News

This advent calendar has been created by our Japanese Work Group as part of their community outreach. We hope you enjoy their recap of compliance topics to end the year.

It’s a little off the topic of ISOization of OpenChain, but this week we had a big event such as Open Compliance Summit on 12/1 and Open Source Summit Japan on 12/2-4. So I will report them here.

What is the Open Compliance Summit?

The Open Compliance Summit is an annual event held in Japan at this time of year. As the name implies, it is a place to discuss OSS compliance. To join this event, you must be a member of the Linux Foundation or invited. Chatham House rules apply, so you can expect a deeper discucssion. This year, due to COVID-19, it was held online.

Content this year

Of course, the biggest event in 2020 related to compliance is ISOization of OpenChain 2.1. It was also introduced that SPDX is also working toward ISOization.
For 2021, it is said that “visualization has became possible, so optimization will be in turn” due to ISOization. Based on that trend, I have the impression that there were many announcements about compliance tools.
The biggest thing for me is that I learned that the famous copyright troll was involved in PostgreSQL last year. So he is mentioned in Acknowledgments for Release 12. Oh, that means my name is written alongside his name…

What is Open Source Summit Japan?

Open Source Summit Japan is an event held in Japan from the end of spring to the beginning of summer every year. This is a place to discuss OSS widely, not limited to compliance. This year was scheduled for a different time than usual because it overlaps with the Olympics, but due to COVID-19, it was held online at this time.

Content this year

1st day

In the keynote speech it was said that OSS was well going in 2020, despite the pandemic and trade conflicts. On the contrary, OSS is also used to combat pandemic. (This is also true of Tokyo’s stopcovid19 site, isn’t it?)
Next, Automotive Grade Linux UCB version 10.0 was introduced. I’m not very familiar with cars, so I can’t write any more, but the next version is nicknamed Kooky Koi. I don’t know what Kooky means, but Koi is a carp in Japanese.
It was also introduced that Linux is used in the supercomputer FUGAKU.

2nd day

LF Energy was mentioned in the keynote speech, and the LF Energy Mini Summit was held after the keynote speech. There was also a session about LF Edge. It seems that neither LF Energy nor LF Edge is one OSS name, so although the name of the conference says “open source”, I feel that the scope of this summit has expanded considerably.

3rd day

RISC-V was mentioned in the keynote speech, and there was also a session dealing with RISC-V. (Although it happened on other days.) RISC-V is open hardware, so it’s already beyond the scope of “open source”.
I was also impressed that the times have changed when a person from Microsoft talked about embedded systems at such Linux-related meetings.

Tomorrow’s theme is …

Everyone might be wondering, “How are other companies working on OSS license compliance activities?” The OpenChain Japan WG conducted a survey to answer such questions and compiled it as a treatise. Tomorrow, one of the authors of the treatise, Endo-san, will talk about the survey results. I hope you all will enjoy it.

OpenChainのISO化の話からは少し外れますが、今週は12/1にOpen Compliance Summit、12/2-4にOpen Source Summit Japanと大きなイベントが続きましたので、その報告です。

Open Compliance Summitとは？

Open Compliance Summitは、毎年この時期に日本で開催されているイベントです。名前の通りOSSのコンプライアンスについて議論する場です。Linux Foundationのメンバーだったり招待してもらったりしないと参加できません。チャタムハウスルールが適用されますし、その分濃密な話を期待して良いです。今年は新型コロナの影響でオンラインでの開催になりました。

今年の内容

コンプライアンス関連で2020年の一番大きな出来事としては、もちろんOpenChain 2.1のISO化ですね。SPDXもISO化に向けて活動していることも紹介されていました。
2021年に向けては、ISO化もあって「可視化はできた、これからは最適化だ」だそうです。その流れを踏まえてかコンプライアンスのツールに関する発表が多かった印象です。
個人的は一番は、有名な著作権ゴロが昨年PostgreSQLに関わっていたというのを知ったことです。昨年ということはリリース12の謝辞に載ってますね。あ、ということは私の名前も彼のと並んで書かれているってことになります。

