一般的な質問

OpenChainとは何ですか?

OpenChainプロジェクトは、フリー/オープンソース ソフトウェア(FOSS)についての高品質なコンプライアンス プログラムの核となる構成要素を明確化し、共有するのを助けます。OpenChainは、物事をよりシンプルに、より効率的に、そしてより首尾一貫させることにより、オープンソースの世界に信頼を築きます。つまりこれは、サプライ チェーン全体にわたってオープンソースのコンプライアンスを達成するための業界標準です。

OpenChainの構成要素とは何ですか?

OpenChainの仕様は、組織と組織の間に信頼を創出します。OpenChainに適合することで、組織は信頼の輪の中に入ることができます。OpenChainのカリキュラムは、組織の大小を問わず適用できます。その結果、オープンソースは、見通し良く、わかりやすく、組織内外のさまざまなタイプのサプライチェーン向けに最適化されたものになります。

OpenChainに適合している組織はどうすればわかりますか?

OpenChain適合組織のリストをご覧ください。

OpenChainプロジェクトはどのように運営されていますか?

The OpenChainプロジェクトは以下の3つのワーキング グループからなり、誰でも参加して貢献できます。

  1. 仕様ワーキング グループ – FOSSコンプライアンス プログラムが満たすべき一連の要件を明確化し公表する。
  2. カリキュラム ワーキング グループ – トレーニング用資料を提供することで、仕様に規定された教育要件を満たす手助けをする。
  3. 適合性ワーキング グループ – 企業が仕様の要件を遵守しているかどうかをチェックする手助けをする。

さらに、有料メンバー制の以下の3つの委員会があります。

  1. ガバニング ボード – プロジェクトのポリシーやルールおよび手続き、資金集め、予算などを管理する。
  2. ステアリング コミッティー – OpenChainコンプライアンス仕様の開発、管理および更新を行う。
  3. アウトリーチ コミッティー – ガバニング ボードと連携して、オープンソース関連のサプライ チェーン全体にOpenChainコンプライアンス エコシステムを構築するための施策を設計・開発・実行する。

OpenChainとCII Best Practicesの関係を教えてください。

OpenChainとCII Best Practicesはいずれも、FOSSプロセスの品質基準を明確化することを目指すLinux Foundationのプロジェクトです。OpenChainは、「i) 複数の異なるプロジェクトから供給されるFOSSを自組織のソリューションに活用する組織のコンプライアンス プログラムを改善すること」と「ii) FOSSコミュニティーへ成果を還元するためのプロセス」にフォーカスしています。これに対して、CII best practices badgeはFOSSプロジェクト自体を良い状態で運営するための基準にフォーカスしています。CII Best Practices badgeの取得に関心のある方は、CII Best Practicesウェブサイトをご覧ください。

OpenChainの各側面についてさらに学べる場所はありますか?

まずは以下をお読みください。

OpenChain仕様について

OpenChain仕様の目的を教えてください。

OpenChain仕様書は、FOSSコンプライアンス プログラムが満たすべき一連の要件を定義しています。これにより、「組織は自他の共有するソフトウェアについてFOSSライセンス コンプライアンスに必要な証跡を提供する」という信頼が生まれます。コンプライアンス証跡は、ソフトウェア配布物を司るオープンソース ライセンスが要求するソース コード、ビルド スクリプト、ライセンス文書、帰属通知、改変通知などからなります。

最新版の仕様はどこで手に入りますか?

OpenChain仕様書第1.1版が最新の業界標準です。

FOSSプログラムがOpenChain適合と見なされるためには、仕様のすべての要件を満たす必要がありますか?

はい。この仕様は、コンプライアンス プログラムが一定水準の品質を達成していることを確認できる要件一式を提供するために策定されました。OpenChain適合プログラムの中に、低品質な結果を招きかねない重大な欠陥があってはならないため、コンプライアンス プログラムはOpenChain適合と見なされるための全要件を満たす必要があります。

ソフトウェアの提供がOpenChain適合であるということは、何を意味しますか?

供給されるソフトウェア自体についてOpenChain適合であるかどうかを判定することはありません。そのソフトウェアを用意するにあたって適用されたFOSSコンプライアンス プログラムが、OpenChain適合判定の対象となります。ソフトウェアのサプライヤーが自らをOpenChain適合であると宣言している場合、それは、そのサプライヤーのコンプライアンス プログラムがOpenChain仕様の全要件を満たしていることを意味します。ソフトウェアのサプライヤーは、そのソフトウェアがOpenChainに適合したコンプライアンス プログラム下で用意されたと宣言することができます。同様に、ソフトウェアを受け取る側はサプライヤーに対して、受け取ったソフトウェアがOpenChainに適合したプログラム下で用意されたかどうかを尋ねることができます。

プログラムの適合を達成するためには、1つの組織のすべてのソフトウェアがOpenChainに適合したプログラムによって取り扱われる必要がありますか?

