Category

News

OpenChain Webinar #9 – OpenChain Self-Certification Questionnaire – Full Recording

By Featured, News

This week we did something a little bit special with the webinar format. It was a live walk-through of the Conformance Questionnaire with example solutions to each question required for OpenChain conformance. This is the first run-through of what will become a formal OpenChain video guide later in the month. As such, it was interactive, and suggestions for improvement were taken on-board.

Of course, this run-through will be immediately useful to any organization considering or undergoing OpenChain conformance right now.

This is part of the bi-weekly OpenChain Webinar series. Every two weeks we have international speakers covering a wide range of topics related to practical open source compliance challenges, solutions and considerations.

Learn More About The Webinar Series

OpenChain Reference Tooling Work Group Meeting – July 27th – Morning and Afternoon – Full Recording

By Featured, News

The OpenChain Reference Tooling Work Group meets bi-weekly to discuss open source tools for open source compliance. There are frequent demos and discussions around practical use. This is a good place to engage if you are considering open source tooling for your compliance activities.

This video is intended to give you an example of what our community gets up to in this area.

Learn More On The Dedicated Website

Take Part in the Activity via GitHub

OpenChain Fourth Monday Spec Call – July 2020 – Full Recording

By Featured, News

We are discussing ideas and observations regarding OpenChain 2.0. This maps perfectly to our forthcoming ISO/IEC International Standard, currently under ballot as DIS5230, voting finishes September 23rd.

Some of the comments raised will be addressed through reference material. Some of the comments will feed into discussions for further drafts of the standard.

You can be part of this by joining our bi-weekly calls. We speak at 9am Pacific on the Second Monday and 5pm Pacific on the Fourth Monday of each month. These discussions are Chaired by Mark Gisi, the leader of the Specification Work Team.

Check Out Our Specification Review Work On GitHub

Wipro Limited is the latest OpenChain Partner

By Featured, News

SAN FRANCISCO, August 4, 2020 –The OpenChain Project today announced Wipro Limited (NYSE: WIT, BSE: 507685, NSE: WIPRO), a leading global information technology, consulting and business process services company as the latest participant in the growing partner program. Wipro will provide an important bridge between companies seeking to adopt the OpenChain industry standard for compliance and the implementation of quality open source compliance programs.

“Wipro is delighted to join the growing OpenChain partner ecosystem and support the additional uptake of the industry standard for open source compliance,” says Andrew Aitken, Global Open Source Practice Leader, Wipro Limited. “We are keen to support members on their open source strategy and compliance journey through our unique advisory services. We look forward to supporting OpenChain as it graduates from ISO as a fully-fledged formal International Standard.”

“Wipro occupies a significant place in the global services industry,” says Shane Coughlan, OpenChain General Manager. “Our new partnership offers great potential to ensure that the forthcoming formalization of OpenChain as an International Standard can be messaged and understood as widely as possible. We are looking forward to collaborating closely with Andrew, Gilles and the rest of the team specialized in open source.”

About Wipro Limited

Wipro Limited (NYSE: WIT, BSE: 507685, NSE: WIPRO) is a leading global information technology, consulting and business process services company. We harness the power of cognitive computing, hyper-automation, robotics, cloud, analytics and emerging technologies to help our clients adapt to the digital world and make them successful. A company recognized globally for its comprehensive portfolio of services, strong commitment to sustainability and good corporate citizenship, we have over 180,000 dedicated employees serving clients across six continents. Together, we discover ideas and connect the dots to build a better and a bold new future.

OpenChain Webinar #9 – Today (Monday) at 9am Pacific – The OpenChain Conformance Questionnaire

By Featured, News

This week we will be doing something a little bit special with the webinar format. It will be a live walk-through of the Conformance Questionnaire with example solutions to each question required for OpenChain conformance. This is the first run-through of what will become a formal OpenChain video guide later in the month. As such, it will be interactive, and your suggestions for improvement will be taken on-board. Meanwhile, this run-through will be immediately useful to any organization considering or undergoing OpenChain conformance right now. Join us at 9am Pacific.

