン/ライセンスのリスト化と判定。
・工程ごとの承認の仕組みとエビデンスを導入。（ワークフロー機能）

社内プロセスの整備

上記の仕組みを確立するまでは、長い時間をかけ、知財部門、品証部門、もちろん開発部門も巻き込んで、社内でライセンスを正しく守りつつOSSを利用するための枠組みを整理しました。
知財部門が中心となって、OSS利活用ガイドを作成しルールとプロセスを定め、全社規格や部門規格にOSSの規定を盛り込んでいます。

富士通では、適用領域が多岐にわたることもあり、複数の部門横断の体制を組み総合力を活かしてOSSの活用を推進しています。

OSSの利用拡大と全社教育

OSSがOSの模倣や商用製品の代替と呼ばれていた時代から変化し、AIなどをはじめとするデファクト技術がOSSから生まれるようになり、我々の業務もかなり変化をしていると感じます。
少し前までは開発に携わるキーマンがOSSのライセンスについて熟知していればよかったところ、今や調達部門や営業部門などもOSSに対する知識を身に着けていく必要があると感じています。
そこで従来は、開発部門に向けた集合教育やe-learningをメインに実施していましたが、2年前に全社員を対象にしたリテラシー教育を新規に作成し、e-learningでいつでもだれでも受講できるようにしています。
どちらかというと、OSSのライセンスの話や義務履行の話が多いため、今はOSSのコントリビューションの教育を整備しているところです。

OpenChainプロジェクトとの関わり

2017年12月のJapan WG発足時に、トヨタさん、日立さん、SONYさん達と富士通の知財部門や組込みLinuxの開発部門がOpenChainの日本の活動を盛り上げようと参加しています。
サブWGのFAQ, ライセンス情報, Planning, Promotionなどなどで10名ほどが活動しています。
富士通では、グループ会社を含む全社活動のOSS利活用WGにてその活動報告を共有し、仲間づくりを進めつつ、もっともっと参加していくべきということで、2019年2月にplatinumメンバーになりました。
今年度は、社内でも全社員に向けたメールマガジンで、OpenChainの紹介をしたり、Japan WGの本会合を社内で開いたりして、今まで興味をもっていなかった営業部門ほか関係部門の方々にも活動をアピールしています。

SPEC2.0 認証

2019年11月に富士通は自己認証を取得しました。もともと整備してきたOSSの全社規格や部門規格をあらためて見直し、OpenChain仕様にそって改善を加え、知財部門、OSS技術センター、開発部門（組み込みLinux開発部門・ソフトウェア事業部門）と大きな組織で教育展開を一斉に実施し、認証を取得しました。
これは、従来のプロセスやルールを振り返るとても有意義な取り組みで、教育の再実施により、デファクトスタンダードとなる仕様と自分たちの実践活動を紐づけができた、とてもいい機会となりました。今後も継続して仕様に準拠して取り組んでいきたいと思います。

OSPOとして

OSS技術センターが富士通のOpen Source Program Officeとして社内外から認知されて相談に乗れるように、今後も専門組織として取り組んでいきます。
また、富士通はグローバルカンパニーとして、富士通の北米、欧州、アジア部門とも連携してOpenChainの取り組みをはじめ、連携しながら活動していきます。

今後は、社内実践で培ったノウハウをお客様やパートナー様へ向け提供し、OpenChainプロジェクトやオープンソースへの貢献を実施していきたいと思います。

明日のテーマは・・・

明日は、浜さんのFossology の新しいOSSライセンススキャンについてです。Fossologyは私も使っていて今後SW360との連携もとても興味深いです。楽しみにしています！！

Jul 06

Love0

オリンパスとOpenChainとの関わり

By aleksaboehm Featured

オリンパスの小泉です。弊社と OpenChain との関わりについて書いていきます。 OpenChain Japan Work Group ではライセンス情報（6日参照）、教育（7日参照）、Plannning（9日参照）（、Promotionはメンバー扱いになっている？なってない？）の各サブグループで活動しています。