いいえ。組織は、異なるプログラムとリリース手順を持つ複数のグループや部門から構成されていることがあります(たとえば、エンジニアリング部門と専門的サービスを提供する部門)。1つの組織内で、他のプログラムが仕様の要件を満たしていなくても、1つのFOSSプログラムが仕様の要件を満たしていれば、そのプラグラムはOpenChain適合と格付けできます。OpenChainに適合済みのプログラム下でレビューされていないソフトウェアをOpenChain適合性と結びつけることはできません。

この仕様はベスト プラクティス ガイドとして使えますか?

いいえ。この仕様の主要な目的は、既存のFOSSコンプライアンス プログラムが十分かどうかを評価する手助けとなる一連の要件を提供することです。そのため、この仕様は「何を」と「なぜ」の側面にフォーカスしており、「どうやって」や「いつ」には触れていません。FOSSコンプライアンス プログラム(「どうやって」と「いつ」)の構成にはたくさんの異なる方法があり、いずれの方法でもこの仕様を満たすことができるでしょう。この仕様は、プログラムが基本レベルの品質と一貫性を持っているかどうかを評価する1つの方法を提供します。これにより、ソフトウェアのサプライヤーはそのユーザーに対して、自身が提供するコンプライアンス証跡が、標準的なレベルの品質を満たしたFOSSプログラム下で作成されたと表明することができます。

この仕様はどのようにして開発されましたか?

OpenChainプロジェクトは、ソフトウェア サプライチェーンの中でソフトウェアの作成ややりとりを経験してきた多数の個人、企業、組織からの提案を受け入れました。参加することに特段の要件は設けていませんでしたし、現在も設けていません。OpenChainプロジェクトは、コンプライアンス プログラムの6つの主要なカテゴリー、および各カテゴリーに関する重要なタスクとその成果物を以下のように明確化しました。

  1. FOSSに関わる責任の理解 [すなわちポリシーとトレーニング]
  2. コンプライアンスを履行するための責任者のアサイン
  3. FOSSコンテンツ ドキュメントとコンプライアンス関連資料の頒布
  4. FOSSコンテンツのレビューと承認
  5. FOSSコミュニティーへの(積極的な)関わり方の理解
  6. OpenChain要件適合の認定

FOSSプログラムがOpenChain適合であることを宣言するために、第三者による監査は必要ですか?

いいえ。OpenChain仕様は、シンプルに構成されており、要件のリストを提供しています。各要件には一連の適合判定基準(検証すべき証跡)が規定されています。各要件は、FOSSプログラムが維持すべき重要な品質を記述したものです。1つの要件についての検証すべき証跡は、仕様の要件を満たしていることを判定するために存在していなければならない有形の証跡のリストの形で提示されています。証跡は存在していなければなりませんが、それらを公開する必要はありません。この仕様の究極のゴールは、ソフトウェアをやりとりする当事者間にFOSSコンプライアンスについての信頼関係を育てることです。現在のところ、第三者による監査はOpenChain仕様の要件ではありませんが、パートナーや顧客は、ビジネスを行う条件として、検証すべき証跡の証拠を要求することができます(たとえば機密保持契約を締結した上で)。すなわち、義務として証跡の存在の証拠を提示するか、意思としてそれを進んで提示するかは、当事者同士が結ぶ関係性によって決まります。第三者による認証をどのように得るかについてのさらなる具体的なガイドラインを、本仕様の将来の版で提示する可能性について、議論がなされています。

いいえ。この仕様は、法的ガイダンスを提供するものではありません。そうではなく、組織が法的ガイダンスを提供する法務専門家を指名することを、この仕様は要求しています。さらにこの仕様は、ライセンスの義務の分析と履行に対して確実に適切な注意が払われるようなプロセスが存在することを要求しています。

OpenChainプログラムに適合すればライセンスへのコンプライアンスは保証されますか?

いいえ。しかしOpenChain適合プログラム下で用意されたソフトウェア リリースについては、ライセンスへのコンプライアンスが達成される可能性が著しく高まります。

組織がOpenChain適合を達成するのを支援するリソースは、存在しますか?