Open Source Summit Japanとは？

Open Source Summit Japanとは毎年春の終わりから夏の初め辺りに日本で開催されているイベントです。こちらはコンプライアンスに限定せずOSSについて広く議論する場です。今年はオリンピックと重なるのでそもそもいつもと違う時期に予定されていましたが、新型コロナの影響でこの時期にオンラインでの開催になりました。

今年の内容

1日目

基調講演では最初に、2020年は感染爆発や貿易摩擦などがあった中、OSSは上手くやってきた、という話がありました。それどころか、感染爆発と闘うのにもOSSが使われているそうです。（皆さんの身近なところでは東京都の新型コロナウイルス感染症対策サイトもそうですよね。）
次にAutomotive Grade Linux UCB バージョン10.0の紹介がありました。自動車にはあまり詳しくないので、これ以上は書けませんが、次のバージョンの愛称がKooky Koiだそうです。Kookyの意味は分かりませんが、Koiは鯉のことです。
また、スーパーコンピューター富岳でLinuxが使われていることも紹介されました。

2日目

LF Energyについて基調講演の中でも触れられましたし、基調講演の後LF Energyミニサミットが開催されました。また、LF Edgeに関するセッションもありました。LF EnergyもLF Edgeも単純にその名前のOSSと対応する団体というわけではなく抽象的なもののようですので、会議の名前には「オープンソース」とありますが対象がかなり広がっているのを感じます。

3日目

RISC-Vについて基調講演でも触れられましたし、RISC-Vを扱うセッションもありました。（他の日にもありましたが。）RISC-Vはオープンハードウェアですから、もう「オープンソース」の範囲を超えてますよね。
また、マイクロソフトの人がこのようなLinux関連の会合で組み込みの話をしていたのには、時代は変わったのだなと、感銘を受けました。

明日は？

「他の会社ではOSSライセンスのコンプライアンス活動にどう取り組んでいるのだろう」というのは皆さんもとても気になることではないでしょうか。OpenChain Japan WGではそのような疑問に答える調査を行ない、論文としてまとめました。明日はその論文の著者の一人である遠藤さんが調査結果について書きます。楽しみにしていてください。

This advent calendar has been created by our Japanese Work Group as part of their community outreach. We hope you enjoy their recap of compliance topics to end the year.

1.Introduction

Hello, this is Endo who is Promotion SG leader and Automotive Chair of OpenChain.
Shane is the main of the article, so I will introduce myself on another occasion.

This year’s Advent Calendar theme is OpenChain Spec ISO.
So, today, I received a message in Q & A format from Shane, who is a General manager of OpenChain,
Please enjoy it.

2.Message from Shane

Q: Congratulations on ISO conversion of OpenChain Spec!!
Please tell us your frank impressions.

A:Open source compliance has existed as long as open source. 
However, until OpenChain there was no single, objective standard for high quality compliance.
People and companies did their best and often did a good job, but they were working in isolation.
The global supply chain is interconnected and companies depend on each other.
It was necessary to create one clear way to do compliance properly. 
OpenChain proved this could be done with a short and easy to understand specification.

Now, after almost five years in the market, OpenChain has changed from a widely-used industry standard into a formal ISO International Standard. 
This means that it is much easier to include in sales and procurement discussions, especially in industries that are not familiar with open source or in managing open source licenses.
I believe that OpenChain as an ISO standard has permanently changed corporate use of open source.
Over time every company using open source to make products and solutions will be using our ISO standard.
I expect it to become as common as ISO 9001 or 14001.

My frank impression is that this ISO standard will allow open source to become a comfortable, trusted choice for any product or solution containing software.
It will help make the supply chain more efficient.
It will save many millions of dollars in resource management and issue resolution.
The impact will be huge.

Q: Please tell us how the community decided to create Spec.

A: In 2015 it was clear that open source was very successful.
It had existed in the market for about two decades, but especially in the time period between 2005 and 2015 it became ubiquitous.
Open source was in everything from our data centers to our mobile phones to our air conditioners.

The impact of the technology was amazing.
However, there was one area which remained a significant challenge.
In complex supply chains it was quite difficult to pass open source between companies and to consistently, reliably meet the requirements of open source licenses.
This was not due to any ill-intent, but because each company was solving open source compliance in their own way, and a supply chain with 20 or 30 companies meant a lot of variables and differences in license management.
Errors would often occur.

