The OpenChain Project was introduced by Shane Coughlan, General Manager at the latest NTIA Software Bill of Materials Framing Group meeting. The OpenChain industry standard provides a framework for companies to implement efficient compliance activities, including identification on ingest and export, using manual or automated approaches. Software bill of materials play a large part in optimizing this space, especially in the supply chain.

Watch the Presentation

Get Involved in the NTIA Discussion

• https://lists.sei.cmu.edu/mailman/listinfo/ntia-sbom-framing

OpenChain provides introduction slides to help individuals and organizations understand our mission and goal. These slides include speaker notes to help our community present to interested parties. The latest version is now available for viewing, downloading and sharing.

A Brief Introduction to OpenChain – May 2020 from Shane Coughlan

We have had some great feedback on the procurement document. Before we head into release I want to put out a final call for comments and suggestions. We close this and move towards release May 7th Close of Business Pacific.

Check Out The Document

• https://1drv.ms/w/s!AsXJVqby5kpnj3mJzXKed3YobEV5

Get this guide and many more documents in the OpenChain Reference Library: https://github.com/OpenChain-Project/Reference-Material

ルネサスエレクトロニクス(株)の伊藤と申します。
製品開発サプライチェーンでのライセンス情報授受の仕組みに関わる、「組織間のライセンス情報授受」サブグループの活動を紹介いたします。

なんのための活動？

組織・企業間でライセンス情報を正しく伝えるために

製品開発やサービスを行うために、ソフトウェアを開発する場合、ソフトウェアを部品(パッケージ・モジュール)単位で開発を分担することが一般的です。

個別のソフトウェア開発元・コミュニティ → 複数のソフトウェアを取りまとめてパッケージする企業・組織 → 仕様を決め、全体をまとめ、一まとまりの製品として開発する企業 → 製品要件などを決め、実際に顧客へと販売する企業、と企業・組織間のサプライチェーンに沿って、製品を構成するハードウェアに付随するソフトウェアを基盤に開発すること、市販されているソフトウェアをサービスの一部に組み入れること、目的に合わせたソフトウェアをその分野に強い企業・組織に個別に開発してもらう、などと、ソフトウェアは渡っていきます。

それら企業・組織間で授受されるソフトウェアには、必ずライセンスの条件など、付随する情報が伴います。

特にオープン ソース ソフトウェア(OSS)が含まれる場合、組織間の明示的な委託・受託契約で定義されるライセンス条件に加えて、OSSの配布に伴い提供すべき各種情報、その他のソフトウェア　パッケージに関わるライセンス条件などを示す情報を、ソフトウェアと一緒に引き渡し、遵守する必要があります。

OSSのライセンスを遵守するためには、これらサプライチェーン上に位置する全ての企業が正確なライセンス情報を提供することが必要になります。サプライチェーン上で1社でもライセンス情報の提供を正確に提供することができないと、その企業より下流にある企業全てがOSSライセンスを遵守できなくなります。OSSのサプライチェーンに関係する担当者全員が理解して正確に作業することによって、適切にOSSの各ライセンスの条件を遵守することが可能になります。

このサブグループでは、「サプライチェーン上に位置する全ての企業が正確なライセンス情報を提供する」ための仕組み・ガイドを作成し、全ての企業・組織、そしてコミュニティが容易にOSSライセンスの遵守できることを目的に活動しています。

活動方針

業界標準のフォーマットを用いたライセンス情報の伝達と、より簡便な方法の提案

このサブグループは、ライセンス情報をあつかう上で、業界でも知られている標準的な手段の活用と、さらに、その手段への改善提案を行うことを、基本方針として活動しています。

ライセンス情報を扱うためのプロジェクトとして、Linux Foundation傘下にSoftware Package Data Exchange Workgroup (SPDX)があります。

SPDX Workgroupは、SPDXフォーマットを定義しており(本稿記載時点での最新版は、SPDX Specification 2.1版)、このフォーマットは、ソフトウェア パッケージに関連するソフトウェア名やバージョン、ライセンス、著作権表示などの情報を共有するための標準的なフォーマットです。

