THE LINUX FOUNDATION PROJECTS

aleksaboehm

製品開発サプライチェーンでのライセンス情報授受の仕組みに関わる、「組織間のライセンス情報授受」サブグループの活動ご紹介

ルネサスエレクトロニクス(株)の伊藤と申します。製品開発サプライチェーンでのライセンス情報授受の仕組みに関わる、「組織間のライセンス情報授受」サブグループの活動を紹介いたします。 なんのための活動? 組織・企業間でライセンス情報を正しく伝えるために 製品開発やサービスを行うために、ソフトウェアを開発する場合、ソフトウェアを部品(パッケージ・モジュール)単位で開発を分担することが一般的です。 個別のソフトウェア開発元・コミュニティ → 複数のソフトウェアを取りまとめてパッケージする企業・組織 → 仕様を決め、全体をまとめ、一まとまりの製品として開発する企業 → 製品要件などを決め、実際に顧客へと販売する企業、と企業・組織間のサプライチェーンに沿って、製品を構成するハードウェアに付随するソフトウェアを基盤に開発すること、市販されているソフトウェアをサービスの一部に組み入れること、目的に合わせたソフトウェアをその分野に強い企業・組織に個別に開発してもらう、などと、ソフトウェアは渡っていきます。 それら企業・組織間で授受されるソフトウェアには、必ずライセンスの条件など、付随する情報が伴います。 特にオープン ソース ソフトウェア(OSS)が含まれる場合、組織間の明示的な委託・受託契約で定義されるライセンス条件に加えて、OSSの配布に伴い提供すべき各種情報、その他のソフトウェア パッケージに関わるライセンス条件などを示す情報を、ソフトウェアと一緒に引き渡し、遵守する必要があります。 OSSのライセンスを遵守するためには、これらサプライチェーン上に位置する全ての企業が正確なライセンス情報を提供することが必要になります。サプライチェーン上で1社でもライセンス情報の提供を正確に提供することができないと、その企業より下流にある企業全てがOSSライセンスを遵守できなくなります。OSSのサプライチェーンに関係する担当者全員が理解して正確に作業することによって、適切にOSSの各ライセンスの条件を遵守することが可能になります。 このサブグループでは、「サプライチェーン上に位置する全ての企業が正確なライセンス情報を提供する」ための仕組み・ガイドを作成し、全ての企業・組織、そしてコミュニティが容易にOSSライセンスの遵守できることを目的に活動しています。 活動方針 業界標準のフォーマットを用いたライセンス情報の伝達と、より簡便な方法の提案 このサブグループは、ライセンス情報をあつかう上で、業界でも知られている標準的な手段の活用と、さらに、その手段への改善提案を行うことを、基本方針として活動しています。 ライセンス情報を扱うためのプロジェクトとして、Linux Foundation傘下にSoftware Package Data Exchange Workgroup (SPDX)があります。 SPDX Workgroupは、SPDXフォーマットを定義しており(本稿記載時点での最新版は、SPDX Specification...