おことわり
内容は全然技術っぽくありません。が、技術者にとってもOSSライセンスのコンプライアンスは大事だよ、ということで消されないことを祈っています。

会社紹介

皆さんがオリンパスと聞いてまず思い浮かぶものは何でしょう。
カメラでしょうか。確かに弊社のPenを持ち歩いている女性をよく見かけるような気がします。
ICレコーダーでしょうか。よく記者が政治家に一斉に向けていたりするあれです。実は弊社は、このアドベントカレンダーにも書いている（であろう）他社さんを押さえてシェアNo1だったりします。
流石にそういう人はいないと思いますが、「最新科学で名画の秘密に迫る」とかいう場合にも実は弊社の製品が使われていたりします。蛍光X線分析装置ですね。
が、おそらく皆さんが一番目にしているのは、内視鏡（「胃カメラ」と言われることも）でしょう。（胃カメラだから「口にしている」と言うべきでしょうか。でも大腸内視鏡というのもありますよ！）世界シェアの約7割を占めています。
以上のように、一言でくくるのは難しいものを作っている会社です。

第三者認証を取得されている日立製作所さんの直後に書くのは、なんだか少しはずかしいのですが（と思ったら、直前は日立製作所さんではなくなっているようですね。順番の入れ替えがあった模様です。）、オリンパスは OpenChain の認証は（今のところ）まったく取っていません。

自己紹介

オリンパスグループ全体のOSSに関する事項全般を取り扱っています。ベンチャー企業で10年近くフィーチャーフォン向けの組込みソフトウェアの開発に携わった後、2010年12月より（実質的に）現職です。

好きなライセンスはPostgreSQLのライセンスです。なぜなら、日本語参考訳を大きく見直したのが私ですから。

OSSライセンスコンプライアンスの取り組み

10年近く前、オリンパスグループ内でOSSライセンス違反に繋がりかねないヒヤリ・ハットが発生しました。具体的には、ソフトウェアベンダーがオリンパスに納入してきたソフトウェアにOSSが含まれていることに、そのソフトウェアを組み込んだ製品の出荷直前になって気付いた、というものです。それをきっかけに、
– （意図的な）OSS利用時の確実なライセンス対応
– 意図しないOSSの混入防止
をオリンパスグループとして徹底する仕組みを構築することになりました。
会社で仕組みと言えば、以下の3つがいわゆる「3種の神器」ではないかと思います。
– 体制
– プロセス
– ツールや教育
弊社もその例に漏れず、グループ全体に渡る体制、プロセスを構築し、ツールを導入し、教育を実施してきました。それぞれここで詳しく述べられれば良いのですが、図入りの詳細をMarkdownで書くのはちょっと大変なので、申し訳ないですが割愛します。詳しく知りたい方は、例えばOSAKA NDS Embedded Linux Cross Forum #9に添付された資料を見てください。この辺りの話はよくセミナーで話していますので、私から話を直接聞ける機会もあるのではと思います。

OpenChainとの関わり

上記の取り組みは「まずは自分がしっかりやろう」というものです。
でも、オリンパスだけが取り組んでも、この取り組みのきっかけとなった問題に対する解決策としては十分ではありません。オリンパスに対してソフトウェアを納入する側、すなわちサプライチェーンの各社にも対応してもらうことが必要です。

もちろん現段階でも何もやっていないわけではなくて、最低限の手当てとして、「オープンソースソフトウェアの利用の有無の確認書」（他社への質問票）というものを使ってサプライチェーンの各社に対してOSSを使っているか否かの確認を行うようにしています。また、それをプロセスに組み込んでもいます。

そして、 OpenChain へ

ただし、サプライチェーンの皆さんに納得して取り組んでもらわないことには、サプライチェーンの各社にとっては「オープンソースソフトウェアの利用の有無の確認書」という単に面倒な書類が一枚増えるだけになってしまいます。

