The full recording of the Virtual All Member Meeting #1 is now available (Japanese language).
Tooling SWGとは
(Japan WG Tooling Sub WGという名前は長いので、この記事ではTSWGとします)
OpenChain Japan WGでは、さまざまな活動が行われていますが、TSWGの目的は、OSSコンプライアンスのための活用できるツールの情報を「(できるだけ)日本語で紹介」して「ツールを使いたい人のハードルが下がると良いな」という気持ちで活動しているWGです。2019年3月から活動しています。
なぜツールが重要か?
OSSコンプライアンスを一言で説明すると、「OSSライセンスを守って正しく使う」ということになります(リスク云々の話はあえてしません)。そのためには、OSSの入手、利用(開発)、成果物リリース、運用・保守までの一連のプロセスで、OSSライセンスを意識しなければなりません。各プロセスですべきことを簡単にまとめると、次のようになります。
| 手順 | やること |
|---|---|
| 入手 | OSSライセンスや著作者などを確認 |
| 利用 | 独自実装部分とOSS、OSS間の依存関係でライセンスの矛盾がないか等を確認 |
| リリース | 利用したOSSを記録し、提供する各種ドキュメントやソースコードを用意 |
| 保守 | 問い合わせに対応。脆弱性などの不具合への対応 |
これらの作業を手作業で行うのは、次のような理由でとても大変です。
- OSSライセンスの種類が多数ある
- 組み合わせることができないOSSライセンスの組合せが存在する
- 一つのOSSのソースコード群が必ず一つのOSSライセンスに対応するとは限らない
ツールを上手く活用することで、OSSライセンスの確認や、管理の手間を大幅に削減することが可能となります。また、ツールのアウトプットを標準的な形(例:SPDX)で蓄積することで、ツール間の情報流通を簡単に行うことができるというメリットもあり、結果としてOSS活用のハードルが下がる可能性もあります。
TSWGができた訳
OSSコンプライアンスのためのツールは多数ありますが、それらツールに関する情報のほとんどは英語で記述されており、日本語で気軽に情報交換できる場がありませんでした。とはいえ、日本にも海外の開発者と一緒にツールに関する活動に関わっている人もそれなりにいるため、「日本でOSSコンプライアンスのツールを活用しやすくする目的のために、最先端のツール開発状況や利用方法について、気軽に情報交換できる場を作ろう」というモチベーションで始まったのがTSWGです。
TSWGの活動内容
TSWGの活動の主軸は、「参加メンバ間でツールに関して議論する」です。その活動の成果として、次のようなものを想定しています。
- ツールに関する入手可能な情報をまとめる
- ツール紹介
- セミナー開催
- 情報の流通過程とツールのマッピング作成
- 不足部分(機能)の明確化
- ツールが管理するデータ流通手段の検討
- 関連コミュニティへの参加と提案
- OpenChain本体のReference Tooling WG
- SPDX
- 活動に賛同するメンバ拡大のためのプロモーション
今までの活動
TSWGは、現在2ヶ月に1回くらいのペースでF2Fミーティングを開催してます。今までに開催したF2Fミーティングでは、次のような情報共有や報告がありました。
| 回 | 内容 |
|---|---|
| 第1回 | 今後の活動方針について議論 |
| 第2回 | SPDX Toolsの紹介、SW360の紹介 |
| 第3回 | OpenChain仕様を考慮したSW360運用、ClearlyDefinedプロジェクトの紹介、FOSSologyのCLIとREST APIの利用方法紹介 |
| 第4回 | OSS読み解きについて、tl;trの紹介、OpenChain Reference Tooling WG立ち上げについて、Open Source Summit North America参加報告 |
| 第5回 | FOSSology – Install from sourceのススメ、FOSSologyとScancodeの精度比較論文の紹介、Open Chain Reference Tooling Workgroup ミーティングの報告 |
JTSWGメンバの活動成果
今までのF2Fミーティングの内容は、OpenChain Project WikiのJapan WG Tooling SWGのページからダウンロードすることが可能です。その他に、Japan WGから次のような成果を公開しています。
上記URLを参照していただくと、Japan Tooling SWGのページではなく、FOSSology、SW360それぞれのプロジェクトのアップストリームに登録されています。OSS開発の基本はアップストリームファーストですので、TSWGに関連するOSSプロジェクトが存在する場合は、アップストリームに直接貢献するように活動しています。
また、OpenChain Projectでは、7月にReference Tooling Work Group (RTWG)が立ち上がりました。こちらは、以前からShareing Creates Valueという名前で、OSSコンプライアンスに関する活動を行っていたものが、OpenChainに合流したものになります。現在、日本のTSWGのメンバの一部はRTWGと一緒に活動して、最新の情報をTSWGにフィードバックしています。
