Please scroll down for the English version.
OpenChain Telco-WG とは
OpenChainプロジェクトの中に、業界固有の内容に興味・関心がある人々の集まりとして Industry-Specific Work Groups があります。その中の1つのコミュニティとして、OpenChain Telco Work Group(Telco-WG)があります。
以下に、OpenChainプロジェクトが主催する会議体 を示します。
Telco-WG の活動
Telco-WG では、メーリングリスト、zoomベースのリモート会議、GitHubでのコントリビューション、等を歓迎しています。 もしご興味がありましたらお気軽にご参加ください。
zoomベースのリモート会議は、毎月第1木曜日に実施中です。いつ実施されるかの最新情報は、OpenChain カレンダーをご確認ください。
リモート会議は、異なるタイムゾーンからできるだけ多くの方に参加いただけるように、日本時間の夕方と深夜(ヨーロッパ時間の午前と午後)の2回開催になっています。日本からの参加は夕方の時間帯が便利です。
OpenChain Telco SBOM Guide ver.1.0
Telco-WG の2024年度の最大のトピックスとしては、2024年5月に "OpenChain Telco SBOM Guide Version 1.0" が OpenChainの公式文書として正式発表(General Availability)されたことです。
当初は、2024年3月末に開催された OpenChain の運営委員会で承認を得る予定でしたが、無事に承認を得ることができました。
現在、Telco-WG への参加者を中心に、この "OpenChain Telco SBOM Guide ver.1.0" を実際に使用して見えてきた、表現がわかりにくい点への追記や、SPDX Specifications のバージョン間で齟齬がある点の修正をするなど、メンテナンス作業を進めています。
今後はこれらの追記や修正をして "ver.1.0" をさらに醸成していき、 Telco-WG として急いではいないものの、 "ver.1.1" のリリースを予定しています。
また、2024年6月開催の Telco-WG では、今後は以下のように進めることが話されました。
"今後、SPDX3.0 や CycloenDX1.6 など、年に1回程度の頻度でSBOMフォーマット規定が更新されることが想定される中で、"Telco SBOM Guide" を拙速にアップデートをすることはせず、まずは自社内や通信業界内のユーザへ丁寧に共有して利用してもらおう"
"そして、実際のユーザから実用的なフィードバックを得て、その内容を着実にフィードバックしてアップデートをしていこう"
実際のユーザから実用的なフィードバックを得るために、Telco-WG の主要メンバである Nokia や Ericsson は、"OpenChain Telco SBOM Guide" の活用を自社内で促進しています。
また Nokia は後述の "openchain-telco-sbom-validator" を作成して GitHub 上に公開をしています。
さらに Ericsson は 国際会議での講演 などを通じて、"OpenChain Telco SBOM Guide ver.1.0" の通信業界内へ紹介して利用を推進しています。
ところで、通信業界には、ITU1 、 IETF2、3GPP3、O-RAN Alliance4、Wi-Fi Alliance5、 などの様々な標準化団体や業界団体が存在しており、他の業界と比べても、通信業界は標準化や規格化を活用してきた業界と思います。
どちらも甲乙つけがたい規格や考え方が複数同時に提唱されることは、このような標準化団体や業界団体において過去に何度もありました。
自分がそこで学んだことは、現地現物で本質を見極めることが、経済的な合理性を含めて重要だということです。顧客の要求があったものの、経済的な合理性が得られずにドラフトの段階で消えていったドキュメントや、一時的な盛り上がりで標準化された文書やRFPになったにもかかわらず、すでに形骸化してしまったものをいくつか見てきました。
これらの経験を踏まえると、本件の進め方としてベターなのでは、と思います。
Telco SBOM Validator
"OpenChain Telco SBOM Guide" の内容と照らし合わせて、SBOM内容を検証する "openchain-telco-sbom-validator" が、Nokia Open Sourceチーム から GitHub へ2024年9月に公開されました。
このツールは、SBOM を本ツールへ読み込ませると、"OpenChain Telco SBOM Guide" との間に不適合部があった際に、その不適合部が抽出される仕組みとなってます。
このツールはApache 2.0 ライセンスの下で誰でも利用でき、またpip経由で簡単にインストールができます。
さらに、 "OpenChain Telco SBOM Guide" に不適合した内容のSBOMファイル例 も複数がGitHub上に公開されてますので、読み込ませるSBOMを自分で用意しなくても、GitHub上のSBOMを活用すればツールの動作をローカルで確認できます。
"OpenChain Telco SBOM Guide" と共に、この "Telco SBOM 検証ツール" もご活用いただき、何かお気づきの点がありましたら、フィードバックを Telco-WG までいただけましたら幸いです。
さいごに
この12月からマイナ保険証の仕組みが始まりました。
詳細は専門のページに譲りますが、
過去にかかったことがある複数の医療機関のシステムと、今かかろうとしている医療機関のシステムが、国民健康保険中央会6と社会保険診療報酬支払基金7という公的団体のシステムを経由して、情報を共有をするそうです。