OpenChain was born out of the idea of making a single, clear and resource effective way to manage open source in organizations and in a repeatable manner across the supply chain.
It was built to provide consistency and to increase trust in supply chains, one company at a time.
In other words, it was designed to specifically solve real world problems using the best real world solutions.

Q: What is the OpenChain Spec concept, philosophy?

A: OpenChain defines the key requirements of a quality open source compliance program.
Every company using OpenChain can therefore be trusted more than companies using bespoke solutions. OpenChain is carefully designed to be as simple as possible and as agnostic as possible so that companies of all sizes and in all markets can use it.
OpenChain distills thousands of human-hours of experience from across hundreds of companies into a seven page standard. 
It is designed to be the simplest, most elegant solution possible.

Q: I think that many people will meet OpenChain Spec as a result of becoming ISO.
If you have a message for such people,

A:Open source provides access to billions of dollars of third-party code. There are some clear, reasonable conditions described in open source licenses. Just like any intellectual property, we need to follow the licenses. However, in the past identifying the best processes to do this was challenging. There were few lawyers, project leaders and engineers who had detailed knowledge about open source licenses. Sometimes information in the public domain, such as on websites, suggested different terms or intentions. The missing part was a clear, simple, reliable and efficient process approach for doing open source compliance. OpenChain changes this. You can adopt the ISO standard or OpenChain 2.1 and know that you have a quality open source compliance program.
Today any company in the world can go to www.openchainproject.org and find the International Standard for open source compliance, supporting reference material, free self-certification support, and – if they need it – third-party service providers. No matter who you are, you can build out the same process approach as Microsoft or Qualcomm or Hitachi or Toyota in a way that suits your available resources. This is a remarkable change in the market. If you are a supplier, this is a way to show that you have quality intellectual property management in this space. If you are a customer, this is a way to ensure your procurement includes quality open source compliance.
Join us in helping thousands of companies do even better with open source.

3.Tomorrow’s theme is …

Many events related to OpenChain were held at the Linux Foundation Summits this week.
Tomorrow, Koizumi-san will introduce these events’ summary .
Looking forward to!

1.はじめに

こんにちは、OpenChainのAutomotive Chairや
このアドベントカレンダーを企画しているPromotion SGリーダーを務めさせて頂いている遠藤です。
今回の主役はShaneさんですので、自己紹介は別の機会（6日）にさせて頂きます。

今年のAdvent CalenderのテーマはOpenChain SpecのISO化ですので、
本日はOpenChainの中の人である、
General ManagerのShaneさんにQ&A形式でメッセージを頂きましたので、お楽しみください。

2.Shaneさんからのメッセージ

Q: OpenChain SpecのISO化おめでとうございます！率直なご感想をお聞かせください。

A: オープンソースコンプライアンスは、オープンソースである限り存在するものです。
しかし、OpenChainプロジェクトがSpecを提供する前は、
高品質のコンプライアンスに関する単一の客観的な基準はありませんでした。
人々と企業は最善を尽くし、しばしば良い仕事をしましたが、彼らは孤立して働いていました。

グローバルなサプライチェーンは相互に関連しており、企業は相互に依存しています。
そこで、コンプライアンスを適切に行うための明確な方法を1つ作成する必要がありました。
OpenChainは、これが短くて理解しやすい仕様で実行できることを証明しました。

OpenChain Specの最初のバージョンがリリースされて5年が経過しましたが、
本年、Specは広く使用されている業界標準から正式なISO国際標準に変貌を遂げました。
これは、特にオープンソースやオープンソースライセンスの管理に精通していない業界においても、
販売と調達のスタッフをオープンソースの議論に参加してもらうことが容易になることを意味します。

ISO標準としてのOpenChainは、オープンソースの企業での使用を恒久的に変えていくものです。
時間の経過とともに、オープンソースを使用して製品やソリューションを作成するすべての企業が、
ISO標準を使用するようになるでしょう。
ISO9001や14001と同じくらい一般的になると思います。