これからのJTSWGの活動
直近では、12月19日(木)に第6回Tooling SWG F2Fミーティングが開催されます。さらに翌日の12月20日(金)もTSWGとは名付けていませんが、ツールに関するイベントを開催します。両日ともに、FossologyとSW360のメンテナー、Michael C. Jaeger氏を招いて講演いただきます。詳細は、下記の通りです。
- 第6回Tooling SWGミーティング
- 日時:12月19日(木) 9:00〜12:00
- 場所:東芝 浜松町ビルディング39階 3908会議室
- 内容
- SW360ハンズオン
- 他ツールからSW360へのマイグレーション
- 企業におけるOSSコンプライアンスツールのロールアウト事例
- 申し込み方法など
- FOSSologyハンズオン
- 日時:12月20日(金) 9:00〜12:00
- 場所:東芝 浜松町ビルディング39階 3904会議室 (19日とは別の会議室です)
- 申し込み方法など
上記は英語のセッションですが、TSWGは「基本的に日本語OK」の場ですので、日本語で質問いただければ、(誰かが)英語に翻訳します。お気軽に参加ください。
おわりに
今回は、OSSコンプライアンスのためのツールに関するサブワークグループ(Tooling SWG)の紹介をさせていただきました。TSWGへの参加は、ツールに関心のある人であればどなたでも可能です。是非、下記のメーリングリストに参加いただき、F2Fミーティングに顔を出していただければと思います。
- Tooling SWG ML: japan-sg-tooling+subscribe@lists.openchainproject.org
明日のテーマは?
明日は、サプライチェーンでのライセンス情報授受の仕組みに関わる「組織間のライセンス情報授受」SWGを、伊藤さんに紹介いただきます。
組織間でライセンス情報を交換しやすくするためには、どのような情報を用意するか、またそのフォーマットをどのようにすると良いかを議論し、積極的に提案を行っているSWGです。お楽しみに!
SAN FRANCISCO, APRIL 27, 2020 – The OpenChain Project is delighted to announce that Osborne Clarke is our latest partner organization. Osborne Clarke is an international legal practice with offices situated around Europe, Asia and the USA with a strong focus on technology law.
The deep IT sector knowledge of Osborne Clarke comes from acting for an impressive client base comprising the great and the good in global technology, which exposes the firm to fresh ideas and new operating models ahead of the competition. Osborne Clarke has more than ten years of experience in providing comprehensive legal and technical advice on open source software and offers solutions in the area of open source compliance and contributions. Having developed a legal tech solution for evaluating and handling the legal aspects of open source licenses, Osborne Clarke helps companies to comply with legal open source license requirements, from startups to stock exchange-listed groups, as streamlined and efficiently as possible.
The OpenChain standard defines inflection points in business workflows where a compliance process, policy or training should exist to minimize the potential for errors and maximize the efficiency of bringing solutions to market. The companies involved in the OpenChain community number in the hundreds. The OpenChain standard is being prepared for submission to ISO and evolution from de facto into a formal standard this year.