OpenChainプロジェクトが提供しているものとしては、カリキュラム ワーキング グループが開発しているスライド資料集と、適合ワーキング グループが開発しているオンライン自己認証ウェブ アプリがあります。スライド資料集は、FOSSコンプライアンス トレーニング プログラムの作成や強化を大いに促進する参照トレーニング資料です。オンライン自己認証ウェブ アプリは、組織がOpenChain適合であることを自己認証する際の手引きとなります。これ以外にもLinux Foundationは、OpenChain FOSSコンプライアンス プログラムの実施を助ける便利なツールやコンプライアンス プログラムのリソース(SPDX, FOSSologyなど)を提供するさまざまなオープンソース プロジェクトや取り組みに資金を提供しています。これらのリソースについては、Linux Foundation Open Compliance Programをご覧ください。

OpenChain仕様のライセンスを教えてください。

この仕様は、Creative Commons Attribution License 4.0 (CC-BY-4.0) でライセンスされています。このライセンスのコピーはこちらで入手できます。CC-BY-4.0

OpenChain適合について

OpenChain適合自己認証の目的を教えてください。

OpenChain自己認証は、OpenChain仕様の個々のバージョンに対応してOpenChain適合の状態を評価できるように設計されています。あらゆる規模の組織が、OpenChainプロジェクトのオンライン自己認証ウェブ アプリによって自己認証を行えます。オンライン自己認証を完了することで、企業は、自らがOpenChain仕様の要件を満たしていることを確認できます。

OpenChainオンライン自己認証には、どこからアクセスできますか?

こちらからどうぞ。https://certification.openchainproject.org/

OpenChain自己認証の開始方法に関する詳細情報はどこにありますか?

OpenChain Self Certification ページの、「Getting Started」の説明(英文)をご覧ください。

一旦提出した自己認証の内容を変更したい場合はどうすればよいですか?

Online Self-Certificationサイトにサインインすると、ページの一番下に Unsubmit ボタンがあります。このボタンをクリックすることで、以前のOpenChain自己認証の提出内容をキャンセルできます。その後、適合チェックを再提出できます。

証跡とはどういう意味ですか?

証跡とは、OpenChain適合ポリシーを実施することによって生成される有形の副産物です。証跡には、公開・非公開を問わず、ディジタル文書、ウェブサイト、紙の文書が含まれます。すべての証跡は、それらを使用する組織によって内部的に検証されるべきです。

もし、他の組織による提出物に同意できないときは、どうすればよいですか?

あなたが懸念を持っている組織の名前と、同意できない理由を明記して、openchain-conformance@linux-foundation.com に電子メールでご連絡ください。4週間以内に回答をお送りします。

提出した認証要求に対する応答時間はどのくらいと考えればよいですか?

すべての情報が正しければ、提出はシステムによって自動的に承認されます。ユーザーが入力した情報に欠落や誤りがある場合は、ユーザーからOpenChainプロジェクトに報告をお願いします。

オンライン自己認証ウェブ アプリに関する問題は、どのように報告すればよいですか?

何か問題がある場合は、openchain-conformance@linux-foundation.com に電子メールでご連絡ください。その際には、発生した問題について具体的な情報を記載してください。

プロジェクトに貢献するにはどうすればよいですか?

参加や貢献の方法については、OpenChainコミュニティーのウェブサイトをご覧ください。

OpenChainカリキュラムについて

OpenChainカリキュラムは何に使われますか?

OpenChainカリキュラムのスライド資料集は、OpenChain仕様第1.0版の要件1.2を満たすための参照資料です。

OpenChainカリキュラムの利用者としては、誰を意図していますか?

OpenChainカリキュラムは、オープンソース ソフトウェアを出荷する企業や、そのようなソフトウェアをサプライチェーンから受け取る企業の手助けとなることを意図しています。

OpenChainカリキュラムのスライド資料によるトレーニング セッションは、どのくらいの時間を想定していますか?

この参照スライドは、半日のトレーニング セッションで提供されるように作られていますが、この資料は複数の章に分かれているため、異なる時間割で柔軟に提供することもできます。また、CC-0 でライセンスされているため、各社が必要なセクションを取捨選択して、自社の既存のトレーニング資料の拡張に利用することもできます。

知的所有権のセクションは、どの国を対象にしていますか?

OpenChainカリキュラムの参照スライドは、米国の法規にフォーカスしています。この参照スライドを社内トレーニングに使用する際は、このことを考慮に入れる必要があります。異なる国には異なる法的要件があります。

これらのスライドには、ライセンスを遵守するために必要なことがすべて含まれていますか?

いいえ。これはあくまでも参照資料です。これは企業がOpenChain適合のコンプライアンス トレーニング プログラムに着手したり、既存のトレーニング プログラムをOpenChain仕様に適合させるのを手助けすることを意図しています。

どうすれば企業や個人がOpenChainカリキュラムに貢献できますか?

まずは OpenChain カリキュラム メーリング リストに参加してください。参加してみたい、資料を提供したい、あるいは既存の資料の拡張を支援したい方など、どなたでも歓迎します。