このISO標準により、オープンソースがソフトウェアを含むあらゆる製品またはソリューションに
とって快適で信頼できる選択肢になることを可能にすなるだろうというのが私の率直な感想です。
この標準はサプライチェーンをより効率的にするのに役立ちます。
これにより、リソース管理と問題解決に数百万ドルを節約できます。
このインパクトは大きいでしょう。

Q: ShaneさんはOpenChainの設立から関わっていると思いますが、Specを作ることになった経緯を教えてください。

A: 2015年の時点で、オープンソースが非常に成功したことは明らかでした。
それは約20年間市場に存在していましたが、特に2005年から2015年の間に非常に大きな発展を遂げました。
オープンソースは、データセンターから携帯電話、エアコンに至るまで、あらゆるものに利用されるようになりました。
このテクノロジーの影響は驚くべきものでした。

ただし、重要な課題が残っている領域が1つありました。
複雑なサプライチェーンでは、企業間でオープンソースを渡し、オープンソースライセンスの要件を一貫して
確実に満たすことが非常に困難でした。
これは悪意によるものではありませんが、各企業が独自の方法でオープンソースコンプライアンスを解決しており、
20社または30社のサプライチェーンがライセンス管理に多くの変動と違いをもたらしたためです。
このような状況では、エラーが頻繁に発生してしまいます。

そこでOpenChainは、組織内のオープンソースをサプライチェーン全体で繰り返し可能な方法で管理するための
単一の明確でリソース効率の高い方法を作成しようというアイデアから生まれました。
一貫性を提供し、一度に1社ずつサプライチェーンへの信頼を高めるために構築されました。
言い換えれば、それは、最良の実世界のソリューションを使用して実世界の問題を具体的に解決するように設計されました。

Q: OpenChain Specのコンセプト、フィロソフィーとはどういうものなのでしょうか？

A: OpenChainは、高品質のオープンソースコンプライアンスプログラムの主要な要件を定義します。
したがって、OpenChainを使用するすべての企業は、特注のソリューションを使用する企業よりも信頼できます。
OpenChainは、あらゆる規模の企業があらゆる市場で使用できるように、
可能な限りシンプルで不可知論的なものになるように注意深く設計されています。
OpenChainは、数百の企業からの数千人時間の経験を7ページの標準に抽出します。
これは、可能な限り最もシンプルでエレガントなソリューションになるように設計されています。

Q: ISO化を契機により多くの人々がOpenChain Specに触れることになると思います。
　 そのような人々にメッセージがあればお願いします。

A:オープンソースは、数十億ドルのサードパーティコードへのアクセスを提供します。
オープンソースライセンスには、明確で合理的な条件がいくつか記載されています。
他の知的財産と同じように、私たちはライセンスに従う必要があります。
ただし、これまで、これを行うための最良のプロセスを特定することは困難でした。
オープンソースライセンスについて詳細な知識を持っている弁護士、プロジェクトリーダー、
エンジニアはほとんどいませんでした。

ウェブサイトなどのパブリックドメインの情報が、異なる用語や意図を示唆している場合があります。
欠けていた部分は、オープンソースコンプライアンスを行うための明確で、シンプルで、信頼性が高く、
効率的なプロセスアプローチでした。

OpenChainはこれを変更します。 ISO標準またはOpenChain2.1を採用して、
高品質のオープンソースコンプライアンスプログラムがあることを知ることができます。

今日、世界中のどの企業もwww.openchainproject.orgにアクセスして、
オープンソースコンプライアンスの国際標準を見つけることができます。
サポートリファレンス資料の閲覧や、無料の自己認証サポート、さらに必要に応じてサードパーティのサービスプロバイダー
のサポートを受けることも可能です。
あなたが誰であるかに関係なく、利用可能なリソースに適した方法で、
Microsoft、Qualcomm、Hitachi、Toyotaと同じプロセスアプローチを構築できます。
これは市場の目覚ましい変化です。
あなたがサプライヤーである場合、これはあなたがこの分野で質の高い知的財産管理を行っていることを示す方法です。
あなたが顧客である場合、これはあなたの調達が高品質のオープンソースコンプライアンスを含むことを確実にする方法です。
何千もの企業がオープンソースでさらに優れた成果を上げるのを支援するためにご参加ください。

3.明日のテーマは・・・

今週行われたLinux Foundation関係のイベントではOpenChainに関するイベントが多く開催されました。
明日は、小泉さんがこれらのイベントをまとめてくれます。
お楽しみに！

This advent calendar has been created by our Japanese Work Group as part of their community outreach. We hope you enjoy their recap of compliance topics to end the year.