“In the recent past, OpenChain has evolved as a de facto standard in the field of open source license compliance,” says Dr. Hendrik Schöttle, Partner at Osborne Clarke in Germany. “Being involved in open source compliance on a daily basis, joining OpenChain was the logical consequence for Osborne Clarke. We hope to contribute and to push forward the great and valuable efforts of OpenChain for compliance standardization.”
“The OpenChain Project has a strong emphasis on ensuring the support infrastructure for adoption is as comprehensive as possible as we transition from a de facto to formal standard via the ISO process,” says Shane Coughlan, OpenChain General Manager.“ Hendrik Schöttle and the team at Osborne Clarke have exceptional knowledge in this field and provide us with a substantial increase in coverage and knowledge throughout the OpenChain Partner Program.”
About Osborne Clarke
Osborne Clarke is an international legal practice with over 270 Partners and more than 900 talented lawyers in 26 locations. Our sector-based approach enables us to help our clients tackle the issues they are facing today, and prepare for the ones that they will face tomorrow. Advising them both comprehensively and commercially. We love working closely with our clients on new deals, products and solutions which will transform their businesses, markets and even sectors. And our unique approachable culture is not an added extra, it’s fundamental to our success.
Learn more about OC’s open source work at http://www.osborneclarke.com/oss
About the OpenChain Project
The OpenChain Project builds trust in open source by making open source license compliance simpler and more consistent. The OpenChain Specification defines a core set of requirements every quality compliance program must satisfy. The OpenChain Curriculum provides the educational foundation for open source processes and solutions, whilst meeting a key requirement of the OpenChain Specification. OpenChain Conformance allows organizations to display their adherence to these requirements. The result is that open source license compliance becomes more predictable, understandable and efficient for participants of the software supply chain. More information can be found at www.openchainproject.org.
About The Linux Foundation
The Linux Foundation is the organization of choice for the world’s top developers and companies to build ecosystems that accelerate open technology development and industry adoption. Together with the worldwide open source community, it is solving the hardest technology problems by creating the largest shared technology investment in history. Founded in 2000, The Linux Foundation today provides tools, training and events to scale any open source project, which together deliver an economic impact not achievable by any one company. More information can be found at www.linuxfoundation.org.
The Linux Foundation has registered trademarks and uses trademarks. For a list of trademarks of The Linux Foundation, please see our trademark usage page: https://www.linuxfoundation.org/trademark-usage.
Linux is a registered trademark of Linus Torvalds.
Media Contact:
Shane Coughlan
+818040358083
coughlan@linux.com
The OpenChain Project has launched a series of bi-weekly free webinars that provide access to people and knowledge that we would otherwise obtain at events. We hold our third meeting on Monday the 4th of May at 9am Pacific with four guest speakers.
Tobie Langel will speak about ‘Open Source Contribution Policies That Don’t Suck.’ In his own words: Open source contribution policies are long, boring, overlooked documents, that generally suck. They’re designed to protect the company at all costs. But in the process, end up hurting engineering productivity, and morale. Sometimes they even unknowingly put corporate IP at risk. But that’s not inevitable. It’s possible to write open source contribution policies that make engineers lives easier, boost morale and productivity, reduce attrition, and attract new talent. And it’s possible to do so while reducing the company’s IP risk, not increasing it.
Leon Schwartz and Tony Decicco from GTC Law will provide an overview of open source-related topics in the context of mergers, acquisitions, financings, investments, IPOs, divestitures, loans, customer license agreements, rep and warranty insurance and other transactions. This will span:
- Types of open source risk
- open source due diligence as part of transactions
- open source-related terms in agreements
- The strategic use of open source in transactions
Andrew Katz will present a due diligence questionnaire and sample warranties based on the the OpenChain specification, and will explain how adoption of this framework will drive further adoption of the standard. This builds on the observation that the OpenChain specification provides a great framework for due diligence and share purchase agreement warranties, even where the target is a software company which is not OpenChain compliant.
Each talk will run for 10~15 minutes and there will be plenty of time for questions, comments and suggestions. As with all OpenChain Project activities, our goal is to facilitate knowledge-sharing between peers.