このサブグループでは、SPDXフォーマットをライセンス情報授受に活用してもらうと同時に、さらに、より簡便な方法がないか議論しています。

漏れなくライセンス情報を授受してもらうには

サプライチェーンに含まれる全ての組織・企業が漏れなくライセンス情報を取り扱う必要がある以上、その組織・企業の規模やOSSに対する習熟度を問わずに、ライセンス情報の記載・授受が出来なければなりません。

場合によっては、既存のオープンソースで流通するツール群を使ってもらうことも困難であることも考慮する必要があります。

このサブグループでは、手書き、あるいはSpread Sheetによる入力でも、漏れのないライセンス情報を記載するためのフォーマットを検討することにしました。

「手軽に使える」ことと「正確であること」「様々な情報と連携できること」を両立するために

OSSに習熟していない組織・企業が、例え手書きでライセンス情報を記載したとしても、その内容は、正確なものでなければ、サプライチェーン下流に大きなインパクトを与えてしまいます。

このサブグループでは、作成したライセンス情報が、ライセンス情報を受けた側が既存のライセンス情報管理ツールで内容を確認・検証することが出来ることを条件にしました。
その副次的効果として、作成したライセンス情報を、既存のライセンス情報管理ツールで作成したデータと結合したり、比較できるようになることから、サプライチェーン下流で機械的な処理が必須な規模に膨れ上がったソフトウェア全体のライセンス情報を、「手書きのライセンス情報」も取り込んだうえで機械処理することができます。

なお、ライセンス情報管理ツールの動向については、Tooling SWGの活動成果を参考にさせて頂いています。

将来にわたって持続的に使ってもらうために

手書き、あるいはSpread Sheetによる入力でも、漏れのないライセンス情報を記載するためのフォーマットが、将来にわたって、持続的に使ってもらえるようにするために、そのフォーマット定義を、SPDX Workgroupが定義する規格の一部（サブセット）として、SPDXが持続的に活用できる期間、同等に扱い続けることが出来るように、SPDX Workgroupに働きかける方針としています。

活動の成果物

SPDX Liteフォーマットの提案

このサブグループでは、これまで約一年に渡る活動の結果、以下の成果物を作り上げています。
これからも更に議論を深めて、より広範な「サプライチェーン上に位置する全ての企業が正確なライセンス情報を提供する」ための仕組み・ガイドを作成していきます。

「必要最小限」に簡素化されたライセンス情報授受のための記述フォーマット「SPDX Lite」

このサブグループでは、手書き、あるいはSpread Sheetによる入力でも、漏れのないライセンス情報を記載するためのフォーマット「SPDX Lite」を定義し、SPDX規格の一部としてSPDX Workgroupに提言しています(現在SPDX Communityで議論中の、次期SPDX Specificationへの取り込みを議論中です）。

SPDXはライセンス情報を共有するために非常に優れたフォーマットです。 しかし、ツールのスキャンにより得られるSPDX準拠のライセンス情報は、えてして膨大なものとなり、手作業によりライセンス情報を作成する組織において、コンプライアンス維持の上で課題となっていることも事実です。 そこで、SPDX Liteが、サプライチェーンにおけるライセンス条件の遵守のために、最低限の必須情報を記述するためのフォーマットとして、定義されました。 実ビジネスで運用されていて実績のあるデータを集め、それらを、定義するために十分な内容としています（現行のSPDX Specification 2.1版の必須項目を包含しつつ、極力シンプルな定義となっています)。 したがって、ツールによるライセンス情報収集と並行して、手作業・目視によるライセンス情報授受が可能な項目をリストアップしています。

このサブグループでは、SPDX LiteがSPDXフォーマット仕様の一部として制式採用されるために、SPDXコミュニティとの議論を続けています。

サプライチェーンにおける企業間のライセンス情報授受についての、ガイドライン

SPDX Liteの定義と並行して、このサブグループでは、ライセンス情報の授受をするにあたって利用可能な SPDX Lite の紹介、必要性の解説、具体的な記述方法・記述例を記載した、「ガイドライン」を作成しています。