まずは「サプライチェーンの皆さんに納得してもらう」ためにどうすれば良いかと考えていた時に、ちょうど OpenChain の方に声をかけてもらいました。それがこのような活動を始めたきっかけです。（ OpenChain のチェーンってサプライチェーンのチェーンですよね、多分。）

実は、、、

ここまで書いておいて何なのですが、上に書いたようにオリンパスは OpenChain の認証は取得していません。それどころか OpenChain のメンバーでもなく、さらに OpenChain の上部団体である Linux Foundation のメンバーですらありません。ですが、 OpenChain Japan Work Group のメンバーとして活動しています。

こんなオリンパスでも迎え入れてくれるほど、OpenChain Japan WG は懐が深いです。ぜひ、みなさんも OpenChain Japan WG に参加しましょう。Linux Foundation や OpenChain は国際的な団体なのでやり取りは主に英語ですが、OpenChain Japan WG なら日本語でやり取りできますよ！

明日は？

明日は富士通の青木さんが富士通社内での取り組みについて書いてくださいます。富士通さんはつい最近OpenChain 2.0の認証を取得しましたので、その辺りのことも詳しく書いてもらえるのではないかと思います。楽しみにしていてください。

Jun 29

Love0

Open Source Compliance のお役立ち情報まとめ・下

By aleksaboehm Featured

はじめに

この記事では、Open Source Compliance に取り組む上で、役に立った情報や、役に立つよと紹介頂いた情報をまとめます。この記事にあるものだけが全てではありませんが、いくらかでもお役に立てば幸いです。
なお、本稿中の OSS はとくに断りがなければ Open Source Software を意味します。

この記事は全体で上下2部構成になっています。

Open Source Compliance のお役立ち情報まとめ・上 (前の記事)　

Open Source & Compliance
Open Source Software
Open Source Software License
ツールなど

Open Source Compliance のお役立ち情報まとめ・下 (この記事)

業界的な集まりなど
イベントや会合など
ニュースや書籍など

Open Source Compliance のお役立ち情報まとめ・下

業界的な集まりなど

Open Source Compliance について、特定の業種による団体や、特定の目的のための団体が知られています。

Fintech Open Source Foundation (FINOS)

金融業界を中心としてOSSの利用を促進する団体です。”Open Source License Compliance Handbook” などを公開しています。

Open Invention Network (OIN)

OIN参加企業同士は Linux Stystem として定義される OSS について自社が保有する関連特許に関して争わないとするコミュニティです。設立当初は Microsoft 対 Linux 陣営の構図でしたが、2018年10月にMicrosoftが加入したことで、この構図は NPEs* 対 OIN参加企業に変わっていくのかも知れません。
(*: Non-Practicing Entities、いわゆるパテントトロール)

参考： Steven J. Vaughan-Nichols , “Open Invention Network comes to GNOME’s aid in patent troll fight“, ZDNet, 2019.

Unified Patents

NPEsへの各種対抗措置として、先行技術調査、訴訟の分析、USPTO(米国特許庁)の審判部(Patent Trial and Appeal Board: PTAB)に当事者レビュー(Inter Partes Review: IPR)を提出するなどで特許無効化を図ったり、NPEと交渉するなどのサービスを提供します。2019年には対象とする技術領域に Open Source が追加されました。
活動状況のダッシュボードとして PORTAL があり、そのページの最下部に “Daily Update Email Archive” へのリンクがあります。また、PATROLL では、先行技術調査のコンテストに関する情報が得られます。

イベントや会合など

会ってでないと話せないこと、会ってコミュニケーションが深まるきっかけになったり、参加したから知ることができること、などがあります。都合がつけば、こうした集まりに足を向けてはどうでしょうか。会合によっては Chatham House での情報交換の取り決めに由来する Chatham House Rule に従うことを求めるものがあります。