OpenChain Japan WG Tooling Sub-WGの活動について

Tooling SWGとは (Japan WG Tooling Sub WGという名前は長いので、この記事ではTSWGとします)OpenChain Japan WGでは、さまざまな活動が行われていますが、TSWGの目的は、OSSコンプライアンスのための活用できるツールの情報を「(できるだけ)日本語で紹介」して「ツールを使いたい人のハードルが下がると良いな」という気持ちで活動しているWGです。2019年3月から活動しています。 なぜツールが重要か? OSSコンプライアンスを一言で説明すると、「OSSライセンスを守って正しく使う」ということになります(リスク云々の話はあえてしません)。そのためには、OSSの入手、利用(開発)、成果物リリース、運用・保守までの一連のプロセスで、OSSライセンスを意識しなければなりません。各プロセスですべきことを簡単にまとめると、次のようになります。 手順 やること 入手 OSSライセンスや著作者などを確認 利用 独自実装部分とOSS、OSS間の依存関係でライセンスの矛盾がないか等を確認 リリース 利用したOSSを記録し、提供する各種ドキュメントやソースコードを用意 保守 問い合わせに対応。脆弱性などの不具合への対応 これらの作業を手作業で行うのは、次のような理由でとても大変です。 OSSライセンスの種類が多数ある 組み合わせることができないOSSライセンスの組合せが存在する 一つのOSSのソースコード群が必ず一つのOSSライセンスに対応するとは限らない ツールを上手く活用することで、OSSライセンスの確認や、管理の手間を大幅に削減することが可能となります。また、ツールのアウトプットを標準的な形(例:SPDX)で蓄積することで、ツール間の情報流通を簡単に行うことができるというメリットもあり、結果としてOSS活用のハードルが下がる可能性もあります。 TSWGができた訳 OSSコンプライアンスのためのツールは多数ありますが、それらツールに関する情報のほとんどは英語で記述されており、日本語で気軽に情報交換できる場がありませんでした。とはいえ、日本にも海外の開発者と一緒にツールに関する活動に関わっている人もそれなりにいるため、「日本でOSSコンプライアンスのツールを活用しやすくする目的のために、最先端のツール開発状況や利用方法について、気軽に情報交換できる場を作ろう」というモチベーションで始まったのがTSWGです。 TSWGの活動内容 TSWGの活動の主軸は、「参加メンバ間でツールに関して議論する」です。その活動の成果として、次のようなものを想定しています。...

OSSライセンスに関するFAQサブグループのご紹介

こんにちは。富士通株式会社の大内です。Advent Calendar 4日目は、FAQサブグループの活動を紹介します。 活動成果  FAQサブグループでは、「OSSライセンス関連でよくある誤解」というタイトルのFAQを作成して公開しています。今年の7月に公開したバージョン3では、20個のQAを掲載しています。 下記URLの「成果物 / Outcomes」から「FAQ」をご参照ください。  https://wiki.linuxfoundation.org/openchain/jwg_outcomes_page  今回は、このサブグループを立ち上げたきっかけや、活動内容を紹介したいと思います。 きっかけ  私は知財部門に所属しており、OSSに関しては、ライセンス条件を遵守するためのガイドラインや教材等を作成して、社内の開発部門を支援しています。  ある時、1年間程、一緒に活動していたプロジェクトの営業さんと、立ち話しでライセンスのことを話していたところ、「製品の使用許諾書には、改変したり、配布したりしてはいけないって書いてあるからできないけど、OSSは禁止って書いてないから、自由に改変したり、配布したりできるってことですよね。」と言われました。  「エッ!、そこが分かってなかったの?」 「禁止って書いてなくても、やっていいって書いてなかったら、改変したり、コピーしたものをお客様へ配布したりできないんですよ!!」  インターネットから無償でダウンロードできるソフトウェアには、OSS以外にも様々な条件のものがあるため、著作権の基本事項がきちんと分かっていないと間違いを起こしてしまいます。 社内教育では著作権の基本事項を説明していますが、技術者の中にも、OSSを利用する際、著作権がどのような場面で関係してくるのか、きちんと理解できていない人がいるかもしれません。 そこで、社内外のセミナーでよくある質問や、開発者が誤解してそうな内容を簡単にまとめて紹介したら面白いかなと思い、いくつかのQAを作成してみました。  このQAをOpenChain Japan WGの全体会合で紹介したところ、「各社に共通する内容だ!」と共感してもらいました。そしてサブグループを立ち上げてQAを更新、ブラッシュアップしていくことになりました。 2018年10月18日にキックオフを行い、現在、26名が参加しています。 活動方針  QAの作成は、以下の方針としました。  1. 対象者は、著作権やOSSライセンスにあまり詳しくない技術者とする。 2. 各社に共通する一般的な内容を作成する。 3. ビジネスの背景により判断が分かれる内容は記載しない。 4. IPA、SOFTIC、OSSコミュニティ等から関連するドキュメントやサイトが公開されている場合は、本QAでの詳細説明は行わず、参照するドキュメントを記載する。 5. 公開する前に弁護士レビューを受ける。  また、サブグループのメンバーは、様々な会社の人から構成されており、経験しているビジネスも異なるため、本音で会話できるようにChatham House Rule(会話した内容は利用できるが、誰が言ったかは口外しない)を採用することにしました。 FAQフォーマット  技術者は、開発に忙しいですし、法律っぽい解説書にはあまり興味を持ってもらえません。そこで、簡単にポイントが分かるように、QAのフォーマットを以下の構成とし、PowerPointにまとめることにしました。 (1)タイトル (2)質問 (3)はい/いいえの回答 (4)解説  FAQを公開する際のライセンスは、CC0-1.0(パブリックドメイン)ですので、各社が自社のビジネスに合わせて自由に複製、改変して教育等で利用することもできます。...

