Category

News

OpenChain – Reducing Risk and Friction in the Supply Chain – Webinar with Moorcrofts and Synopsys

By News

We just had another partner-lead webinar featuring Andrew Katz, Moorcrofts & Matt Jacobs, Synopsys. Check it out here (registration required):

https://www.brighttalk.com/webcast/13983/421263

Abstract:
OpenChain standardizes license compliance requirements around the use of open source software in the supply chain. Customers purchasing from an OpenChain compliant company know that the software has been developed in line with a set of documented and tested procedures and that all the relevant meta data (SBOMs and compliance notices) is available. So what does that mean for you?

Check out the webinar to learn why companies like Scania (Volkswagen group), Cisco, ARM, Facebook, Uber, Google, Microsoft, Sony and Qualcomm rely on OpenChain. We’ll cover:

•The history of OpenChain, steps to compliance and overall benefits
•How OpenChain scales, and works for companies large and small
•What happens when the 2.1 specification becomes an ISO standard in September 2020

OpenChain Korea Work Group Meeting # 6 – Video Minutes – 16th June

By News

The full video minutes of our most recent OpenChain Korea Work Group meeting are now available.

Thanks to the efforts of Haksung and team we now have a recording of the recent OpenChain Korea Work Team meeting:

This meeting was held in Korean and will be useful to help inform and encourage companies in the region considering or working on adoption of our industry standard for open source compliance.

Keep Up With The Korean Work Group

Join The Korean Mailing List

OpenChain認証取得、日立製作所の取り組み

By Featured, News

株式会社 日立製作所 野村祐治

はじめに

日立製作所では、「オープンソース ライセンス ガバナンス プロセス認証」を取得しました。
この認証はOpenChainプロジェクトが求める仕様に適合しており、OpenChainプロジェクトが認める最初の第三者認証の取得事例になります。

image.png

今回は認証の取得にいたる、日立の取り組みを紹介します。

日立製作所のOSSコンプライアンスへの取り組み

日立製作所では、OSSコンプライアンスを遵守するため以下の取り組みを実施しています。

  • OSS専門組織
  • OSS取扱いに関する会社規則
  • OSS取扱いに関するガイドライン
  • OSS取扱いに関する社内教育
  • OSS取扱いに関する社内インフラ

OSS専門組織

OSS専門組織 として、OSSソリューションセンタを2015年10月に設立しました。
OSSソリューションセンタは、OSS活用の日立グループ内の取りまとめとして以下をミッションに活動しています。

  • ミッション: OSSによる日立グループへのビジネス貢献
    • OSS活用ノウハウおよび、サポート・ソリューションの提供
    • OSSを安心して利用するためのインフラ・ガイドの提供
    • OSSコミュニティ貢献・標準化活動を通じたプレゼンス向上

OSS取扱いに関する会社規則

OSSの特性に合わせたOSS取得に特化した会社規則を制定しました。OSS取得の規則においては、以下を規定しています。

  • OSS取得に関する審議体の規定
  • OSS取得に関する審議項目と、審議担当部署の規定
  • OSS取得の決裁者  

OSS取扱いに関するガイドラン

OSSの取扱いにおいて、利用者の行うべき作業・検討すべき項目をガイドラインとして規定しました。
日立製作所の標準開発方法論で定義する開発フェーズ、開発プロセス毎にワークシート形式で必要な作業をガイドしています。

ガイドラインの例(抜粋)

フェーズプロセス検討・作業項目
企画要件定義・OSSの提供状況の確認
・脆弱性事故への対応方法の確認
基本設計システム方式設計OSSの入手手続き
受入テスト導入・受入ライセンス遵守状況の確認

OSS取扱いに関する社内教育

OSSに携わる人全員が受講するe-learningと、より深い知識習得のための集合教育に分けて教育を実施しています。

  • OSSの基礎(e-learning)
    • OSSを利用するために必要な基礎知識を習得する教育(コンプライアンスのポイント、活用するための検討事項)
  • OSSコンプライアンス教育(集合教育)
    • OSSのコンプライアンス(ライセンス、知財、他)、ガイドラインに関する教育  