When a meeting, or part thereof, is held under the Chatham House Rule, participants are free to use the information received, but neither the identity nor the affiliation of the speaker(s), nor that of any other participant, may be revealed.
(参考訳：会議あるいはその一部であっても Chatham House Rule に従う場合、会議参加者はその会議で集まった情報を自由に利用できる。しかし、(情報提供者となる)発言者については勿論のこと、他のいかなる会議参加者についても、その身元(素性)や所属を漏らしてはならない。)

このルールについては Chatham House Rule FAQ も読んでおくと良いでしょう。信頼できる仲間だからこそ話せることもある、といったところでしょうか。

Linux Foundation events

Linux Foundation が開催する次のイベントでは、セッションのトピックや、会合それ自体が Compliance をテーマとするものがあります。

Open Source Summit

毎年、Japan、North America、Europe などの各地域で開催されます。スピーチやセッションによっては、講演ビデオや資料が公開されます。Compliance をトピックとするセッションがありますが、Keynote やそれ以外のセッションでは実に様々なトピックが扱われ、エンジニアに限らず様々なバックグラウンドの参加者が集まるので、情報収集やネットワーキングに有益です。2019年はすべて終わり(Japan(7月), North America(8月), Europe(10月))、2020年の開催がすでに案内されています(North America(6月), Japan(9月), Europe(10月))。

Open Compliance Summit

名称が示すとおり、Compliance を主テーマとするイベントです。毎年日本で開催されます。招待状を申し込む必要があり、その参加には “Chatham House Rule” に同意する必要があります。本稿執筆時点で次回は 2019年12月17-18日に開催されます。

オープンソースライセンス研究所

ほぼ毎月、次の勉強会や分科会が開催されています。新着情報に開催案内があります。資料の共有範囲は参加者に限定されるので、興味がある方は参加してみてください。

ライセンス深掘り勉強会

OSSライセンスを一文ずつ読み、参加者同士で知見を共有したり議論する集まりです。弁護士も参加されるので法的な視点でのお話を伺うことも出きます。議論を通じて理解が曖昧な部分が浮かび上がる時は、これまでの自身の実務でどうだったかを振り返るよい機会になります。

OLL技術用語解説分科会

OSSライセンスに関わる法務や知財の担当者向けに、技術用語の理解のための補助資料を作成する集まりです。

OpenChain Japan Work Group (JWG)

再掲になりますが、JWG にはいくつかの Sub Work Group の活動があります。関心があれば気軽に参加頂ければと思います。　

ニュースや書籍など

近年、Open Source Software の提供元がそれまでのライセンスを変更して新たなライセンスを作成する事例が見られます。そうした情報の収集にはインターネットの利用が欠かせません。

技術系のニュースサイトは見ていても良いと思います。二つ以上のサイトを利用されていれば、Open Source Compliance で話題になりやすいライセンスについては時期に差があるもののおそらく記事として目に触れるのではないかなと思います。とくにお薦めできるサイトというのは気にしたことがないのですが、英語圏のものが早いかなとは思います。なお、日本語で読めるものの例だと OSDN Magazine のライセンスカテゴリの記事などがあります。

僕自身は、Google アラートを “open source” や “OSS” などのキーワードで活用しています。

一方で、必ずしも最新の話題がないとしても、まとまった情報をざっと読み通せるということで書籍を利用する方もいるでしょう。一部、僕が未読のものもありますが、僕が参加する集まりで話題に挙がったものも含めて紹介します。出版元を見つけられなかったもの以外は、リンク先を出版元にしています。お手数ですがご購入の際はご利用されている販売店やそのサイトでお求めください。