そして、患者の本人確認と許諾を得たうえで、今かかろうとしている医療機関に患者の過去の医療情報が共有され、医療情報の共有漏れや間違いを無くす効果がある、のだそうです。
サプライチェーンがより上流に位置する複数の納品者のシステムと、今から納品しようとしている発注者のシステムが、公的な団体のシステムを経由して、SBOM情報を共有することができれば、納品者と発注者の本人確認と許諾を得たうえで、SBOM情報 が発注者へ共有できて、SBOM情報 の共有漏れや間違いを無くすことができるのでは、とこのニュースを見た瞬間に思ってしまいました。
"システム間で情報を共有する" ということは、そんなに簡単ではないのですが、現地現物で本質を見極めた結果、経済合理性も含めてメリットを十分に享受できて、ユーザに "いいね" と言ってもらえれば、"良い施策" と評価できるのではと思います。
逆もしかりです。
各業界がこのような課題を乗り越えて SBOMの導入 と SBOM情報の連携 がスムーズに進み、経済合理性も含めて、その業界が脆弱性管理の観点・ライセンス管理の観点・開発生産性向上の観点でメリットを十分に享受でき、その業界のユーザに "いいね" と言ってもらえるようになることが期待されます。
Introduction to the OpenChain Telco-WG : 2024
OpenChain Telco-WG
Within the OpenChain project, there are industry-specific work groups, which are groups of people interested in industry-specific content. One such community is the OpenChain Telco Work Group (Telco-WG).
Below is a list of the OpenChain project-sponsored meeting structure.
Telco-WG Activities
Telco-WG welcomes mailing list, zoom-based remote meetings, GitHub, and other contributions are welcome. If you are interested, please feel free to join.
ZOOM-based remote meetings are now held on the first Thursday of every month. Please check the OpenChain Calendar for updates on when they will be held.
Remote meetings will be held twice a month, in the evening and late evening Japan time (morning and afternoon Europe time) to allow as many people as possible from different time zones to participate. The evening time is convenient for participation from Japan.
OpenChain Telco SBOM Guide ver. 1.0
The biggest Telco WG topic for 2024 is that the "OpenChain Telco SBOM Guide Version 1.0" has been officially released as an official OpenChain document.
Congratulations to all of those involved in the Telco-WG.
At the June 2024 Telco-WG meeting, it was discussed to proceed as follows
"In the future, SBOM format specifications are expected to be updated about once a year, such as SPDX3.0 and CycloenDX1.6, etc. We will not update the 'Telco SBOM Guide' too quickly, but will first carefully share it with our own users and those in the telecommunications industry for their use."
"Then get practical feedback from real users and update it with continuous feedback."
As an example within the Telco-WG, Nokia and Ericsson, key members of the Telco-WG, are promoting sharing and use within their own companies, and Nokia has developed the "openchain-telco-sbom-validator" described below.
Ericsson is also promoting and explaining the 'OpenChain Telco SBOM Guide ver. 1.0' within the telecom industry, e.g. by giving Youtube video.
