We just had another partner-lead webinar featuring Andrew Katz, Moorcrofts & Matt Jacobs, Synopsys. Check it out here (registration required):

https://www.brighttalk.com/webcast/13983/421263

Abstract:
OpenChain standardizes license compliance requirements around the use of open source software in the supply chain. Customers purchasing from an OpenChain compliant company know that the software has been developed in line with a set of documented and tested procedures and that all the relevant meta data (SBOMs and compliance notices) is available. So what does that mean for you?

Check out the webinar to learn why companies like Scania (Volkswagen group), Cisco, ARM, Facebook, Uber, Google, Microsoft, Sony and Qualcomm rely on OpenChain. We’ll cover:

•The history of OpenChain, steps to compliance and overall benefits
•How OpenChain scales, and works for companies large and small
•What happens when the 2.1 specification becomes an ISO standard in September 2020

The full video minutes of our most recent OpenChain Korea Work Group meeting are now available.

Thanks to the efforts of Haksung and team we now have a recording of the recent OpenChain Korea Work Team meeting:

This meeting was held in Korean and will be useful to help inform and encourage companies in the region considering or working on adoption of our industry standard for open source compliance.

Keep Up With The Korean Work Group

• https://openchain-project.github.io/OpenChain-KWG

Join The Korean Mailing List

• https://lists.openchainproject.org/g/korea-wg

本日は弁護士の野中さん に登場頂きます！（諸事情により遠藤が投稿してます）

はじめに

はじめまして。弁護士の野中高広です。最近は、バッティングセンターにはまっています。空振りが約２割ですが（笑）。
ところで皆さんの会社では、OSSのリスクの問題について、どの程度のかたが認識しておられるでしょうか？コンプライアンス体制についても最低限整っているといえますでしょうか？
本日は、OSSに関してコンプライアンス体制の構築をするうえでの留意事項について、すでに皆さんご存知のことがほとんどであるとは思いますが、簡単に検討してみたいと思います。

どうして体制を構築する必要があるのか？

これまでにOSSに関して問題となってきたいろいろな事例を見てみますと、第三者によるリバースエンジニアリングなどによって、OSSの利用が発覚し、OSSライセンス違反を指摘されるような場合があります。OSSのライセンス違反の指摘を受けた場合、謝罪やソフトウェアの差し替えを行なったり、ソースコードの公開などについて迅速かつ適切な対応をとることが重要と言われています。しかも、すばやく適切な対応を行なえば、すぐに訴訟に発展するわけではありませんし、欧米の事例を検討していますと、こうした対応の遅れが係争へと発展しているケースが多いともいえます。

留意すべき事項は？

そのため、いろいろな事態あるいはリスクに事前に備えておくことが必要になるといえそうですが、実際にコンプライアンス体制を構築する際には、どのような点について特に留意する必要があるのでしょうか。会社によって進捗状況は様々だと思いますが、以下で、いくつか基本的な事項について触れてみたいと思います。

· まず、OSSライセンスの利用にあたってのコンプライアンス強化を図るために、OSS利用についての内部規程の作成や、内部規程遵守のための社内体制と仕組みの構築が求められるといえます。その際に、社員の方への内部規程の周知・教育に加えて、社内・社外向けにOSS利用についての問い合わせ窓口を設置することなどもセットで検討しておくことが有効といえるでしょう。

· その前提として、例えばGPLのソースコードの公開範囲についてなど、様々な解釈があり得るケースについては、この分野の有識者や専門家を交えて十分に検討を重ねて、自社の見解を統一しておくことが必要となります。その過程で社内で議論を積み重ねて、各種事例や先例についての知識や理解を深めつつ、多くの人が問題意識を共有することこそが有益ともいえるでしょう。

· また、最近では様々な有用なソフトもありますが、ソフトウェアの検査を行なうことも肝といえます。ソフトウェア開発の初期段階、委託先からソフトウェアが納入される時、あるいは製品の出荷前などに、OSS検出ツールなどを利用して、意図しないOSSが混入していないかを十分に検査する必要があります。特に、ソフトウェア開発の委託をする際には、利用するOSSとその利用条件の開示を求めたり、あるいはOSSライセンス違反をした場合の責任分担やソースコードの調査義務などについても念のため盛り込んでおくことも検討するとよいでしょう。ここらあたりの話については、個人情報の取扱いが第三者に委託される場合の留意事項とパラレルに考えることができるかもしれません。

· さらに最近では、法務デューデリジェンスによる確認も重要となってきております。例えば、M&Aにおいて、買収した会社がOSSライセンス違反をしている場合もあり得るため、法務デューデリジェンスで、OSSに関する問題をレビューしていくことも、今後は一般的になっていくものと思われます。

おわりに

以上、ごくごく簡単に見てきましたが、実際にいろいろな措置を導入していくに当たっては様々なハードルも考えられます。なかなか理解が難しい分野でもあり、問題意識を共有すること自体に苦労することも多々あるかと思います。
本日のテーマが、皆さんの会社のコンプライアンス体制構築がさらに進むうえで少しでもお役に立てれば幸いです。