OSSライセンスの教科書

著：上田理、監修：岩井久美子
出版社：技術評論社　
2018年に出版なので、今回紹介する日本語書籍の中では新しいものです。主な Open Source Software License の特徴と、企業が Open Source Software を活用する上でのポイントを解説しています。冒頭の岩井弁護士による解説記事は、エンジニアが法務・知財部門のスタッフとコミュニケーションを取る前の読み物としてお勧めできます。
なお、著者の上田さんは先に紹介した「オープンソースソフトウェアライセンス遵守に関する一般公衆ガイド (pdf)」の作成のリーダーです。

ところで、僕は JIPA ソフトウェア専門委員会にも参加しているのですが、そこに参加する他企業の知的財産部員でも読んでいる方が多いです。読者の近くに知財部員の方がいれば、JWG に一度顔を出してみてはどうかと案内して頂けると幸いです。

角川インターネット講座２ネットを支えるオープンソースソフトウェアの進化

監修：まつもとゆきひろ、他著
出版社： KADOKAWA/角川学芸出版
(恐縮ながら僕は未読です。JWG で話題に出たことがあったので紹介します)

2014年に出版で、それまでのオープンソースとそれを取り巻くソフトウェア開発の歴史を俯瞰できるようです。
第2部では、ライセンス、ブラウザ開発動向、企業におけるオープンソースとの付き合い方、などの話題を扱っています。

なお、著者の一人のやまねさんは、企業所属エンジニアかつ Debian JP Project のコミッターとして双方の視点で JWG に知見を与えてくれる貴重な存在です。ただ、やまねさんのような方は貴重すぎて JWG の各活動でなかなかお会いできないので、読者の中で我こそはと思う方は JWG に参加ください。もちろん OpenChain に興味があるというところからの参加も大歓迎です。

知る、読む、使う！オープンソースライセンス

著：可知豊
出版社：達人出版会
2011年に出版で、電子書籍として購入出来ます。
Open Source Software License で利用例が多いと思われる MIT、BSD系、MPL-2.0、GPL系などを概要を掴むには便利です。

Understanding Open Source and Free Software Licensing

Author: Andrew M. St. Laurent
Publisher: O’Reilly Media (July 2008)

著者は米国弁護士です。米国著作権法に関連した知識を踏まえて OSS ライセンスを理解するのに利用しました。
Open Book版もあります。

Open Source for Business: A Practical Guide to Open Source Software Licensing 2nd edition

Author: Heather Meeker
Publisher: CreateSpace Independent Publishing Platform; 2nd edition (April 4, 2017)
著者は TLDRLegal にも参加している米国弁護士です。こちらも米国著作権法に関連した知識を踏まえて OSS ライセンスを理解するのに利用しました。

Open Source Compliance in the Enterprise (2nd edition)

Author: Ibrahim Haddad, PhD
Open Source の利用に当たって必要となる、それが何かを具体的に識別(Identification)し、どのようなものかを監査(Audit)し、問題点の整理等々に始まる一連の工程において、そこでのプロセスや注意点、また、ツールや参考情報などが得られます。

Assessment of Open Source Practices as Part of Due Diligence in Merger and Acquisition Transactions (2nd edition)

Author: Ibrahim Haddad, PhD
Merger and Acquisition（M&A）での Due Diligence で Open Source 関連事項を評価する時のポイントが整理されています。

明日のテーマは

「オリンパスとOpenChainとの関わり」です。
担当の小泉さんは、JWG で4つの SWG に参加されるなど八面六臂に活躍されています。オリンパス社はグループとしてグローバルに Open Source Program Office の体制を構築し運用されているので、その一端を垣間見ることが出来るかもしれません。お楽しみに！

おまけ：自己紹介

忍頂寺です。所属等は別記事「Open Source Compliance のお役立ち情報まとめ・上 (12/14公開記事)」を参照ください。

Jun 28

Love0

OpenChain Reference Tooling Work Group – Meeting #17 – Full Recording

By aleksaboehm Featured

The OpenChain Reference Tooling Work Group held its 17th meeting on the 17th of June.