作成したガイドラインは、今後、OpenChain、OpenChain Japan WGの各活動と連携し、またライセンス情報に関わるコミュニティへの働き掛けを通じて、広めていきたいと考えています。

参加・協力のお願い

メーリングリストへの参加から、関連コミュニティとの連携への助力まで

参加するには

まずは、メーリングリストへの参加をして頂くのが良いかと思います。
ライセンス情報 SWG ML: japan-sg-licensing+subscribe@lists.openchainproject.org

定例会合への参加も大歓迎ですし、会合への参加が難しくても、Slackやgithub上での議論や文書・仕様作成に参加頂ければ、とても助かります。

さまざまなコミュニティへの働き掛け協力のお願い

このサブグループは、SPDXなどの、ライセンス情報に関わる、各コミュニティと協力をしながら議論を進めていく方針を持っています。
このサブグループの成果物に直接参加頂く以外にも、関連するコミュニティとの議論に協力して頂ける・仲立ちを頂ける皆さまがいらっしゃることを、熱望しております。

明日のテーマは

明日のテーマは、『「役割ごとの教育資料」サブワークグループの活動』です。
担当は、岩田さんです。
OSSを業務で用いる際の、著作権や特許権などに関わる事柄を、幅広く・判りやすく、教育資料にまとめて下さっています。

　

The full recording of the Virtual All Member Meeting #1 is now available (Japanese language).

Tooling SWGとは

（Japan WG Tooling Sub WGという名前は長いので、この記事ではTSWGとします）
OpenChain Japan WGでは、さまざまな活動が行われていますが、TSWGの目的は、OSSコンプライアンスのための活用できるツールの情報を「（できるだけ）日本語で紹介」して「ツールを使いたい人のハードルが下がると良いな」という気持ちで活動しているWGです。2019年3月から活動しています。

なぜツールが重要か？

OSSコンプライアンスを一言で説明すると、「OSSライセンスを守って正しく使う」ということになります（リスク云々の話はあえてしません）。そのためには、OSSの入手、利用（開発）、成果物リリース、運用・保守までの一連のプロセスで、OSSライセンスを意識しなければなりません。各プロセスですべきことを簡単にまとめると、次のようになります。

手順	やること
入手	OSSライセンスや著作者などを確認
利用	独自実装部分とOSS、OSS間の依存関係でライセンスの矛盾がないか等を確認
リリース	利用したOSSを記録し、提供する各種ドキュメントやソースコードを用意
保守	問い合わせに対応。脆弱性などの不具合への対応

これらの作業を手作業で行うのは、次のような理由でとても大変です。

• OSSライセンスの種類が多数ある
• 組み合わせることができないOSSライセンスの組合せが存在する
• 一つのOSSのソースコード群が必ず一つのOSSライセンスに対応するとは限らない

ツールを上手く活用することで、OSSライセンスの確認や、管理の手間を大幅に削減することが可能となります。また、ツールのアウトプットを標準的な形（例：SPDX）で蓄積することで、ツール間の情報流通を簡単に行うことができるというメリットもあり、結果としてOSS活用のハードルが下がる可能性もあります。

TSWGができた訳

OSSコンプライアンスのためのツールは多数ありますが、それらツールに関する情報のほとんどは英語で記述されており、日本語で気軽に情報交換できる場がありませんでした。とはいえ、日本にも海外の開発者と一緒にツールに関する活動に関わっている人もそれなりにいるため、「日本でOSSコンプライアンスのツールを活用しやすくする目的のために、最先端のツール開発状況や利用方法について、気軽に情報交換できる場を作ろう」というモチベーションで始まったのがTSWGです。

