Our friends from OPPO have updated the OpenChain Specification 2.0 in Simplified Chinese. This is useful if you want to check out the details of our International standard for open...
はじめに この記事では、Open Source Compliance に取り組む上で、役に立った情報や、役に立つよと紹介頂いた情報をまとめます。この記事にあるものが全てではありませんが、いくらかでもお役に立てば幸いです。なお、本稿中の OSS はとくに断りがなければ Open Source Software を意味します。 この記事は全体で上下2部構成になっています。 Open Source Compliance のお役立ち情報まとめ・上 (この記事) Open Source & Compliance Open Source Software Open Source Software License ツールなど Open...
You can access the English summary in the lower part of the page. はじめに こんにちは。本日はJapan WGと同じくOpenChainのWork Groupの一つであるAutomotive WGをご紹介します。Japan WGは国別のWork Groupであるのに対し、Automotive WGは産業別のインターナショナルなWork Groupになります。 自己紹介 本日の担当させて頂く遠藤雅人です。Japan WGには設立時から参加させて頂いているほか、Promotion SWGのリーダーとして今回のアドベンドカレンダー企画のサポートもさせて頂いています。本年7月には、本日ご紹介するOpenChain Automotive WGを立ち上げ、OpenChain Project全体のAutomotive Chairを拝命しております。趣味は旅行、ガジェット、スポーツ観戦(主にサッカー)です。...
はじめに OpenChain Japan WGのアドベントカレンダー、本日は13記事目になります。本アドベントカレンダーは、OSSコンプライアンスに関わる取り組み「OpenChain」プロジェクトの日本ワーキンググループのメンバーが日替わりで記事を書いています。 参考:FacebookやGoogleも参加するOSSコンプライアンスのプロジェクト、「OpenChain」とは 今回は「OSSの利用に伴う特許侵害リスク」について書いてみたいと思います。(セキュリティの話も一緒に書こうと思ったんですが構成がうまくまとまらず…今回は特許の話に特化して書かせていただきます) 自己紹介 国内外のIT関連分野について、特許や現地メディアを通じて技術動向の調査をしたり、それらをまとめた記事を書いたりしています。 twitter:テクノ大仏ブログ:中国ITの森 OpenChain Japanは2019年夏に存在を知って、全体会合に一度参加しただけのまだまだ初心者です。OpenChain Japanでは、OpenChainやOSSコンプライアンスの普及を担うPromotionグループに参加しています。 OSSと特許権侵害 あるOSSが第三者の特許権を侵害している場合、OSSの提供元だけでなくそのOSSを利用した製品やサービスも特許権侵害の対象となります。つまり、損害賠償金を請求されたり、特許ライセンス費用を要求されたりする可能性があります。 過去には、スマホ用OSとしてOSSの代表格であるAndroidが特許権侵害をしているとして、提供元のGoogleだけでなくAndroidスマホの開発企業が訴えられる事例も発生しています。 Microsoft、Android端末の特許侵害でMotorolaを提訴 Android関連の特許訴訟が相次いだGoogleは、上記ニュースでも話題になっているモトローラを買収。その後、多くの特許を保有したまま携帯事業部門を中国・レノボに売却したことから、訴訟に耐えうる特許取得が目的の企業買収と話題になりました。 ・モトローラ買収とグーグルの法的戦略の方向性–特許ポートフォリオ強化に至る背景 OSSの特許リスクを解消するためのコミュニティ・OIN(Open Invention Network) 特許によってOSSの円滑な利用が阻害される状況を懸念して、その問題を解決しようとするコミュニティ活動も同時に始まりました。今回はその1つとして「Open Invention Network(OIN)」およびその関連組織である「Linux Defenders」の活動を紹介します。 オープンイノベーション促進のための新たな知財課題 より引用 OINは「OSSに関する特許のクロスライセンス」を促進するコミュニティ活動です。 OINはLinuxに関連する特許を保有し、「Linux関連技術を利用する企業に特許訴訟を行わないこと(自社特許を開放すること)」に同意した参加企業に対して無償でライセンス提供を行います。2018年にはマイクロソフトがOINに参加、OSSと特許訴訟を巡る状況の1つの転換点となりました。 マイクロソフト、オープンソース特許ネットワーク(OIN)に加盟、特許6万件を開放 さらに、OSSに関して不当な特許が発生するリスクを減らすべく、OINの下部組織として「Linux...