OpenChain Japan WG 第12回会合 のご案内

はじめに 12/2の今田さんの投稿でもご説明いただいていましたが、OpenChain Japan WGでは2〜3ヶ月ごとに全体会合を開催しています。次回会合は 今月12/19(木)13:30〜18:00 東京のNEC本社ビル(JR田町駅 or 都営三田駅) で開催する予定です。Advent Calendar 3日目は、その全体会合のご案内をさせていただきます。 自己紹介 12/3を担当させていただく島直道です。もともとは組み込みの開発者だったんですが、2010年頃からオープンソースのライセンスやコンプライアンスに関する仕事に携わり、現在は領域を広げてOSSの管理(プロセス・ライセンス遵守/教育・脆弱性対策等)や、OSSの開発関連ツールの普及・展開、OSS活用支援などを担当しています。Japan WG には第3回会合から参加させていただいており、個人的にはつぎでちょうど10回目の参加ということになります。趣味は釣りと料理とクラフトビアと温泉と旅行と野球と鉄道とカメラってとこですね。あとRaspberry Pi Audioも。 OpenChain Japan WG 第12回会合について 第12回会合は内容盛りだくさんで、いつもの会合よりちょっと長めです。ご参加いただく皆さんにとって非常に有用な情報収集・交換の場になることを確信しています。また、Japan WGの発足が2017年の12月なので、ちょうど2周年という記念すべき会合になります。 なお今回の会合は、12/17〜18に品川で開催されるThe Linux Foundation主催のOpen Compliance Summit 2019の翌日ということもあり、ゲストとして海外からもOSSのコンプライアンスに関わっている方にお越しいただき、さらに、一部の方にはご講演いただくことも予定しています。しかもなんと!英語セッションにはJapan WGメンバーの方のご協力による逐次通訳付きです!感謝!! 開催概要 日時:...

OpenChain プロジェクトおよび OpenChain Japan WG のご紹介

株式会社日立製作所 今田律夫 はじめに OpenChainプロジェクト は、The Linux Foundation の公式プロジェクトの一つです。今回は、OpenChainプロジェクトおよびOpenChain Japan WGについてご紹介します。 OpenChainプロジェクト オープンソースソフトウェア (以下ではOSSと略します) の活用にあたっては、各ソフトウェアの著作者が定めたライセンスを遵守する必要があります。特に、組織においてOSSを活用する場合、組織に入ってくるOSS (Inbound)、組織から出ていくOSS (Outbound) の両方について適切な管理が行われるよう、管理体制の確立が必要になります。OpenChainプロジェクトは、各組織が組織内に確立すべきOSSコンプライアンスプログラムの要件をOpenChain仕様として定義し、その普及を推進しています。また、OpenChainプロジェクトは、OpenChain仕様のISO規格化を進めています。 OpenChainプロジェクトの会員資格 OpenChainプロジェクトの会員資格には、The Linux Foundationの会員企業が参加できる有償のプラチナ会員と、コミュニティ会員とがあります。プラチナ会員は本稿の執筆時点で、Adobe, ARM, Bosch, Cisco, Comcast, Facebook, 富士通, Google, 日立製作所, Microsoft, パナソニック, Qualcomm,...

Minutes OpenChain Work Team Call – Third Monday – March 2020

This is a record of the OpenChain Project Work Team Call from 03-16-2020. Get the agenda slides https://wiki.linuxfoundation.org/_media/openchain/openchain_agenda_2020-03-16.pdf Watch the video minutes https://https//www.youtube.com/watch?v=aGZRgWxknaE All OpenChain call outcomes are archived on...