This is part of the bi-weekly OpenChain Webinar series. Every two weeks we have international speakers covering a wide range of topics related to practical open source compliance challenges, solutions and considerations. You can learn more about this series here: 
https://www.openchainproject.org/webinars-interviews

Join Our Zoom Meeting

https://zoom.us/j/9990120120 ( https://www.google.com/url?q=https%3A%2F%2Fzoom.us%2Fj%2F9990120120&sa=D&usd=2&usg=AOvVaw3kFRATgXJbTk7iL3HEkTN1 )

Password

* 123456

One Tap Telephone (no screensharing)

* +358 9 4245 1488,,9990120120# Finland
* +33 7 5678 4048,,9990120120# France
* +49 69 7104 9922,,9990120120# Germany
* +852 5808 6088,,9990120120# Hong Kong
* +39 069 480 6488,,9990120120# Italy
* +353 6 163 9031,,9990120120# Ireland
* +81 524 564 439,,9990120120# Japan
* +82 2 6105 4111,,9990120120# Korea
* +34 917 873 431,,9990120120# Spain
* +46 850 539 728,,9990120120# Sweden
* +41 43 210 71 08,,9990120120# Switzerland
* +44 330 088 5830,,9990120120# UK
* +16699006833,,9990120120# US (San Jose)
* +12532158782,,9990120120# US

Find your local number: https://zoom.us/u/abeUqy3kYQ ( https://www.google.com/url?q=https%3A%2F%2Fzoom.us%2Fu%2FabeUqy3kYQ&sa=D&usd=2&usg=AOvVaw2yK4fS2trpB1lITLI31XE9 )
Not all countries have available numbers.

After dialing the local number enter 9990120120#

Check Out All Our Other Webinars

OSSに関するコンプライアンス体制構築の際の留意点

By News

本日は弁護士の野中さん に登場頂きます!(諸事情により遠藤が投稿してます)

はじめに

はじめまして。弁護士の野中高広です。最近は、バッティングセンターにはまっています。空振りが約2割ですが(笑)。
ところで皆さんの会社では、OSSのリスクの問題について、どの程度のかたが認識しておられるでしょうか?コンプライアンス体制についても最低限整っているといえますでしょうか?
本日は、OSSに関してコンプライアンス体制の構築をするうえでの留意事項について、すでに皆さんご存知のことがほとんどであるとは思いますが、簡単に検討してみたいと思います。

どうして体制を構築する必要があるのか?

これまでにOSSに関して問題となってきたいろいろな事例を見てみますと、第三者によるリバースエンジニアリングなどによって、OSSの利用が発覚し、OSSライセンス違反を指摘されるような場合があります。OSSのライセンス違反の指摘を受けた場合、謝罪やソフトウェアの差し替えを行なったり、ソースコードの公開などについて迅速かつ適切な対応をとることが重要と言われています。しかも、すばやく適切な対応を行なえば、すぐに訴訟に発展するわけではありませんし、欧米の事例を検討していますと、こうした対応の遅れが係争へと発展しているケースが多いともいえます。

留意すべき事項は?

そのため、いろいろな事態あるいはリスクに事前に備えておくことが必要になるといえそうですが、実際にコンプライアンス体制を構築する際には、どのような点について特に留意する必要があるのでしょうか。会社によって進捗状況は様々だと思いますが、以下で、いくつか基本的な事項について触れてみたいと思います。

· まず、OSSライセンスの利用にあたってのコンプライアンス強化を図るために、OSS利用についての内部規程の作成や、内部規程遵守のための社内体制と仕組みの構築が求められるといえます。その際に、社員の方への内部規程の周知・教育に加えて、社内・社外向けにOSS利用についての問い合わせ窓口を設置することなどもセットで検討しておくことが有効といえるでしょう。

· その前提として、例えばGPLのソースコードの公開範囲についてなど、様々な解釈があり得るケースについては、この分野の有識者や専門家を交えて十分に検討を重ねて、自社の見解を統一しておくことが必要となります。その過程で社内で議論を積み重ねて、各種事例や先例についての知識や理解を深めつつ、多くの人が問題意識を共有することこそが有益ともいえるでしょう。

· また、最近では様々な有用なソフトもありますが、ソフトウェアの検査を行なうことも肝といえます。ソフトウェア開発の初期段階、委託先からソフトウェアが納入される時、あるいは製品の出荷前などに、OSS検出ツールなどを利用して、意図しないOSSが混入していないかを十分に検査する必要があります。特に、ソフトウェア開発の委託をする際には、利用するOSSとその利用条件の開示を求めたり、あるいはOSSライセンス違反をした場合の責任分担やソースコードの調査義務などについても念のため盛り込んでおくことも検討するとよいでしょう。ここらあたりの話については、個人情報の取扱いが第三者に委託される場合の留意事項とパラレルに考えることができるかもしれません。

· さらに最近では、法務デューデリジェンスによる確認も重要となってきております。例えば、M&Aにおいて、買収した会社がOSSライセンス違反をしている場合もあり得るため、法務デューデリジェンスで、OSSに関する問題をレビューしていくことも、今後は一般的になっていくものと思われます。