The OpenChain Reference Tooling Work Group held its 16th meeting on the 3rd of June. You can find the recording of the session as well as the presentation slides here:...
はじめに こんにちは。あるいは、はじめまして。二度目ましての方も、おいででしょうかね。オープンソース(OSS)の利活用コンサルをしています、渡邊歩です。好きなOSSライセンスは、Beerware Licenseです。今回は本業のテーマで、「OSS管理のベストプラクティス」の必須要素である「組織」、「ポリシー」、「(正しい)知識」、「ツール」について書かせていただこうと思います。OSSコンプライアンスって何から始めればいいの?OSS管理ツールってたくさんあるけどそれぞれどう違うの?というような方のお役に立てれば幸いです。 組織(Open Source Program Office/OSPO)について Linux Foundation TODOグループのオープンソースプログラムの作成では、OSPOは「オープンソースをサポートし、育成し、共用し、説明し、成長させていくために企業内で中心となる組織」と定義されています。組織、というととても専門的で大規模なものを想像するかもしれませんが、少人数だったり他の業務との兼務だったりと、その形態は企業・組織によって様々です。これまで多くの企業・組織のOSPOの設立をご支援してきた中で、その成立ちを大きく分類すると下図のようになります。どのモデルにもそれぞれメリット・デメリットがありますので、それらを意識しながら推進していくことが重要です。 成功するOSPOの共通点というと、必要であれば会社の規則を変えたり製品の出荷を止めたりできるような「権限」があることと、企業・組織としてコンプライアンスを推進するのだという「使命」があることでしょうか。また、ルール主導にならないよう、開発チームと密に連携して無理のないプロセスを構築していくことも、成功の秘訣です。 ポリシーについて OSS管理って何から手をつければ良いんですか?という質問をいただくことがありますが、私はまず「OSSポリシーを作りましょう」とご提案します。OSSポリシーとは、企業または組織がOSSとどのように関わっていくかという指針を定めたもので、様々なシーンで判断をする際の拠り所になります。OSSポリシーにも色々な形式、粒度がありますが、私が一般的におすすめしているのは下記の形式です。 ポリシーで定めた内容を詳細化し読み物の形にした「ガイドライン」や、組織のメンバーに理解・浸透させるための「教育資料」の形に転用することもできます。 正しい知識について 今年は、たくさんの会社様からOSS教育のご依頼をいただきました。OSSの活用そのものが増えてきていることに加え、「正しく基礎的な知識を全員が持っていること」が重要視されてきているように思います。OpenChain Japan WGでは、関係する方々全員に正しい理解をしていただくためのリーフレット「オープンソースソフトウェアライセンス遵守のための一般公衆ガイド」を作成しました。(詳しくは12月8日のSat_Uさんの記事をご覧ください!)このガイドは、日本語版が作成された後、英語や中国語などに翻訳されています。海外の取引先にOSSコンプライアンスについて知って貰いたい方は是非この翻訳版のガイドを活用してください。 ツール(OSS管理ツール)について ここでは、ソフトウェアを解析し、内包するOSSを検出するツールのことをOSS管理ツールと呼びます。OSS管理ツールも様々なものがありますよね。結局のところ、どれがいいの?と迷われる方も多いと思いますので、選ぶ際の観点とおすすめツールを纏めてみました。 観点その1:OSSを改変して使っているかOSS管理ツールの基本的なアプローチは、解析対象ファイルから算出したハッシュ値と、予め算出して蓄えてあるOSSのハッシュ値とを比較する「ファイルマッチング」という方法です。ほとんどのツールには「あいまいマッチ検出」の機能があるので、軽微な改変であれば検出することができますが、改変の度合いと検出率は相反関係になります。改変されたOSSの検出を可能にするため、いくつかのOSS管理ツールでは「スニペットマッチング」というアプローチをとっています。これは、ファイルの一部分だけが似ているようなOSSを特定することができ、OSSの意図しない混入(コンタミネーション)を検出することができます。as-isのOSSのライブラリを参照しているだけ、というような方であればファイルマッチングができるOSS管理ツールで十分ですし、組込み開発などでOSSの改変が必須の方であれば、スニペットマッチングができるOSS管理ツールを選んでください。このカテゴリのおすすめツール:・Black Duck(ファイルマッチング・スニペットマッチング)・White Source(ファイルマッチング) 観点その2:独自ビルドのバイナリファイルを解析する必要があるかOSSのバイナリファイルをas-isで使用している場合であれば、上述の「ファイルマッチング」でカバーできますが、独自ビルドのバイナリファイルは、ビルド環境やオプション等によりハッシュ値が変わりますので、特別なアプローチが必要です。元にしたソースファイルが手元にある場合はもちろん、ソースファイルを解析すれば良いのですが、外部からの購入品などでバイナリファイルしか手元にない場合もありますので、そのような方は独自ビルドのバイナリファイルを解析する機能を持ったツールを選んでください。このカテゴリのおすすめツール:・Black Duck・Insignary Clarity 観点その3:依存関係の解析取り込んだOSSが更に別のOSSを取り込んでいて、突き詰めていくとGPLライセンスのライブラリが入っていた・・・という「あるある」を経験したことのある方も多いのではないでしょうか。このような「入れ子構造」になっているライセンスのことを「Deep License」と呼びます。このようなDeep Licenseを調べるには、パッケージ毎の依存関係(どのパッケージが、どのパッケージを内包しているか)を調べなければなりません。Deep Licenseを詳しく調べたい方は、パッケージマネージャの依存関係を示すファイルを解析しパッケージの依存関係を可視化してくれる機能を持ったツールを選んでください。このカテゴリのおすすめツール:・FOSSA...