OSS取扱いに関する社内インフラ

会社規則、ガイドラインで規定した作業を効率よく行うため、社内インフラを開発・整備しています。

社内インフラの構成

image.png

OpenChain認証の取得

OpenChainプロジェクトでは、OSS取扱いのプロセスに関する仕様を定めています。
日立製作所では従来より独自の社内プロセスによりOSSの取扱いを行っていましたが、今後広くビジネスを行って行くには業界標準のプロセスを取り込んでいくのが良いと判断し、OpenChainの仕様に準拠する活動を行いました。
具体的な作業として、OpenChainで定められた仕様に準拠するように、社内の取り組みを改善しました。

OpenChain仕様カテゴリ対応する社内の取り組み
G1. FOSSに関わる責任の理解
・OSS取扱いに関する社内教育
・OSS取扱いに関するガイドライン
G2. コンプライアンスを履行するための責任者のアサイン・OSS専門組織
G3. FOSSコンテンツのレビューと承認・OSS取扱いに関する社内インフラ
・OSS取扱いに関する会社規則
G4. FOSSコンテンツ ドキュメントとコンプライアンス関連資料の頒布・OSS取扱いに関する社内インフラ
G5. FOSSコミュニティへの(積極的な)関わり方の理解・OSS取扱いに関する社内教育
・OSS取扱いに関するガイドライン
G6. OpenChain 要件適合の認定・OSS取扱いに関する会社規則・OSS取扱いに関するガイドライン
・OSS取扱いに関する社内教育

※FOSS:Free/Open Source Software

従来の日立製作所のプロセスは、OpenChainの仕様で定めるプロセスと大きな差異は無く、軽微な改善でOpenChain仕様に準拠可能でした。

社内のプロセスを改善している時期に、OpenChain仕様準拠の認証サービスを行う企業が登場し、その企業に依頼して仕様準拠の認証をしてもらうことにしました。

image.png

2018年11月に、認証取得を得ました。

image.png

おわりに

OpenChainの認証を取得する企業は、どんどん増えています。OpenChainプロジェクトで情報交換も出来ると思いますので、皆さん、OpenChainプロジェクトに参加しましょう!

さて、明日の記事は、2019年12月19日に行われたJapanWG全体会合のレポートが投稿される予定になっています。
ますます活発な活動になっているJapanWGですが、最新のトピックスもレポートされると思いますのでお楽しみに!

他社商品名、商標等の引用に関する表示

Black Duck は、Synopsys, Inc. の米国およびその他の国における登録商標です。

OSSコンプライアンスに関する各社のケーススタディ

By Featured, News

自己紹介

みなさん,はじめまして.
パナソニック株式会社でOSSコンプライアンス推進を担当している加藤と申します.
今回は,OpenChain Japan WGの活動で集まったケーススタディを紹介したいと思います.

各社のケーススタディ

OpenChainの成果物は下記のWikiに置かれています.
https://wiki.linuxfoundation.org/openchain/jwg_outcomes_page

ケーススタディはこちら
OSSコンプライアンス推進の組織・体制について各社の事例 (日本語・英語)
https://wiki.linuxfoundation.org/_media/openchain/openchainjwg_organization_lt_20180419_jpen_.pdf

OSSコンプライアンス推進の教育・啓発について各社の事例 (日本語・英語)
https://wiki.linuxfoundation.org/_media/openchain/openchainjwg_education_lt_20180613.pdf

OSSコンプライアンスのステップアップ、各社のケース (日本語・英語)
https://wiki.linuxfoundation.org/_media/openchain/openchainjwg_activity-stepup_lt_20191218_jpen_.pdf

なぜ事例集めをしようと思ったのか?

OSSコンプライアンスを社内で推進していると,「他の企業はどんな取り組みをしているのだろう?」,「どんなことを課題に取り組んでいるのだろう?」と思うことがあります.それに対して,今ではOSSコンプライアンスに関するセミナーなどで企業の方のセッションを聞くことで,いろいろと参考になる情報を得ることもできます.しかし,セミナーでは聞けても1社もしくは2社くらいの事例で,聞きたかった部分について語ってくれるかもわかりません.

そこで,テーマを決めて,Lightning Talkの形式で事例紹介をしてみれば,いろんな事例を聞けるのではないか?,それをWikiに載せれる形式にすれば,参加できなかった方にも参考になるのではないか?,また,担当者が社内で推進する場合にも「他の企業は,こんなに進んでいる!」とエビデンスと共に説明できて,OSSコンプライアンス推進担当者の力になるのではないか?,などと考え,実施してみたのが始まりです.