明日のテーマは…

明日は、Japan WGの設立当初から中心的な活躍をされているパナソニックの加藤さんから「OpenChain Japan WGの活動で集まった事例」についてご紹介いただく予定です。
自社の体制を構築する上で一番気になる「他社はどうしているのか」がわかる貴重な情報ですので、ぜひご期待ください。

この記事はOpenChain Advent Calenderの19日目の記事です

はじめに

車載向けOSSコミュニティのAGL(AutomotiveGradeLinux)で使用しているソフトウェアについて、OpenChainにて議論が進められているSW360とSPDX Liteを利用して、AGLで使用しているソフトウェアを誰でも簡単に確認出来る方法を紹介します
尚今回の内容については2020CESのAGLデモブース内のOpenChainブースでも紹介予定です
OpenChain and AGL Collaborate to Facilitate Open Source Compliance in Automotive Production

AGLのリリースソフトウェアについて

AGLでは年2回ソフトウェアをリリースしており、現状の最新ソフトはIcefish RC3 (v8.99.3)が年明けの正式リリースに向けて、リリースの準備が進められています。AGLリリースノートについて、このページを参照して下さい。
ビルド済みのソフトについても公開されており、Yoctoビルド時に出力されるlicense.manifestを確認すれば、AGLでどのようなソフトウェアが使用されているか、下記のように確認する事が出来ます

PACKAGE NAME: af-binder
PACKAGE VERSION: master+gitAUTOINC+82a9d79621
RECIPE NAME: af-binder
LICENSE: Apache-2.0

このように
・パッケージ名
・バージョン
・ライセンス
を確認する事が出来ますが、AGLでは1,500～1,600位のソフトウェアが使用されており、license.manifestを確認するのはそれなりに苦労するため、SW360/SPDX Liteを利用して誰でも簡単にAGLのリリースソフトウェアを確認出来るようにしたいと思います

今回の環境の全体イメージ

SW360にはSPDXをインポートして使用する想定のため、meta-spdxscannerを利用して、AGLリリースソフトからSPDXファイルを作成します。SW360ではSW360toolsを利用してSPDX Liteをアウトプット可能なため、EXCELを使用してAGLのソフトウェアを誰でも簡単に確認する事が可能です

環境のセットアップ

meta-spdxscanner

AGLでは下記のようにmeta-spdxscannerがサポートされていますので、
<!-- meta-spdxscanner - support for fossology -->
<project name="dl9pf/meta-spdxscanner" path="external/meta-spdxscanner" remote="github" revision="483f79e66eb76b0f1bebe1e3a0a0327b0ba59f16" upstream="thud"/>

spdxscannerが使用するfossdriverをセットアップします。セットアップ方法は10日目の記事を参考にして下さい
セットアップ完了後、https://github.com/dl9pf/meta-spdxscanner を参考に local.conf を編集しbitbakeを実行して、SPDXファイルを出力します
$ bitbake agl-demo-platform –-runall=spdx # will generate all agl-demo-platform spdx
$ bitbake package_name -c spdx # will generate spdx of a specified package


SW360

SW360のセットアップについては、この記事を参考にセットアップを実施します
今回はSW360からSPDX Lite(EXCEL)を出力したいので、SW360toolsを追加でセットアップします

SPDXファイルの取り込みから、SPDX Liteの出力

環境のセットアップが完了したら、生成したSPDXファイルをSW360にインポートします

インポートが完了するとSW360にインポートしたソフトウェアが表示されます

SW360toolsを使用すると出力するSPDXの項目を選択する事が可能となり、SPDX Liteなど必要な情報だけを最小限にしてcsv形式で出力する事が可能です

SW360が使用出来ない環境でも、Excelで出力したファイルをいつでも簡単に参照する事が可能となります

さいごに

駆け足での紹介になってしまいましたが、実際の開発現場に使用する際に課題と感じた事を下記します
・meta-spdxscannerを使用してSPDXを出力する時間が、bitbakeのビルド時間よりも長く、CIに組み込むには課題がある
・SPDXファイルをSW360にインポートする時に、ファイル数が100を超えると読み込み途中でフリーズが発生する時がある
・Dockerfileのメンテナンスが遅れており、環境構築にコストがかかる
他にも運用面での課題もあるかと思いますが、AGLなどのオープンな場所で少しずつFBしながら、実績を積みたいと思います

明日のテーマは・・・

明日は「OSSのコンプライアンス体制構築をするうえでの留意事項」について
Promotion SWGにも参加頂いているDLA Piperのパートナー弁護士である野中さんにご担当頂く予定です

はじめに

こんにちは。富士通の青木です。
富士通で唯一”オープンソースソフトウェア（OSS）”という名前が付く組織「OSS技術センター」に所属しています。
私のプロジェクトでは、社内でのOSS利活用推進全般を実施しています。
今日は、OpenChainプロジェクトの活動に至るまでの富士通のOSS専門組織や社内の関連部門とスクラムを組んで歩んできた取り組みについてご紹介します。