はじめに OSSライセンス スキャナーであるFOSSologyを利用すると、OSSパッケージ毎のソース コード解析→SPDXファイルの出力が可能です。しかし、ソース コードをパッケージ毎にWeb UIからFOSSologyへ送るのは手間がかかるため、meta-spdxscannerを利用して、Yoctoでビルドしながら、FOSSologyへソース コードを送信、解析、SPDXファイルを出力する環境の構築方法をまとめてみました。 今回、構築する環境は、以下のような感じです。 ホスト環境は、Ubuntu 18.04やAWS(Amazon Linux)など、dockerが使えれば何でもよいです。青枠がdockerコンテナです。FOSSologyやYoctoビルド環境をdockerコンテナで構築し、Yoctoビルド環境のdocker上にFOSSologyとアクセスするためのfossdriverをインストールします。※FOSSologyやYoctoビルド環境についての説明は割愛します。 FOSSology環境の構築 FOSSology のdockerイメージを取得します。最新版は3.6.0版ですが、fossdriver経由で動作しないので、3.5.0版を取得します。追記:fossdriverが、FOSSology-3.6.0に対応したようです。(https://github.com/fossology/fossdriver/commit/efbbd51ae407e78cd8f969b2cdc3c243b31ade2a) $ sudo docker pull fossology/fossology:3.5.0 FOSSology dockerを起動します。 $ sudo docker run -d -p 8081:80 --name...
English translation throughout by Fukuchi San. Thank you Fukuchi San! Introduction 本日はOpenChain Japan Workgroupで開催している全体会合について紹介します。私は、Planning subgroupのリーダーを担当している福地と申します。Planning subgroupは毎回全体会合を企画しています。 My name is Hiro Fukuchi, I am the leader of the planning subgroup. This...
株式会社日立製作所 岩田吉隆 はじめに 今回は、OpenChain Japan WG「役割ごとの教育資料」SWGについて紹介します。 活動概要 メンバ ソニー、オリンパス、日立(リーダ) 活動状況 F2F会議での検討、作業(現在まで9回開催) Japan WG会議での報告(第7回~第11回) Planning SWG他での共通教育資料案のレビュー GitHubでの検討資料公開 検討資料 資料案 OSSのコンプライアンスにかかる教育の状況 先ず、コンプライアンスにかかる教育の状況について議論しました。 a. OpenChain設立前から、OSSに関する教育を実施している会社もある。b. これから、教育を実施する会社は、どういう教育内容、対象者からスタートすべきか、検討が必要。c. 会社毎のビジネス形態により、 OSSに関わる必要なビジネスフローは異なる。d. OSSに関わる上で、役割ごとに本当に必要最小限な教育観点は異なっている。e. Curriculum※ を全て教育内容に盛り込むと、分量が多すぎる。f. Specification※,...
We have had some great feedback on the procurement document. Before we head into release I want to put out a final call for comments and suggestions. We close this...
© 2026 OpenChain. All rights reserved. The Linux Foundation has registered trademarks and uses trademarks. For a list of trademarks of The Linux Foundation, please see our Trademark Usage page. Linux is a registered trademark of Linus Torvalds. Privacy Policy and Terms of Use