Everyone is invited to join this free webinar via zoom. It will also be recorded and made available later on our website.
Join Our Zoom Meeting
Password *
- 123456
One Tap Telephone (no screensharing)
- +358 9 4245 1488,,9990120120# Finland
- +33 7 5678 4048,,9990120120# France
- +49 69 7104 9922,,9990120120# Germany
- +852 5808 6088,,9990120120# Hong Kong
- +39 069 480 6488,,9990120120# Italy
- +353 6 163 9031,,9990120120# Ireland
- +81 524 564 439,,9990120120# Japan
- +82 2 6105 4111,,9990120120# Korea
- +34 917 873 431,,9990120120# Spain
- +46 850 539 728,,9990120120# Sweden
- +41 43 210 71 08,,9990120120# Switzerland
- +44 330 088 5830,,9990120120# UK
- +16699006833,,9990120120# US (San Jose)
- +12532158782,,9990120120# US
Find your local number: https://zoom.us/u/abeUqy3kYQ
Not all countries have available numbers.
After dialing the local number enter 9990120120#
This webinar is about the current Chinese market and it also provides an update on what Facebook is doing around open source governance and licensing.
Our Presenters
Maggie Wang spoke about OpenChain in China. Maggie’s background ranges from working as an in-house at Huawei to acting as the China representative for Ladas and Parry. Her unique experience in-house and as outside counsel positions her perfectly to help contextualize where we are with regards compliance, standardization and business reality in one of our most important markets.
Michael Cheng spoke about OpenChain at Facebook, a topic that ranges from adoption activity and broader leadership in the compliance space by the company. His perspective will provide added value given the simultaneous decision by Facebook, Google and Uber to join OpenChain as Platinum Members in late 2018, and plenty of runway for our audience to ask questions about real-life lessons learned.
Check Out The Rest Of Our Webinars
This is OpenChain Webinar #2, released on 2020-04-22.
こんにちは。富士通株式会社の大内です。
Advent Calendar 4日目は、FAQサブグループの活動を紹介します。
活動成果
FAQサブグループでは、「OSSライセンス関連でよくある誤解」というタイトルのFAQを作成して公開しています。今年の7月に公開したバージョン3では、20個のQAを掲載しています。
下記URLの「成果物 / Outcomes」から「FAQ」をご参照ください。
https://wiki.linuxfoundation.org/openchain/jwg_outcomes_page
今回は、このサブグループを立ち上げたきっかけや、活動内容を紹介したいと思います。
きっかけ
私は知財部門に所属しており、OSSに関しては、ライセンス条件を遵守するためのガイドラインや教材等を作成して、社内の開発部門を支援しています。
ある時、1年間程、一緒に活動していたプロジェクトの営業さんと、立ち話しでライセンスのことを話していたところ、
「製品の使用許諾書には、改変したり、配布したりしてはいけないって書いてあるからできないけど、OSSは禁止って書いてないから、自由に改変したり、配布したりできるってことですよね。」
と言われました。
「エッ!、そこが分かってなかったの?」
「禁止って書いてなくても、やっていいって書いてなかったら、改変したり、コピーしたものをお客様へ配布したりできないんですよ!!」
インターネットから無償でダウンロードできるソフトウェアには、OSS以外にも様々な条件のものがあるため、著作権の基本事項がきちんと分かっていないと間違いを起こしてしまいます。
