Please scroll down for the English version.
OpenChain Telco-WG とは
OpenChainプロジェクトの中に、特定のテーマに興味・関心のある人々の集まりとして Special Interest Group があります。その中の1つのコミュニティとして、OpenChain Telco-WGがあります。
以下に、OpenChainプロジェクトのCommunity Structure を示します。本アドベントカレンダーを主催するOpenChain Japan-WGは、Local User Groups の1つです。
Telco-WG の主な活動
Telco-WGでは、"Draft OpenChain Telco SBOM Specification version 1.0"の議論やその取り纏めを行っています。また、このドラフト仕様に関して日本語訳も提供されています。
Telco-WGでは、メーリングリスト、zoomベースのリモート会議、GitHubでのコントリビューション、等を歓迎しています。
telco-wg メーリングリスト がありますので、もしご興味がありましたらお気軽にご参加ください。
zoomベースのリモート会議は、毎月第1木曜日に実施中です。いつ実施されるかの最新情報は、OpenChain カレンダーをご確認ください。
リモート会議は、異なるタイムゾーンからできるだけ多くの方に参加いただけるように、日本時間の夕方と深夜(ヨーロッパ時間の午前と午後)の2回開催になっています。日本からの参加は夕方の時間帯が便利です。
"Draft OpenChain Telco SBOM Spec. ver. 1.0"
"Draft OpenChain Telco SBOM Spec. ver. 1.0" は、ソフトウェア部品表(SBOM)をどのように作成し、配信し、そして受領するか、それぞれ関連する要件を概説することを目的としています。
OpenChain Telco SBOM Spec. 文書の利用シーンとして、例えばソフトウェアサプライチェーンの中で利用するシーンとして以下を考えています(第4節 Conformant Notice に記載の1つ目の例)。
このソフトウェアは、OpenChain Telco SBOM Specification v1.0 に準拠したSBOMと共に提供されます。この仕様は、https://github.com/OpenChain-Project/Telco-WG/blob/main/OpenChain%20Telco%20SBOM%20Specification.md で入手できます。
また別の例として、通信事業者がソフトウェアベンダーや通信システムサプライヤーに対して、RFPや、購買発注、委託開発の発注をする際に、RFP文書、発注文書、契約文書などを記載するシーンを想定して、以下の文章を利用することを考えています(第4節 Conformant Notice に記載の3つ目の例)。
ソフトウェアをリリースする場合、リリースされるすべてのソフトウェアについて、OpenChain Telco SBOM Specification v1.0 に準拠したSBOMを提供することを要求します。 この仕様は"https://github.com/OpenChain-Project/Telco-WG/blob/main/OpenChain%20Telco%20SBOM%20Specification.md" で入手できます。
現在、本Telco SBOMドラフト仕様は、通信産業に依らない汎用的な内容となっていると解釈がなされ、SPDX Lite Profile との議論が継続中です。
さいごに
通信業界に限らず、その業界のソフトウェアサプライチェーンの中で扱う「SBOMのフォーマット」が、SBOM作成者/納品者 と SBOM受領者 との間で異なってしまうと、SBOM作成者/納品者 と SBOM受領者 は「複数のSBOMフォーマット」を管理/維持しなくてはならなくなります。
つまり、そのソフトウェアサプライチェーンに関係する全ての企業体にとって、そもそものSBOM導入コストに加えて、「複数のSBOMフォーマット」の管理/維持のためのコストが追加で必要になります。
各業界がこのような課題を乗り越えてSBOMの導入がスムーズに進み、その業界が脆弱性管理の観点・ライセンス管理の観点・開発生産性向上の観点でメリットを十分に享受できるようになることが期待されます。
What is the OpenChain Telco-WG ?
Within the OpenChain Project, there are special interest groups, which are groups of people who are interested in a particular topic.
One of these communities is the OpenChain Telco-WG. The Community Structure of the OpenChain project is shown below. The organiser of this advent calendar, OpenChain Japan-WG, is also one of the Local User Groups.
Main activities of the Telco-WG
The Telco-WG is discussing and compiling the "Draft OpenChain Telco SBOM Specification version 1.0". The Japanese translation of this draft is also being provided.
The Telco-WG welcomes contributions via mailing lists, zoom-based remote meetings, GitHub contributions, etc. If you are interested, please feel free to join the telco-wg mailing list.
Also, zoom-based remote meetings are now running on the first Thursday of every month. Please check the OpenChain calendar for updates on when they will take place.
In addition, the monthly remote meetings are held twice a month, in the evening and at midnight Japan time (morning and afternoon Europe time), in order to bring together as diverse a group of participants as possible from different time zones. Evening hours are convenient for participants from Japan.
"Draft OpenChain Telco SBOM Spec. ver. 1.0"
The "Draft OpenChain Telco SBOM Specification version 1.0" aims to outline certain requirements related to how an entity creates, delivers, and consumes Software Bill of Materials (SBOM).
The following are possible usage scenarios for this SBOM specification within the software supply chain (the first example described in Section 4, Conformant Notice).
To indicate that the software has a conformant SBOM available, you MAY use the following statement: “This software is supplied with an SBOM conformant to the OpenChain Telco SBOM Specification v1.0, the specification is available at https://github.com/OpenChain-Project/Telco-WG/blob/main/OpenChain%20Telco%20SBOM%20Specification.md”
The following statement is also intended to be used by telecoms operators when they request software vendors and telecoms system suppliers to include RFPs, purchase orders and contractual documents for purchase orders and outsourced development orders (third example in Section 4: Conformant Notice).
When releasing software, it is REQUIRED to provide an SBOM compliant with the OpenChain Telco SBOM Specification v1.0 for all software released. This specification is available at "https://github.com/OpenChain-Project/Telco-WG/blob/main/OpenChain%20Telco%20SBOM%20Specification.md”
Discussions are currently ongoing with the SPDX Lite Profile, because these SBOM Specifications of this draft are generic and independent of the telecommunications industry.
Closing Remarks
If the 'SBOM format' handled in the software supply chain differs between the SBOM generator/deliverer and the SBOM recipient, the SBOM generator/deliverer and the SBOM recipient will have to manage/maintain multiple SBOM formats.
This means that for all entities involved in the software supply chain, the cost of managing/maintaining multiple SBOM formats is in addition to the cost of SBOM implementation.
It is strongly hoped that each industry will overcome these challenges and smoothly introduce SBOM, so that the industry can fully take advantage of the benefits in terms of vulnerability management, license management, and development productivity improvement.