これから

OpenChain Japan WG では,今後も,いろいろなテーマで事例集めLightning Talkを企画したいと思います.

おわりに

今回は,OSSコンプライアンスに関する各社のケーススタディの紹介を行いました.
みなさんの参考になる情報があれば幸甚です.

また,このケーススタディ紹介Lightning Talkの場では,資料にない口頭だけの情報もいろいろと聞けたりします.興味のある方はOpenChain Japan WGのMLを購読し,全体会合に参加してみてください.はじめは聞く側でも,きっと話す側に回りたくなると思います.

明日のテーマは?

明日は日立製作所の野村さんが「OpenChain認証取得、日立製作所の取り組み」を記載下さいます.日本企業でいち早くOpenChainの認証を取得された日立製作所さん.きっと皆さんにも参考になることでしょう!

OpenChain Webinar #9 – OpenChain Self-Certification Questionnaire – Full Recording

By Featured, News

This week we did something a little bit special with the webinar format. It was a live walk-through of the Conformance Questionnaire with example solutions to each question required for OpenChain conformance. This is the first run-through of what will become a formal OpenChain video guide later in the month. As such, it was interactive, and suggestions for improvement were taken on-board.

Of course, this run-through will be immediately useful to any organization considering or undergoing OpenChain conformance right now.

This is part of the bi-weekly OpenChain Webinar series. Every two weeks we have international speakers covering a wide range of topics related to practical open source compliance challenges, solutions and considerations.

Learn More About The Webinar Series

OpenChain Reference Tooling Work Group Meeting – July 27th – Morning and Afternoon – Full Recording

By Featured, News

The OpenChain Reference Tooling Work Group meets bi-weekly to discuss open source tools for open source compliance. There are frequent demos and discussions around practical use. This is a good place to engage if you are considering open source tooling for your compliance activities.

This video is intended to give you an example of what our community gets up to in this area.

Learn More On The Dedicated Website

Take Part in the Activity via GitHub

OpenChain Fourth Monday Spec Call – July 2020 – Full Recording

By Featured, News

We are discussing ideas and observations regarding OpenChain 2.0. This maps perfectly to our forthcoming ISO/IEC International Standard, currently under ballot as DIS5230, voting finishes September 23rd.

Some of the comments raised will be addressed through reference material. Some of the comments will feed into discussions for further drafts of the standard.

You can be part of this by joining our bi-weekly calls. We speak at 9am Pacific on the Second Monday and 5pm Pacific on the Fourth Monday of each month. These discussions are Chaired by Mark Gisi, the leader of the Specification Work Team.

Check Out Our Specification Review Work On GitHub

Wipro Limited is the latest OpenChain Partner

By Featured, News

SAN FRANCISCO, August 4, 2020 –The OpenChain Project today announced Wipro Limited (NYSE: WIT, BSE: 507685, NSE: WIPRO), a leading global information technology, consulting and business process services company as the latest participant in the growing partner program. Wipro will provide an important bridge between companies seeking to adopt the OpenChain industry standard for compliance and the implementation of quality open source compliance programs.

“Wipro is delighted to join the growing OpenChain partner ecosystem and support the additional uptake of the industry standard for open source compliance,” says Andrew Aitken, Global Open Source Practice Leader, Wipro Limited. “We are keen to support members on their open source strategy and compliance journey through our unique advisory services. We look forward to supporting OpenChain as it graduates from ISO as a fully-fledged formal International Standard.”

“Wipro occupies a significant place in the global services industry,” says Shane Coughlan, OpenChain General Manager. “Our new partnership offers great potential to ensure that the forthcoming formalization of OpenChain as an International Standard can be messaged and understood as widely as possible. We are looking forward to collaborating closely with Andrew, Gilles and the rest of the team specialized in open source.”

About Wipro Limited

Wipro Limited (NYSE: WIT, BSE: 507685, NSE: WIPRO) is a leading global information technology, consulting and business process services company. We harness the power of cognitive computing, hyper-automation, robotics, cloud, analytics and emerging technologies to help our clients adapt to the digital world and make them successful. A company recognized globally for its comprehensive portfolio of services, strong commitment to sustainability and good corporate citizenship, we have over 180,000 dedicated employees serving clients across six continents. Together, we discover ideas and connect the dots to build a better and a bold new future.