You can find the recordings of the morning and the afternoon sessions as well as the presentation slides here:

https://github.com/Open-Source-Compliance/Sharing-creates-value/tree/master/Tooling-Landscape/Meeting-Material/Meeting-20200617

Catch up on minutes from all previous meetings

https://github.com/Open-Source-Compliance/Sharing-creates-value/tree/master/Tooling-Landscape/Meeting-Material

Jun 26

Love0

OpenChain Reference Tooling Work Group – Next Meeting July 1st 2020 at 6pm CET

By aleksaboehm News

Proposed Agenda

1. News                                                                                         All
2. Github repo                                                                             Oliver
3. Fossology scanning in CI                                                      Gaurav Mishra

If you have any suggestions for the agenda please let Oliver at oliver.fendt@siemens.com know.

Join The Call

Join using the Circuit Desktop App or mobile app:
circuit://circuit.siemens.com/guest?token=119a2919-d083-418b-bde8-6f006898ff42
Join using the Circuit web client or mobile app:
https://circuit.siemens.com/guest?token=119a2919-d083-418b-bde8-6f006898ff42

To enjoy the best possible experience while working with Circuit on your desktop computer, try Circuit Desktop App, Chrome or Firefox.

To participate in a voice-only conference, dial one of the following numbers.

PIN 0233 5723 57 #

Join via voice-only. Your microphone will be muted. Press *3 to unmute it.

Frequently used dial-in numbers:

Canada (English): +19292704096
tel:+19292704096,,0233572357#<tel:%2B19292704096%2C%2C0233572357%23>

China, Peoples Republic (中文): 4008198763
tel:4008198763,,0233572357#<tel:4008198763%2C%2C0233572357%23>

Germany (Deutsch): +498923128020
tel:+498923128020,,0233572357#<tel:%2B498923128020%2C%2C0233572357%23>

Spain (Español): +34912158038
tel:+34912158038,,0233572357#<tel:%2B34912158038%2C%2C0233572357%23>

United Kingdom (English): +442076606076
tel:+442076606076,,0233572357#<tel:%2B442076606076%2C%2C0233572357%23>

United States (English): +19292704096
tel:+19292704096,,0233572357#<tel:%2B19292704096%2C%2C0233572357%23>

All dial-in numbers:

Argentina (Español): +541159842552
tel:+541159842552,,0233572357#<tel:%2B541159842552%2C%2C0233572357%23>

Australia (English): +61282784325
tel:+61282784325,,0233572357#<tel:%2B61282784325%2C%2C0233572357%23>

Austria (Deutsch): +4313602774621
tel:+4313602774621,,0233572357#<tel:%2B4313602774621%2C%2C0233572357%23>

Belgium (English): +3226200317
tel:+3226200317,,0233572357#<tel:%2B3226200317%2C%2C0233572357%23>

Brazil (English): +551138788268
tel:+551138788268,,0233572357#<tel:%2B551138788268%2C%2C0233572357%23>

Bulgaria (English): +35929358238
tel:+35929358238,,0233572357#<tel:%2B35929358238%2C%2C0233572357%23>

Canada (Français): +18887768707
tel:+18887768707,,0233572357#<tel:%2B18887768707%2C%2C0233572357%23>

Canada (English): +18887768708
tel:+18887768708,,0233572357#<tel:%2B18887768708%2C%2C0233572357%23>

Canada (English): +19292704096
tel:+19292704096,,0233572357#<tel:%2B19292704096%2C%2C0233572357%23>

Canada (Français): +15148412132
tel:+15148412132,,0233572357#<tel:%2B15148412132%2C%2C0233572357%23>

Chile (Español): +56226188362
tel:+56226188362,,0233572357#<tel:%2B56226188362%2C%2C0233572357%23>

China, Peoples Republic (中文): 4008198763
tel:4008198763,,0233572357#<tel:4008198763%2C%2C0233572357%23>