おわりに

以上、ごくごく簡単に見てきましたが、実際にいろいろな措置を導入していくに当たっては様々なハードルも考えられます。なかなか理解が難しい分野でもあり、問題意識を共有すること自体に苦労することも多々あるかと思います。
本日のテーマが、皆さんの会社のコンプライアンス体制構築がさらに進むうえで少しでもお役に立てれば幸いです。

明日のテーマは…

明日は、Japan WGの設立当初から中心的な活躍をされているパナソニックの加藤さんから「OpenChain Japan WGの活動で集まった事例」についてご紹介いただく予定です。
自社の体制を構築する上で一番気になる「他社はどうしているのか」がわかる貴重な情報ですので、ぜひご期待ください。

OpenChain Sponsors COSCUP Again – Local Team Doing Awesome Talk As Well

By Featured, News

The OpenChain Project is once again sponsoring the COSCUP conference in Taiwan, an event that provides a unique opportunity to connect with individuals at the heart of one of the most innovative locations for information technology. Even more importantly, our OpenChain Taiwan Work Group founders, SZ Lin and Lucien Lin, will be delivering a talk on the first day of the event, August 1st!

Check Out Our Talk

2020 / 08 / 01
16:10 ~ 16:40
RB105 主議程軌

OpenChain 開源合規業界標準 – 有效管理使用開源軟體的法遵之道
by 林上智 (SZ LIN)Lucien C.H. Lin 林誠夏漢語

OpenChain是開源軟體使用在企業供應鏈裡的合規及法遵建議流程,它讓軟體供應的上下游在交付上都有所依循,並且能融入與開源軟體開發社群的互動之道!


OpenChain是開源軟體使用在企業供應鏈裡的合規及法遵建議流程,它讓軟體供應的上下游在交付上都有所依循,並且能融入與開源軟體開發社群的互動之道!

開源軟體 (Open Source Software) 在這幾年成為資通訊領域的主流趨勢,舉凡從 5G (ORAN)、區塊鍊、 AI、Cloud、到 Embedded Linux 等等,從應用層到 driver 層都已經被大量使用。從消費端到工業應用,業界已非常頻繁的使用開源軟體 (Open Source Software) 來整合或進行二次開發。

然而,開源軟體在著作權利上並非無主物,使用開源軟體在合規及法遵面,第一步就是要遵循並履行該開源軟體的授權條款義務,如使用 GPL 授權的程式就要依散布情境來提供程式源碼給程式的收受者,並且標註修改等等。如何多元取用開源軟體,又能妥善合於各開源條款的規定,就是商業利用者或會覺得困擾,但又不得不正向處理的當前要務。而為了讓企業產業鏈之間,能合規且有效的管理並使用開源軟體,Linux Foundation 成立了 OpenChain 專案,由多所跨領域之企業分享其管理流程,並進而一同制定開源合規的流程及規範。

OpenChain 這套管理流程,即將在今年成為 ISO/ IEC 國際標準,此次分享會的主軸在為9月OpenChain TW Group的公開活動作引,介紹 OpenChain 最新規範以及業界狀態,並以實例說明,透過導入 OpenChain,如何讓產業能兼務社群交誼和互動,除了讓組織能統性且有效率的管理開源軟體,亦能同時降低企業風險,以及減少研發資源不必要的花費。

Learn More About Our Talk And Speakers!

Learn More About COSCUP (English)

Learn More About COSCUP (Traditional Chinese)

Bitsea is the Latest OpenChain Partner

By Featured, News

Bitsea, a company helping customers to analyse, assess, and optimize Software Development processes, has joined the OpenChain Partner program. This marks another significant expansion of the OpenChain ecosystem into the German software industry, and provides another milestone in our preparation to support our growth as a formal International Standard in Q4.

“Bitsea is delighted to join the OpenChain Partner program,” says Dr. Andreas Kotulla. “We have a long history of supporting excellent in open source and we look forward to helping our customers and adjacent companies understand and apply the OpenChain standard for quality open source compliance programs.”

“A key pillar of the OpenChain community is support,” says Shane Coughlan, OpenChain General Manager. “A great deal of this support is provided by our local and global work groups, consisting largely of user companies. However, there is a substantial proportion of this support provided by partners, and they provide a vital role in ensuring the sustainability of our industry standard. Bitsea will help bolster our support network and their deep experience will benefit everyone seeking to build out a quality open source compliance program.”