TSWGの活動内容

TSWGの活動の主軸は、「参加メンバ間でツールに関して議論する」です。その活動の成果として、次のようなものを想定しています。

• ツールに関する入手可能な情報をまとめる
  • ツール紹介
  • セミナー開催
• 情報の流通過程とツールのマッピング作成
  • 不足部分(機能)の明確化
  • ツールが管理するデータ流通手段の検討
• 関連コミュニティへの参加と提案
  • OpenChain本体のReference Tooling WG
  • SPDX
• 活動に賛同するメンバ拡大のためのプロモーション

今までの活動

TSWGは、現在2ヶ月に1回くらいのペースでF2Fミーティングを開催してます。今までに開催したF2Fミーティングでは、次のような情報共有や報告がありました。

回	内容
第1回	今後の活動方針について議論
第2回	SPDX Toolsの紹介、SW360の紹介
第3回	OpenChain仕様を考慮したSW360運用、ClearlyDefinedプロジェクトの紹介、FOSSologyのCLIとREST APIの利用方法紹介
第4回	OSS読み解きについて、tl;trの紹介、OpenChain Reference Tooling WG立ち上げについて、Open Source Summit North America参加報告
第5回	FOSSology – Install from sourceのススメ、FOSSologyとScancodeの精度比較論文の紹介、Open Chain Reference Tooling Workgroup ミーティングの報告

JTSWGメンバの活動成果

今までのF2Fミーティングの内容は、OpenChain Project WikiのJapan WG Tooling SWGのページからダウンロードすることが可能です。その他に、Japan WGから次のような成果を公開しています。

• FOSSologyハンズオン(日本語版)
• SW360紹介資料(日本語版)

上記URLを参照していただくと、Japan Tooling SWGのページではなく、FOSSology、SW360それぞれのプロジェクトのアップストリームに登録されています。OSS開発の基本はアップストリームファーストですので、TSWGに関連するOSSプロジェクトが存在する場合は、アップストリームに直接貢献するように活動しています。

また、OpenChain Projectでは、7月にReference Tooling Work Group (RTWG)が立ち上がりました。こちらは、以前からShareing Creates Valueという名前で、OSSコンプライアンスに関する活動を行っていたものが、OpenChainに合流したものになります。現在、日本のTSWGのメンバの一部はRTWGと一緒に活動して、最新の情報をTSWGにフィードバックしています。

これからのJTSWGの活動

直近では、12月19日(木)に第6回Tooling SWG F2Fミーティングが開催されます。さらに翌日の12月20日(金)もTSWGとは名付けていませんが、ツールに関するイベントを開催します。両日ともに、FossologyとSW360のメンテナー、Michael C. Jaeger氏を招いて講演いただきます。詳細は、下記の通りです。

• 第6回Tooling SWGミーティング
  • 日時：12月19日(木)　9:00〜12:00
  • 場所：東芝 浜松町ビルディング39階　3908会議室
  • 内容
    1. SW360ハンズオン
    2. 他ツールからSW360へのマイグレーション
    3. 企業におけるOSSコンプライアンスツールのロールアウト事例
  • 申し込み方法など
    • https://lists.openchainproject.org/g/japan-sg-tooling/message/6
• FOSSologyハンズオン
  • 日時：12月20日(金)　9:00〜12:00
  • 場所：東芝 浜松町ビルディング39階　3904会議室 (19日とは別の会議室です)
  • 申し込み方法など
    • https://lists.openchainproject.org/g/japan-sg-tooling/message/15

上記は英語のセッションですが、TSWGは「基本的に日本語OK」の場ですので、日本語で質問いただければ、(誰かが)英語に翻訳します。お気軽に参加ください。

おわりに

今回は、OSSコンプライアンスのためのツールに関するサブワークグループ（Tooling SWG）の紹介をさせていただきました。TSWGへの参加は、ツールに関心のある人であればどなたでも可能です。是非、下記のメーリングリストに参加いただき、F2Fミーティングに顔を出していただければと思います。

• Tooling SWG ML: japan-sg-tooling+subscribe@lists.openchainproject.org

明日のテーマは？

明日は、サプライチェーンでのライセンス情報授受の仕組みに関わる「組織間のライセンス情報授受」SWGを、伊藤さんに紹介いただきます。
組織間でライセンス情報を交換しやすくするためには、どのような情報を用意するか、またそのフォーマットをどのようにすると良いかを議論し、積極的に提案を行っているSWGです。お楽しみに！

　

SAN FRANCISCO, APRIL 27, 2020 – The OpenChain Project is delighted to announce that Osborne Clarke is our latest partner organization. Osborne Clarke is an international legal practice with offices situated around Europe, Asia and the USA with a strong focus on technology law.