Colombia (Español): +5714864866
tel:+5714864866,,0233572357#<tel:%2B5714864866%2C%2C0233572357%23>

Costa Rica (Español): +50625397362
tel:+50625397362,,0233572357#<tel:%2B50625397362%2C%2C0233572357%23>

Croatia (English): +38517776197
tel:+38517776197,,0233572357#<tel:%2B38517776197%2C%2C0233572357%23>

Czech Republic (English): +420225382900
tel:+420225382900,,0233572357#<tel:%2B420225382900%2C%2C0233572357%23>

Denmark (English): +4535158116
tel:+4535158116,,0233572357#<tel:%2B4535158116%2C%2C0233572357%23>

Dominican Republic (Español): +18299566315
tel:+18299566315,,0233572357#<tel:%2B18299566315%2C%2C0233572357%23>

Ecuador (Español): +1800000742
tel:+1800000742,,0233572357#<tel:%2B1800000742%2C%2C0233572357%23>

El Salvador (Español): +50321367565
tel:+50321367565,,0233572357#<tel:%2B50321367565%2C%2C0233572357%23>

Estonia (English): +3726868885
tel:+3726868885,,0233572357#<tel:%2B3726868885%2C%2C0233572357%23>

Finland (English): +358981710072
tel:+358981710072,,0233572357#<tel:%2B358981710072%2C%2C0233572357%23>

France (Français): +33185148486
tel:+33185148486,,0233572357#<tel:%2B33185148486%2C%2C0233572357%23>

Germany (Deutsch): +498923128020
tel:+498923128020,,0233572357#<tel:%2B498923128020%2C%2C0233572357%23>

Greece (English): +302111809487
tel:+302111809487,,0233572357#<tel:%2B302111809487%2C%2C0233572357%23>

Guatemala (Español): +50223661200
tel:+50223661200,,0233572357#<tel:%2B50223661200%2C%2C0233572357%23>

Hungary (English): +3614292267
tel:+3614292267,,0233572357#<tel:%2B3614292267%2C%2C0233572357%23>

Indonesia (English): +622150851722
tel:+622150851722,,0233572357#<tel:%2B622150851722%2C%2C0233572357%23>

Ireland (English): +35315339866
tel:+35315339866,,0233572357#<tel:%2B35315339866%2C%2C0233572357%23>

Israel (English): +97237207564
tel:+97237207564,,0233572357#<tel:%2B97237207564%2C%2C0233572357%23>

Italy (Italiano): +390699748020
tel:+390699748020,,0233572357#<tel:%2B390699748020%2C%2C0233572357%23>

Japan (English): +81366344738
tel:+81366344738,,0233572357#<tel:%2B81366344738%2C%2C0233572357%23>

Kazakhstan (English): +77273122918
tel:+77273122918,,0233572357#<tel:%2B77273122918%2C%2C0233572357%23>

Korea South (English): +82264108576
tel:+82264108576,,0233572357#<tel:%2B82264108576%2C%2C0233572357%23>

Latvia (English): +37166163137
tel:+37166163137,,0233572357#<tel:%2B37166163137%2C%2C0233572357%23>

Lithuania (English): +37052141723
tel:+37052141723,,0233572357#<tel:%2B37052141723%2C%2C0233572357%23>

Luxembourg (Français): +35227300013
tel:+35227300013,,0233572357#<tel:%2B35227300013%2C%2C0233572357%23>

Malaysia (English): +60320535108
tel:+60320535108,,0233572357#<tel:%2B60320535108%2C%2C0233572357%23>

Mexico (Español): +525550912420
tel:+525550912420,,0233572357#<tel:%2B525550912420%2C%2C0233572357%23>

Morocco (English): +212520480311
tel:+212520480311,,0233572357#<tel:%2B212520480311%2C%2C0233572357%23>

