The recording of our regular bi-weekly Specification Work Team is now available. This is where people can provide input on the current version of the standard, suggest new reference material, and also provide suggestions for our future.

You can join the Specification Mailing List to follow all the activity

• https://lists.openchainproject.org/g/specification

The OpenChain Automotive Work Group held a European/Asian meeting on the 18th of August. This meeting focused on discussions around SPDX and tooling in the automotive sphere. Check out the full recording below.

Everyone is invited to join the Automotive Work Group

• https://groups.io/g/openchain-automotive-work-group

Check out the recording of the latest meeting below.

Learn More About This Work Group

• http://oss-compliance-tooling.com/

OpenChain has been featured in a host of webinars recently. Here is one sent in from our friends at Source Code Control in the UK. Martin joined a team of experts to talk about Application Modernization and how OpenChain fits into the process picture.

View the Recording

• https://register.gotowebinar.com/recording/2169156529813805570

株式会社 日立製作所 野村祐治

はじめに

日立製作所では、「オープンソース ライセンス ガバナンス プロセス認証」を取得しました。
この認証はOpenChainプロジェクトが求める仕様に適合しており、OpenChainプロジェクトが認める最初の第三者認証の取得事例になります。

今回は認証の取得にいたる、日立の取り組みを紹介します。
 

日立製作所のOSSコンプライアンスへの取り組み

日立製作所では、OSSコンプライアンスを遵守するため以下の取り組みを実施しています。

• OSS専門組織
• OSS取扱いに関する会社規則
• OSS取扱いに関するガイドライン
• OSS取扱いに関する社内教育
• OSS取扱いに関する社内インフラ

OSS専門組織

OSS専門組織 として、OSSソリューションセンタを2015年10月に設立しました。
OSSソリューションセンタは、OSS活用の日立グループ内の取りまとめとして以下をミッションに活動しています。

• ミッション: OSSによる日立グループへのビジネス貢献
  • OSS活用ノウハウおよび、サポート・ソリューションの提供
  • OSSを安心して利用するためのインフラ・ガイドの提供
  • OSSコミュニティ貢献・標準化活動を通じたプレゼンス向上

OSS取扱いに関する会社規則

OSSの特性に合わせたOSS取得に特化した会社規則を制定しました。OSS取得の規則においては、以下を規定しています。

• OSS取得に関する審議体の規定
• OSS取得に関する審議項目と、審議担当部署の規定
• OSS取得の決裁者  

OSS取扱いに関するガイドラン

OSSの取扱いにおいて、利用者の行うべき作業・検討すべき項目をガイドラインとして規定しました。
日立製作所の標準開発方法論で定義する開発フェーズ、開発プロセス毎にワークシート形式で必要な作業をガイドしています。

ガイドラインの例(抜粋)

フェーズ	プロセス	検討・作業項目
企画	要件定義	・OSSの提供状況の確認 ・脆弱性事故への対応方法の確認
基本設計	システム方式設計	OSSの入手手続き
受入テスト	導入・受入	ライセンス遵守状況の確認

OSS取扱いに関する社内教育

OSSに携わる人全員が受講するe-learningと、より深い知識習得のための集合教育に分けて教育を実施しています。

• OSSの基礎(e-learning)
  • OSSを利用するために必要な基礎知識を習得する教育(コンプライアンスのポイント､活用するための検討事項)
• OSSコンプライアンス教育(集合教育)
  • OSSのコンプライアンス(ライセンス、知財、他)、ガイドラインに関する教育  

OSS取扱いに関する社内インフラ

会社規則、ガイドラインで規定した作業を効率よく行うため、社内インフラを開発・整備しています。

社内インフラの構成

OpenChain認証の取得

OpenChainプロジェクトでは、OSS取扱いのプロセスに関する仕様を定めています。
日立製作所では従来より独自の社内プロセスによりOSSの取扱いを行っていましたが、今後広くビジネスを行って行くには業界標準のプロセスを取り込んでいくのが良いと判断し、OpenChainの仕様に準拠する活動を行いました。
具体的な作業として、OpenChainで定められた仕様に準拠するように、社内の取り組みを改善しました。

OpenChain仕様カテゴリ	対応する社内の取り組み
G1. FOSSに関わる責任の理解 ・OSS取扱いに関する社内教育	・OSS取扱いに関するガイドライン
G2. コンプライアンスを履行するための責任者のアサイン	・OSS専門組織
G3. FOSSコンテンツのレビューと承認	・OSS取扱いに関する社内インフラ ・OSS取扱いに関する会社規則
G4. FOSSコンテンツ ドキュメントとコンプライアンス関連資料の頒布	・OSS取扱いに関する社内インフラ
G5. FOSSコミュニティへの（積極的な）関わり方の理解	・OSS取扱いに関する社内教育 ・OSS取扱いに関するガイドライン
G6. OpenChain 要件適合の認定	・OSS取扱いに関する会社規則・OSS取扱いに関するガイドライン ・OSS取扱いに関する社内教育