International Standardization of OpenChain specification

Hi, I’m Tadayuki Osaki, OSS compliance specialist working for Fujitsu Limited and involved in Open Source Software (OSS) license compliance.

In this article, I briefly introduce the international standardization of OpenChain specification.

From specification to standard

As introduced in Ayumi Watanabe’s first day article, OpenChain specification defines requirements for an organization to establish OSS compliance, and is coordinated by the OpenChain project under the Linux Foundation.

Under the Linux Foundation, there are projects to develop software (code) and to standardize specifications (specification/spec.), for a total of 187 projects as of December 2, 2020.

source: Linux Foundation

The figure above plots Linux Foundation projects into two categories: project configuration (Single / umbrella) and project subject (Software (code)/Specification).

The OpenChain project, with its logo at the bottom left of the diagram, is designed to create and standardize specifications, as are the OpenAPI initiative (API standardization) and the Open Container Initiative (Container formatting and runtime standardization).

What is International Standardization?

An international standard is a standard established by international standards organizations. Each member country of the WTO is required to conform its domestic standard to the international standard*, as required by WTO TBT Agreement. By international standardizing a specification, it can be developed and promoted to the domestic standard of each country.
*only for international standards enacted by a specified international standards organizations, such as ISO, IEC, and ITU.

In the field of information technology (IT), ISO/IEC JTC1 (First Joint Technical Committee of ISO and IEC), an international standards organization independent from ISO and IEC, handles international standardization of the technical area.

OpenChain specification will be published as an international standard by the end of December, as stated in the second day article by Ayumi Watanabe, after going through the process of international standardization in ISO/IEC JTC1.

It should be noted that the content of documents relating to ISO procedures does not necessarily apply to the procedures of ISO/IEC JTC1, as the details of the procedures differ among international standardization bodies.

Flow of international standardization of OpenChain specification

The flow of the OpenChain specification up to its establishment as an international standard by ISO/IEC JTC1 is shown in the following diagram.

Specifically, the following two steps were taken.

• Approved as the PAS submitter for ISO/IEC JTC1 by the Joint Development Foundation (JDF) under the Linux Foundation (May 2015).
  • As a result, the Linux Foundation is now able to apply to ISO/IEC JTC1 through its own JDF for open specifications (PAS; Publicly Available Specification).
• JDF conducts procedures for international standardization of the OpenChain specification to ISO/IEC JTC1.
  PAS Application Procedures (PAS submission)
  • Conversion Procedure from PAS Application to International Standard Application (PAS transposition process)
  • Voting by national bodies (National Bodies) of JTC1 on the International Standard Draft (DIS) (2020/09: approved)
  • Published as an international standard (publish): 2020/12 planned

Way forward

The international standardization of the OpenChain specification is a big step toward the OpenChain Project’s goal of “Enabling a software supply chain where OSS is delivered with reliable and consistent compliance information”.
In the future, the OpenChain Project will promote initiatives such as encouraging countries to establish domestic standards in response to the internationally standardized OpenChain specifications.

Tomorrow’s theme is…

Tomorrow is a message from Shane, General Manager of the OpenChain Project.

こんにちは。富士通株式会社の大崎 雅行です。
OSS（Open Source Software）を利用する際に重要となる、OSSライセンスのコンプライアンスに携わっています。

本記事では、OpenChain仕様の国際標準化に向けた経緯について、簡単に紹介します。

仕様(Specification)から標準(Standard)に

渡邊 歩さんの1日目の記事で紹介があったように、OpenChain仕様は、組織がOSSコンプライアンスの遵守体制を構築する際の要件を規定するもので、Linux Foundation配下のOpenChainプロジェクトが取りまとめています。