Incidentally, the telecommunications industry has a number of activities such as ITU1, IETF2, 3GPP3, O-RAN Alliance4, Wi-Fi Alliance5 and so on. Compared to other industries, I think the telecommunications industry is one that has taken advantage of standardisation.
It has happened some times in the past in such standardization and trade associations that several standards and ideas, both of which are difficult to agree upon, are proposed at the same time.
What I learned there is the importance of understanding the essence by directly seeing the actual situation on-site, including economic rationality. I saw some documents that died in the drafting stage for lack of economic rationality, despite customer requirements. I've also seen documents and RFPs that were standardized in a moment of enthusiasm, but have since been reduced to a formality.
In view of these experiences, I believe that this is a better way to proceed in this case.
Telco SBOM Validator
A useful tool to validate the SBOM contents against the contents of the OpenChain Telco SBOM Guide "openchain-telco-sbom-validator" has been released by the Nokia Open Source team on GitHub.
This tool is designed to extract incompatibilities between the SBOM and the "OpenChain Telco SBOM Guide" when the SBOM is loaded into the tool.
The tool is available to everyone under the Apache 2.0 licence and can be easily installed using pip.
In addition, some SBOM examples that does not conform to the "OpenChain Telco SBOM Guide" are also available on GitHub, so you can check the tool's operation locally using the SBOMs on GitHub without having to prepare the SBOM to load yourself.
We hope you will use the "Telco SBOM validation tool" as well as the "OpenChain Telco SBOM Guide" and we appreciate send your kind feedback to the Telco-WG.
Closing Remaks
In December this year in Japan, the My Number health insurance card system was introduced.
It is said that the systems of multiple medical institutions where the patient has been seen in the past and the system of the medical institution where the patient is now being seen will exchange information through the systems of the All-Japan Federation of National Helth Insurance Organanization6 and the Helth Insurance Claime Review & Reimbursement Service7, which are public organizations.
After the patient's identification and permission are obtained, the patient's past medical information will be shared with the medical institution where the patient is currently seeking medical care, which has the effect of eliminating omissions and errors in the sharing of medical information.
If the systems of multiple suppliers located further up the supply chain and the system of the ordering organization that is about to deliver a product can exchange SBOM information through the system of a nonprofit or public organization, SBOM information can be exchanged with the ordering organization after the identification and authorization of the supplier and the ordering organization, and the SBOM information can be exchanged with the ordering organization.
This may eliminate omissions and errors in sharing SBOM information.
Sharing information between systems is not simple, but if the essence is understood by directly seeing the actual situation on-site, and it results in substantial benefits, including economic rationality, receiving positive feedback from users, it can be considered a "good."
The opposite is also true.
Each industry is expected to overcome such challenges to ensure that the introduction and integration of SBOM information goes smoothly. In this way, industries can reap the full benefits in terms of vulnerability management, licence management and improved development productivity, and receive positive feedback from users within those industries.
-
Internet Engineering Task Force: インターネット技術の標準化を推進する国際的な標準化団体 / An international standards organization that promotes the standardization of Internet technologies. ↩ ↩2
-
Third Generation Partnership Project: 移動通信システムの仕様の規格策定を行う国際的な標準化団体 / An industry organization dedicated to the open and intelligent development of 5G radio access networks. ↩ ↩2
-
O-RAN Alliance: 5G無線アクセスネットワークのオープン化とインテリジェント化を目的とする業界団体 / An industry organization dedicated to the openness and intelligence of 5G radio access networks. ↩ ↩2
-
Wi-Fi Alliance: 無線LAN製品の普及促進を図ることを目的とした業界団体、この団体から認証を取得した場合に限り "Wi-Fi" のブランドを名乗れる / It is an industry organization that promotes the widespread use of wireless LAN products. The "Wi-Fi" brand name can only be used on products that have been certified by this organization. ↩ ↩2
-
公益社団法人 国民健康保険中央会 : All-Japan Federation of National Helth Insurance Organanization ↩ ↩2
-
社会保険診療報酬支払基金 : Helth Insurance Claime Review & Reimbursement Service ↩ ↩2