社内教育では著作権の基本事項を説明していますが、技術者の中にも、OSSを利用する際、著作権がどのような場面で関係してくるのか、きちんと理解できていない人がいるかもしれません。
そこで、社内外のセミナーでよくある質問や、開発者が誤解してそうな内容を簡単にまとめて紹介したら面白いかなと思い、いくつかのQAを作成してみました。
このQAをOpenChain Japan WGの全体会合で紹介したところ、「各社に共通する内容だ!」と共感してもらいました。そしてサブグループを立ち上げてQAを更新、ブラッシュアップしていくことになりました。
2018年10月18日にキックオフを行い、現在、26名が参加しています。
活動方針
QAの作成は、以下の方針としました。
1. 対象者は、著作権やOSSライセンスにあまり詳しくない技術者とする。
2. 各社に共通する一般的な内容を作成する。
3. ビジネスの背景により判断が分かれる内容は記載しない。
4. IPA、SOFTIC、OSSコミュニティ等から関連するドキュメントやサイトが公開されている場合は、本QAでの詳細説明は行わず、参照するドキュメントを記載する。
5. 公開する前に弁護士レビューを受ける。
また、サブグループのメンバーは、様々な会社の人から構成されており、経験しているビジネスも異なるため、本音で会話できるようにChatham House Rule(会話した内容は利用できるが、誰が言ったかは口外しない)を採用することにしました。
FAQフォーマット
技術者は、開発に忙しいですし、法律っぽい解説書にはあまり興味を持ってもらえません。そこで、簡単にポイントが分かるように、QAのフォーマットを以下の構成とし、PowerPointにまとめることにしました。
(1)タイトル
(2)質問
(3)はい/いいえの回答
(4)解説
FAQを公開する際のライセンスは、CC0-1.0(パブリックドメイン)ですので、各社が自社のビジネスに合わせて自由に複製、改変して教育等で利用することもできます。
コミュニケーション
サブグループでのQAの検討は、OpenChain JAPAN WGとは別にSLACKを立ち上げ、QAの候補案を集め、参加者がコメントする運用としました。
しかし、実際に開始してみると、コメントが出るタイミングがバラバラのため、QAがいつFIXしたかを判断するのが難しく、また、QAが出された背景を共通認識していないとポイントがズレてしまうということが分かりました。
そこで、現在は、SLACKでコメントを出し合った後、オフ会で最終レビューする運用としています。
オフ会を開催してみると、参加者が経験しているビジネス分野が異なるため、自分が想定していなかった経験談を聞いて新たな気付きがあったり、技術と絡めたライセンスの解釈を聞くことができたりして、とても勉強になります。何より、ライセンス遵守という共通課題を持ったメンバーと会話するのは、とにかく面白いです。
先日もオフ会を開催し、近日中にバージョン4を公開する予定ですので、ぜひ、ご活用ください。また、掲載希望のQAがありましたら、ご連絡願います。
参加のお誘い
OSSライセンスについて勉強したい、あるいはライセンス条件を遵守するための活動に貢献したいという人は、ぜひ、FAQサブグループにご参加いただけますと幸いです。
参考
FAQサブグループは、オープンソースライセンス研究所とコラボしています。
こちらの研究所からは、一般的なQAに加えて、著名なライセンスに関するQAも公開していますので、こちらもご活用ください。
・下記URLの「公開資料」から「OSSライセンス簡単FAQ」を参照
https://www.osll.jp/outline/reference/#_33
明日のテーマは
明日のテーマは、「Toolingサブワークグループの活動紹介」です。
担当は、いつも元気に分かりやすくツールの説明をしてくださる小林さんです。
どんなツールがあるのか、楽しみです。
The OpenChain Japan Work Group will host an online meeting on the 23rd of April. This meeting will feature reports from six of the sub-groups and will have plenty of time for questions or comments. This meeting will be held in the Japanese language and is open to everyone.
開催日: 2020年4月23日(木)
場所: Zoom(SocioNextさんのご厚意にて利用予定)
https://socionext.zoom.us/j/99975267803?pwd=M25XMnJLaWlYRi9hWkxESVFleWp5UT09
時間: 午後1時~3時30分(暫定)を予定。
内容: 各サブグループの活動内容紹介
Promotion subgroup
FAQ subgroup
Leaflet subgroup
Education subgroup
License Info subgroup
Tooling subgroup
説明15分、QA5分程度を予定しています。
SAN FRANCISCO, APRIL 20, 2020 – The OpenChain Project is excited to announce OSS Engineering Consultants (OSSEC) as our latest partner organization. A consulting firm based in North America, OSSEC provides a unique and proven solution for managing OSS use for organizations with complex software supply chains.