富士通のオープンソース専門組織「OSS技術センター」

富士通とOSSとの関わりは、1999年に富士通サーバーのLinuxサポートをスタートし、現在のOSS技術センターの前進組織として2000年1月設立の富士通Linuxセンターが発足しました。

OSS技術センターの発足

ミッションクリティカルな領域でOSSがどんどん使われるようになり、富士通社内でもOSSの重要性が認知されて、お客様の要件や用途に合わせた適材適所なオープン技術の選択によってお客様の新たな価値を創造していくことを目指して2005年11月に専門組織「OSS技術センター」が組織化されました。

OSSの選定や技術支援など富士通のフィールドと一体となった活動には多くの実績がありますが、ここ3年ほどはOSSのライセンスリスクや技術リスクなどをお客様自身が課題ととらえて、様々な相談が寄せられるようになってきています。

社内でのOSSコンプライアンス活動

社内では、ツールを利用したOSSの混入チェックや、ライセンスポリシーを自動判定、さらにBOM管理を実施して、脆弱性を通知するサービスを開発部門へ提供し、OSSのライフサイクルマネージメントを実現しています。

主に実施していること
・利用しているOSSの見える化。
・製品で利用しているOSSコンポーネントとライセンス情報や脆弱性情報との紐付け。
・会社として問題ないと判断したソフトウェア/バージョン/ライセンスのリスト化と判定。
・工程ごとの承認の仕組みとエビデンスを導入。（ワークフロー機能）

社内プロセスの整備

上記の仕組みを確立するまでは、長い時間をかけ、知財部門、品証部門、もちろん開発部門も巻き込んで、社内でライセンスを正しく守りつつOSSを利用するための枠組みを整理しました。
知財部門が中心となって、OSS利活用ガイドを作成しルールとプロセスを定め、全社規格や部門規格にOSSの規定を盛り込んでいます。

富士通では、適用領域が多岐にわたることもあり、複数の部門横断の体制を組み総合力を活かしてOSSの活用を推進しています。

OSSの利用拡大と全社教育

OSSがOSの模倣や商用製品の代替と呼ばれていた時代から変化し、AIなどをはじめとするデファクト技術がOSSから生まれるようになり、我々の業務もかなり変化をしていると感じます。
少し前までは開発に携わるキーマンがOSSのライセンスについて熟知していればよかったところ、今や調達部門や営業部門などもOSSに対する知識を身に着けていく必要があると感じています。
そこで従来は、開発部門に向けた集合教育やe-learningをメインに実施していましたが、2年前に全社員を対象にしたリテラシー教育を新規に作成し、e-learningでいつでもだれでも受講できるようにしています。
どちらかというと、OSSのライセンスの話や義務履行の話が多いため、今はOSSのコントリビューションの教育を整備しているところです。

OpenChainプロジェクトとの関わり

2017年12月のJapan WG発足時に、トヨタさん、日立さん、SONYさん達と富士通の知財部門や組込みLinuxの開発部門がOpenChainの日本の活動を盛り上げようと参加しています。
サブWGのFAQ, ライセンス情報, Planning, Promotionなどなどで10名ほどが活動しています。
富士通では、グループ会社を含む全社活動のOSS利活用WGにてその活動報告を共有し、仲間づくりを進めつつ、もっともっと参加していくべきということで、2019年2月にplatinumメンバーになりました。
今年度は、社内でも全社員に向けたメールマガジンで、OpenChainの紹介をしたり、Japan WGの本会合を社内で開いたりして、今まで興味をもっていなかった営業部門ほか関係部門の方々にも活動をアピールしています。

SPEC2.0 認証

2019年11月に富士通は自己認証を取得しました。もともと整備してきたOSSの全社規格や部門規格をあらためて見直し、OpenChain仕様にそって改善を加え、知財部門、OSS技術センター、開発部門（組み込みLinux開発部門・ソフトウェア事業部門）と大きな組織で教育展開を一斉に実施し、認証を取得しました。
これは、従来のプロセスやルールを振り返るとても有意義な取り組みで、教育の再実施により、デファクトスタンダードとなる仕様と自分たちの実践活動を紐づけができた、とてもいい機会となりました。今後も継続して仕様に準拠して取り組んでいきたいと思います。

OSPOとして

OSS技術センターが富士通のOpen Source Program Officeとして社内外から認知されて相談に乗れるように、今後も専門組織として取り組んでいきます。
また、富士通はグローバルカンパニーとして、富士通の北米、欧州、アジア部門とも連携してOpenChainの取り組みをはじめ、連携しながら活動していきます。

今後は、社内実践で培ったノウハウをお客様やパートナー様へ向け提供し、OpenChainプロジェクトやオープンソースへの貢献を実施していきたいと思います。

明日のテーマは・・・

明日は、浜さんのFossology の新しいOSSライセンススキャンについてです。Fossologyは私も使っていて今後SW360との連携もとても興味深いです。楽しみにしています！！