Linux Foundationの配下には、ソフトウェア(code)の開発を目的とするプロジェクトとともに、仕様(specification / spec.)の標準化を目的とするプロジェクトも活動しており、2020年12月2日現在、合計で187のプロジェクトが存在します。

source: Linux Foundation

上の図は、Linux Foundationのプロジェクトをタイプ別に分けるため、プロジェクトの構成（単一(single) / 統合(umbrella)）・プロジェクトの対象（ソフトウェア(code) / 仕様(spec)）の２つの軸での区分したものです。

図の左下にロゴがあるOpenChainプロジェクトは、OpenAPI initiative（APIの標準化）や、Open Container Initiative（コンテナのフォーマットやランタイムの標準化）と同様に、仕様を策定し、標準化することを目的としています。

国際標準化とは

国際標準(国際規格；International Standard)とは、国際標準化団体により制定される標準(規格)です。WTOに加盟する各国は、国内規格を国際標準(国際規格)※に整合させることが求められており（WTO TBT協定）、仕様や規格を国際標準(国際規格)とすることにより、各国の国内規格に展開し、普及を進めることが可能となります。
※ 特定の国際標準化団体（ISO・IEC・ITU）により制定された国際標準（国際規格）

そして、情報技術(IT)分野では、ISO / IEC JTC 1（ISOとIECの第一合同技術委員会）という、ISOおよびIECとは別個の国際標準化団体で標準化が行われています。

今回、OpenChain仕様は、ISO / IEC JTC 1における国際標準化の手続きを経て、渡邊 歩さんの2日目の記事にあるように、12月中には、国際標準として発行される予定です。

なお、国際標準化団体ごとに手続きの詳細が異なるため、ISOの手続きに関する資料の内容は、必ずしも、ISO / IEC JTC 1の手続きに当てはまるとは限らないことに注意が必要です。

OpenChain仕様の国際標準化に至る流れ

OpenChain仕様が、ISO / IEC JTC 1により国際標準として制定されるまでの流れを、以下の図に示します。

具体的には、以下の２つの段階の手続きを進めました。

• (前準備) Linux Foundation配下のJoint Development Foundation (JDF)が、ISO / IEC JTC 1のPAS submitterとして承認（2020/05）。
  • これにより、Linux Foundationは、配下のJDFを通じて、ISO/IEC JTC1に対し、公開仕様書(PAS; Publicly Available Specification)の申請を行うことが可能となりました。 
• JDFが、ISO/IEC JTC 1に対し、OpenChain仕様の国際標準化の手続きを行う
  • PAS申請手続き（PAS submission）
  • PAS申請から国際標準申請への転換手続（PAS transposition process）
  • 国際標準ドラフト(DIS)に対する、JTC1の各国代表団体(National Bodies)による投票(2020/09：賛成多数)
  • 国際標準として発行（publish):2020/12予定

さいごに

OpenChain仕様の国際標準化は、OpenChainプロジェクトが目指す「OSSが信頼性と一貫性のあるコンプライアンス情報とともに提供される、ソフトウェアサプライチェーンの実現」の大きな一歩となります。
今後、OpenChainプロジェクトでは、国際標準化されたOpenChain仕様に対応して、各国に国内規格を制定する働きかけを行っていく等の取組みを進めていくことになります。

明日のテーマは・・・

明日は、OpenChainプロジェクトのGeneral ManagerであるShaneさんからのメッセージです。

We had a great discussion on the most recent fourth Monday Specification meeting. Key topics were around timescales for releases (we plan to have long periods between releases) and expanding this call to cover our other global work teams as well (which we decided was a good idea).

Check it out below and look forward to an expanded format in November.

On October 14th the MIT Enterprise Forum held a webinar entitled “Once Upon a Time in …Medical Device and Open Source Land.” In this webinar Alexander Adam, medical device expert and Principal at my Firm, medical device innovator, Navin Dewagan, and open source software expert, Matt Jacobs from Synopsys, Inc. discussed some of the effective and practical strategies to reap the benefits of open source software for medical devices, how to maximize the value of your patents and software innovations using open source licensing, and how patents are used in innovative ways to complement open source software. 

Our OpenChain India Work Group has its next meeting on October 30th at 5pm India Time. Join us to learn more about local open source compliance activity, how your peers approach process management, and what is coming next in our field.

Join Us

• https://meet.nixnet.services/b/raj-akz-gzx