The deep IT sector knowledge of Osborne Clarke comes from acting for an impressive client base comprising the great and the good in global technology, which exposes the firm to fresh ideas and new operating models ahead of the competition. Osborne Clarke has more than ten years of experience in providing comprehensive legal and technical advice on open source software and offers solutions in the area of open source compliance and contributions. Having developed a legal tech solution for evaluating and handling the legal aspects of open source licenses, Osborne Clarke helps companies to comply with legal open source license requirements, from startups to stock exchange-listed groups, as streamlined and efficiently as possible.

The OpenChain standard defines inflection points in business workflows where a compliance process, policy or training should exist to minimize the potential for errors and maximize the efficiency of bringing solutions to market. The companies involved in the OpenChain community number in the hundreds. The OpenChain standard is being prepared for submission to ISO and evolution from de facto into a formal standard this year.

“In the recent past, OpenChain has evolved as a de facto standard in the field of open source license compliance,” says Dr. Hendrik Schöttle, Partner at Osborne Clarke in Germany. “Being involved in open source compliance on a daily basis, joining OpenChain was the logical consequence for Osborne Clarke. We hope to contribute and to push forward the great and valuable efforts of OpenChain for compliance standardization.”

“The OpenChain Project has a strong emphasis on ensuring the support infrastructure for adoption is as comprehensive as possible as we transition from a de facto to formal standard via the ISO process,” says Shane Coughlan, OpenChain General Manager.“ Hendrik Schöttle and the team at Osborne Clarke have exceptional knowledge in this field and provide us with a substantial increase in coverage and knowledge throughout the OpenChain Partner Program.”

About Osborne Clarke

Osborne Clarke is an international legal practice with over 270 Partners and more than 900 talented lawyers in 26 locations. Our sector-based approach enables us to help our clients tackle the issues they are facing today, and prepare for the ones that they will face tomorrow. Advising them both comprehensively and commercially. We love working closely with our clients on new deals, products and solutions which will transform their businesses, markets and even sectors. And our unique approachable culture is not an added extra, it’s fundamental to our success.

Learn more about OC’s open source work at http://www.osborneclarke.com/oss

About the OpenChain Project

The OpenChain Project builds trust in open source by making open source license compliance simpler and more consistent. The OpenChain Specification defines a core set of requirements every quality compliance program must satisfy. The OpenChain Curriculum provides the educational foundation for open source processes and solutions, whilst meeting a key requirement of the OpenChain Specification. OpenChain Conformance allows organizations to display their adherence to these requirements. The result is that open source license compliance becomes more predictable, understandable and efficient for participants of the software supply chain. More information can be found at www.openchainproject.org.

About The Linux Foundation

The Linux Foundation is the organization of choice for the world’s top developers and companies to build ecosystems that accelerate open technology development and industry adoption. Together with the worldwide open source community, it is solving the hardest technology problems by creating the largest shared technology investment in history. Founded in 2000, The Linux Foundation today provides tools, training and events to scale any open source project, which together deliver an economic impact not achievable by any one company. More information can be found at www.linuxfoundation.org.

The Linux Foundation has registered trademarks and uses trademarks. For a list of trademarks of The Linux Foundation, please see our trademark usage page: https://www.linuxfoundation.org/trademark-usage. 

Linux is a registered trademark of Linus Torvalds.

Media Contact:

Shane Coughlan
+818040358083
coughlan@linux.com