Netherlands (English): +31207219093
tel:+31207219093,,0233572357#<tel:%2B31207219093%2C%2C0233572357%23>

Norway (English): +4723500290
tel:+4723500290,,0233572357#<tel:%2B4723500290%2C%2C0233572357%23>

Oman (English): +96880074490
tel:+96880074490,,0233572357#<tel:%2B96880074490%2C%2C0233572357%23>

Oman (English): 80074490
tel:80074490,,0233572357#<tel:80074490%2C%2C0233572357%23>

Pakistan (English): +92518108858
tel:+92518108858,,0233572357#<tel:%2B92518108858%2C%2C0233572357%23>

Peru (Español): +5117087113
tel:+5117087113,,0233572357#<tel:%2B5117087113%2C%2C0233572357%23>

Philippines (English): +63283953534
tel:+63283953534,,0233572357#<tel:%2B63283953534%2C%2C0233572357%23>

Poland (English): +48225048376
tel:+48225048376,,0233572357#<tel:%2B48225048376%2C%2C0233572357%23>

Portugal (English): +351210608117
tel:+351210608117,,0233572357#<tel:%2B351210608117%2C%2C0233572357%23>

Romania (English): +40311305020
tel:+40311305020,,0233572357#<tel:%2B40311305020%2C%2C0233572357%23>

Russian Federation (Русский): +73433511796
tel:+73433511796,,0233572357#<tel:%2B73433511796%2C%2C0233572357%23>

Russian Federation (Русский): +74232492964
tel:+74232492964,,0233572357#<tel:%2B74232492964%2C%2C0233572357%23>

Russian Federation (Русский): +74957459864
tel:+74957459864,,0233572357#<tel:%2B74957459864%2C%2C0233572357%23>

Russian Federation (Русский): +78127186937
tel:+78127186937,,0233572357#<tel:%2B78127186937%2C%2C0233572357%23>

Singapore (English): +6563131571
tel:+6563131571,,0233572357#<tel:%2B6563131571%2C%2C0233572357%23>

Slovakia (English): +421250112159
tel:+421250112159,,0233572357#<tel:%2B421250112159%2C%2C0233572357%23>

Slovenia (English): +38616002736
tel:+38616002736,,0233572357#<tel:%2B38616002736%2C%2C0233572357%23>

South Africa (English): +27118446101
tel:+27118446101,,0233572357#<tel:%2B27118446101%2C%2C0233572357%23>

Spain (Español): +34912158038
tel:+34912158038,,0233572357#<tel:%2B34912158038%2C%2C0233572357%23>

Sweden (English): +46851992037
tel:+46851992037,,0233572357#<tel:%2B46851992037%2C%2C0233572357%23>

Switzerland (English): +41225675325
tel:+41225675325,,0233572357#<tel:%2B41225675325%2C%2C0233572357%23>

Thailand (English): +6621040793
tel:+6621040793,,0233572357#<tel:%2B6621040793%2C%2C0233572357%23>

Turkey (English): +902123755830
tel:+902123755830,,0233572357#<tel:%2B902123755830%2C%2C0233572357%23>

United Arab Emirates (English): 800035704335
tel:800035704335,,0233572357#<tel:800035704335%2C%2C0233572357%23>

United Kingdom (English): +442076606076
tel:+442076606076,,0233572357#<tel:%2B442076606076%2C%2C0233572357%23>

United States (English): +19292704096
tel:+19292704096,,0233572357#<tel:%2B19292704096%2C%2C0233572357%23>

Uruguay (Español): +59829028657
tel:+59829028657,,0233572357#<tel:%2B59829028657%2C%2C0233572357%23>

Venezuela (Español): +582123358895
tel:+582123358895,,0233572357#<tel:%2B582123358895%2C%2C0233572357%23>

Vietnam (English): +842844581451
tel:+842844581451,,0233572357#<tel:%2B842844581451%2C%2C0233572357%23>