※FOSS：Free/Open Source Software

従来の日立製作所のプロセスは、OpenChainの仕様で定めるプロセスと大きな差異は無く、軽微な改善でOpenChain仕様に準拠可能でした。

社内のプロセスを改善している時期に、OpenChain仕様準拠の認証サービスを行う企業が登場し、その企業に依頼して仕様準拠の認証をしてもらうことにしました。

2018年11月に、認証取得を得ました。

おわりに

OpenChainの認証を取得する企業は、どんどん増えています。OpenChainプロジェクトで情報交換も出来ると思いますので、皆さん、OpenChainプロジェクトに参加しましょう！

さて、明日の記事は、2019年12月19日に行われたJapanWG全体会合のレポートが投稿される予定になっています。
ますます活発な活動になっているJapanWGですが、最新のトピックスもレポートされると思いますのでお楽しみに！

他社商品名、商標等の引用に関する表示

Black Duck は、Synopsys, Inc. の米国およびその他の国における登録商標です。

自己紹介

みなさん，はじめまして．
パナソニック株式会社でOSSコンプライアンス推進を担当している加藤と申します．
今回は，OpenChain Japan WGの活動で集まったケーススタディを紹介したいと思います．

各社のケーススタディ

OpenChainの成果物は下記のWikiに置かれています．
https://wiki.linuxfoundation.org/openchain/jwg_outcomes_page

ケーススタディはこちら
OSSコンプライアンス推進の組織・体制について各社の事例 (日本語・英語)
https://wiki.linuxfoundation.org/_media/openchain/openchainjwg_organization_lt_20180419_jpen_.pdf

OSSコンプライアンス推進の教育・啓発について各社の事例 (日本語・英語)
https://wiki.linuxfoundation.org/_media/openchain/openchainjwg_education_lt_20180613.pdf

OSSコンプライアンスのステップアップ、各社のケース (日本語・英語)
https://wiki.linuxfoundation.org/_media/openchain/openchainjwg_activity-stepup_lt_20191218_jpen_.pdf

なぜ事例集めをしようと思ったのか？

OSSコンプライアンスを社内で推進していると，「他の企業はどんな取り組みをしているのだろう？」，「どんなことを課題に取り組んでいるのだろう？」と思うことがあります．それに対して，今ではOSSコンプライアンスに関するセミナーなどで企業の方のセッションを聞くことで，いろいろと参考になる情報を得ることもできます．しかし，セミナーでは聞けても1社もしくは2社くらいの事例で，聞きたかった部分について語ってくれるかもわかりません．

そこで，テーマを決めて，Lightning Talkの形式で事例紹介をしてみれば，いろんな事例を聞けるのではないか？，それをWikiに載せれる形式にすれば，参加できなかった方にも参考になるのではないか？，また，担当者が社内で推進する場合にも「他の企業は，こんなに進んでいる！」とエビデンスと共に説明できて，OSSコンプライアンス推進担当者の力になるのではないか？，などと考え，実施してみたのが始まりです．

これから

OpenChain Japan WG では，今後も，いろいろなテーマで事例集めLightning Talkを企画したいと思います．

おわりに

今回は，OSSコンプライアンスに関する各社のケーススタディの紹介を行いました．
みなさんの参考になる情報があれば幸甚です．

また，このケーススタディ紹介Lightning Talkの場では，資料にない口頭だけの情報もいろいろと聞けたりします．興味のある方はOpenChain Japan WGのMLを購読し，全体会合に参加してみてください．はじめは聞く側でも，きっと話す側に回りたくなると思います．

明日のテーマは？

明日は日立製作所の野村さんが「OpenChain認証取得、日立製作所の取り組み」を記載下さいます．日本企業でいち早くOpenChainの認証を取得された日立製作所さん．きっと皆さんにも参考になることでしょう！

The OpenChain Reference Tooling Work Group meets bi-weekly to discuss open source tools for open source compliance. There are frequent demos and discussions around practical use. This is a good place to engage if you are considering open source tooling for your compliance activities.

This video is intended to give you an example of what our community gets up to in this area.

Learn More On The Dedicated Website

• http://oss-compliance-tooling.org/contact/

Take Part in the Activity via GitHub

• https://github.com/Open-Source-Compliance/Sharing-creates-value