OSSEC (www.ossengineeringconsultants.com) focuses on helping organizations looking to implement an efficient and holistic governance structure to empower developers and promote collaboration. OSSEC’s goal is to improve developers’ efficiencies and productivity within the organization by building a thorough and compliant OSS process, all while managing risk.
Prior to starting OSS Engineering Consultants (OSSEC), Russ Eling spent over 20 years in several engineering and systems engineering roles at General Motors, one of the largest automotive OEMs in the world. Russ developed a successful OSS program at General Motors in 2013, which is now regarded as the most comprehensive program in the automotive industry. He designed and implemented a process and system for managing OSS use and compliance in every GM vehicle across the globe. This process is still in use today.
“The automotive industry has one of the most intricate and complex supply chains in existence,” says Russ Eling, CEO and Founder, “Despite these challenges, we were able to implement a simplified process and unified system to bring it all together. We developed a method that simplifies complexities and mitigates risk, and we look forward to helping other organizations that face similar challenges, regardless of their industry.”
“The key to successful deployment in complex industries like automotive is having great processes in place,” says Shane Coughlan, OpenChain General Manager. “The creation and implementation of these processes requires standards such as OpenChain to provide a framework, as well as the institutional knowledge and experience of parties in that field. Russ is tremendously experienced in compliance process management and we will be working closely with him in ensuring companies and suppliers of all sizes can effectively engage with our industry standard for compliance.”
About OSS Engineering Consultants
OSS Engineering Consultants (www.ossengineeringconsultants.com) is a global consulting firm providing flexible end-to-end OSS system ideation, implementation, and execution solutions. Based just outside of Detroit, MI, USA, OSSEC has over 20 years of successful experience in automotive engineering, including extensive experience and community contacts in the open source compliance industry.
About the OpenChain Project
The OpenChain Project builds trust in open source by making open source license compliance simpler and more consistent. The OpenChain Specification defines a core set of requirements every quality compliance program must satisfy. The OpenChain Curriculum provides the educational foundation for open source processes and solutions, whilst meeting a key requirement of the OpenChain Specification. OpenChain Conformance allows organizations to display their adherence to these requirements. The result is that open source license compliance becomes more predictable, understandable and efficient for participants of the software supply chain. More information can be found at .
About The Linux Foundation
The Linux Foundation is the organization of choice for the world’s top developers and companies to build ecosystems that accelerate open technology development and industry adoption. Together with the worldwide open source community, it is solving the hardest technology problems by creating the largest shared technology investment in history. Founded in 2000, The Linux Foundation today provides tools, training and events to scale any open source project, which together deliver an economic impact not achievable by any one company. More information can be found at .
The Linux Foundation has registered trademarks and uses trademarks. For a list of trademarks of The Linux Foundation, please see our trademark usage page: .
Linux is a registered trademark of Linus Torvalds.
Media Contacts:
OpenChain Project
Shane Coughlan
+818040358083
OSS Engineering Consultants
Russ Eling
+1 313-730-4677
russ@ossengineeringconsultants.com
Max Gnipping of FOSSID and Shane Coughlan of OpenChain will co-host a free, interactive webinar to discuss OpenChain, standardization and the path to real world utilization. This is an event hosted by our partners at FOSSID and is open to everyone. It is a great way to get started with our industry standard or to explore cross-division adoption.
Register for this Free Event
Siemens, an OpenChain Platinum Member and pioneer of adoption around our standard, has announced OpenChain 2.0 conformance. This builds on their previous public work in describing their journey and announcing 1.1 conformance in April 2017.
“The adoption of OpenChain 2.0 by Siemens continues their leadership in the space of open source compliance,” says Shane Coughlan, OpenChain General Manager. “This version of our standard is functionally identical to our ISO submission, positioning Siemens to become one of the first companies to adhere to our ISO release later in 2020. My congratulations to Oliver and all the team. I look forward to taking next steps together.”