SW360/SPDX Liteを利用して、AGLリリースソフトを簡単に確認出来るようにする

By News

この記事はOpenChain Advent Calenderの19日目の記事です

はじめに

車載向けOSSコミュニティのAGL(AutomotiveGradeLinux)で使用しているソフトウェアについて、OpenChainにて議論が進められているSW360SPDX Liteを利用して、AGLで使用しているソフトウェアを誰でも簡単に確認出来る方法を紹介します
尚今回の内容については2020CESのAGLデモブース内のOpenChainブースでも紹介予定です
OpenChain and AGL Collaborate to Facilitate Open Source Compliance in Automotive Production

AGLのリリースソフトウェアについて

AGLでは年2回ソフトウェアをリリースしており、現状の最新ソフトはIcefish RC3 (v8.99.3)が年明けの正式リリースに向けて、リリースの準備が進められています。AGLリリースノートについて、このページを参照して下さい。
ビルド済みのソフトについても公開されており、Yoctoビルド時に出力されるlicense.manifestを確認すれば、AGLでどのようなソフトウェアが使用されているか、下記のように確認する事が出来ます

PACKAGE NAME: af-binder
PACKAGE VERSION: master+gitAUTOINC+82a9d79621
RECIPE NAME: af-binder
LICENSE: Apache-2.0

このように
・パッケージ名
・バージョン
・ライセンス
を確認する事が出来ますが、AGLでは1,500~1,600位のソフトウェアが使用されており、license.manifestを確認するのはそれなりに苦労するため、SW360/SPDX Liteを利用して誰でも簡単にAGLのリリースソフトウェアを確認出来るようにしたいと思います

今回の環境の全体イメージ

無題.png

SW360にはSPDXをインポートして使用する想定のため、meta-spdxscannerを利用して、AGLリリースソフトからSPDXファイルを作成します。SW360ではSW360toolsを利用してSPDX Liteをアウトプット可能なため、EXCELを使用してAGLのソフトウェアを誰でも簡単に確認する事が可能です

環境のセットアップ

meta-spdxscanner

AGLでは下記のようにmeta-spdxscannerがサポートされていますので、
<!-- meta-spdxscanner - support for fossology -->
<project name="dl9pf/meta-spdxscanner" path="external/meta-spdxscanner" remote="github" revision="483f79e66eb76b0f1bebe1e3a0a0327b0ba59f16" upstream="thud"/>

spdxscannerが使用するfossdriverをセットアップします。セットアップ方法は10日目の記事を参考にして下さい
セットアップ完了後、https://github.com/dl9pf/meta-spdxscanner を参考に local.conf を編集しbitbakeを実行して、SPDXファイルを出力します
$ bitbake agl-demo-platform –-runall=spdx # will generate all agl-demo-platform spdx
$ bitbake package_name -c spdx # will generate spdx of a specified package

SW360

SW360のセットアップについては、この記事を参考にセットアップを実施します
今回はSW360からSPDX Lite(EXCEL)を出力したいので、SW360toolsを追加でセットアップします

SPDXファイルの取り込みから、SPDX Liteの出力

無題.png

環境のセットアップが完了したら、生成したSPDXファイルをSW360にインポートします

無題.png

インポートが完了するとSW360にインポートしたソフトウェアが表示されます

無題.png

SW360toolsを使用すると出力するSPDXの項目を選択する事が可能となり、SPDX Liteなど必要な情報だけを最小限にしてcsv形式で出力する事が可能です

無題.png

SW360が使用出来ない環境でも、Excelで出力したファイルをいつでも簡単に参照する事が可能となります

さいごに

駆け足での紹介になってしまいましたが、実際の開発現場に使用する際に課題と感じた事を下記します
・meta-spdxscannerを使用してSPDXを出力する時間が、bitbakeのビルド時間よりも長く、CIに組み込むには課題がある
・SPDXファイルをSW360にインポートする時に、ファイル数が100を超えると読み込み途中でフリーズが発生する時がある
・Dockerfileのメンテナンスが遅れており、環境構築にコストがかかる
他にも運用面での課題もあるかと思いますが、AGLなどのオープンな場所で少しずつFBしながら、実績を積みたいと思います

明日のテーマは・・・

明日は「OSSのコンプライアンス体制構築をするうえでの留意事項」について
Promotion SWGにも参加頂いているDLA Piperのパートナー弁護士である野中さんにご担当頂く予定です

OpenChain Webinar #8: Compliance @ GitLab – Full Recording

By Featured, News
This image has an empty alt attribute; its file name is avatar.png

We took a look at how GitLab addresses compliance for this webinar on the 20th of July. Mo Khan, Senior Backend Engineer, explained the approach offered to users and why it is effective. One of the most interesting things we explored is how it all works with CI/CD, a hot topic in the OpenChain community and beyond.

Check out all our previous webinars