こんにちは!
知財系 もっと Advent Calendar 2021の8日目は、
昨年に続いての登場のENDOです。
2日連続名古屋からの発信ですね♪
#自己紹介と本日のテーマについて
今年も本業は新サービスの企画やシステム開発のマネジメントでしたが、
引き続きソフトウエアプロジェクトの98%が使用しているというオープンソースソフトウエア(OSS)周りの知財関連活動にも取り組み、
昨年の記事で紹介したLinux FoundationのOpenChainプロジェクトにおける標準化や
オープンソースの啓発活動の他、日本知的財産協会の講習会の講師やパネラー、[知財管理誌への寄稿]
(http://www.jipa.or.jp/kikansi/chizaikanri/mokuji/mokuji2111.html)などを行いました。
そこで、本日は今年のOSSライセンスコンプライアンス(OSSに付与されているライセンスを遵守するための活動、詳しくは昨年の記事ご参照)に関する主要ニュースをピックアップしてご紹介します。
ここではそれぞれのニュースを極々簡単にご紹介しますが、
OpenChain Japan Advent Calendar 2021では専門家が、
各ニュースをより詳細に解説していく予定ですので、知財系Advent Calendar共々よろしくお願いします!
では、早速やっていきましょう!
#経産省「オープンソースソフトウェアの利活用及びそのセキュリティ確保に向けた管理手法に関する事例集」
https://www.meti.go.jp/press/2021/04/20210421001/20210421001.html
この事例集はサイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理手法等検討タスクフォースによって4月にリリースされたもので、
企業におけるOSS管理の参考にして頂くために、ソニーやNTT、デンソー等様々な企業の取組事例が紹介されています。
ここで注目すべきはOpenChainやSPDXなどライセンスコンプライアンス関係のプロジェクトに関する記載が多いことです。
これは、ライセンスの管理もセキュリティの管理も、ソフトウエア透過性(自分たちが使っているソフトウエアを特定すること)が重要になってきており、
そのような文脈でライセンス・セキュリティの業務がオーバーラップしてきていることを明示しています。
私も微力ながらこの事例集の作成に協力させて頂いた関係で、Linux Foundationからインタビューを受けました。
出典:https://www.meti.go.jp/press/2021/04/20210421001/20210421001-1.pdf
#米国「国家のサイバーセキュリティ改善に関する大統領令」
https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/
5月12日にバイデン大統領が署名した標記の大統領令ですが、これもセキュリティ関係のニュースながらOSSコンプラ界隈で注目を浴びました。
大統領令の中の「ソフトウェアのサプライチェーンセキュリティの強化」の中で「購入者へのSBOMの提供」が要求されたからです。
SBOMとはSoftware Bill of Material(ソフトウエアの部品表)を指し、製品に組み込まれているソフトウエアのリストのことを指します。
このSBOMはライセンスコンプライアンスを効率化する上でも非常に重要なもので、
特にサプライチェーンの中での情報共有のためにはとても有用なものです。
Linux FoundationでもSPDXというSBOMのフォーマットを提案しており、この大統領令はSBOM普及のための追い風になると言われています。
#SPDX仕様が「ISO/IEC 5962:2021」に
https://www.linuxfoundation.org/featured/spdx-becomes-internationally-recognized-standard-for-software-bill-of-materials/
大統領令でSBOMが脚光を浴びる中、9月にSPDX仕様2.2がISO/IEC 5962:2021国際規格化されました。
このISO/IEC 5962:2021にはOpenChain Japan WGにて策定したエクセルで管理可能な簡易バージョンであるSPDX Liteもプロファイルの一つとして登録されています。
これにより、皆が同じフォーマットを使うことで組織間のソフトウエア情報の共有が効率化し、ライセンスコンプライアンスも楽になることが期待されます。
SBOMのフォーマットにはSPDXの他にも、SWID(ISO/IEC 19770-2:2015)やCycloneDXといったものが存在します。
出典:https://www.iso.org/standard/81870.html!
#東京都オープン・ソース・ソフトウエア公開ガイドライン
https://github.com/Tokyo-Metro-Gov/tokyo-oss-guideline
オープンソースの世界は利用と貢献が車輪の両輪のようになっており、より戦略にOSSを活用するためには組織としても貢献を加速するための取組が必要であり、そのような活動を行う社内組織OSPO(Open Source Program Office)の設置が欧米中企業中心に進んでいますが、日本は道半ばという状況です。
そんな中、10月下旬に東京都が「東京都新型コロナウイルス対策サイト」の経験を活かして、貢献のためのガイドラインを公開しました。
公開の背景や意義についてはcode for Japan関さんのnote記事をご参照ください。
本件については、私も微力ながら公開前にβ版の編集にご協力させて頂きました。
今年は東京パラリンピックにもField Castとして参加させて頂き、地元東京のために少しでも貢献できたことは良い思い出になりました。
出典:https://github.com/Tokyo-Metro-Gov/tokyo-oss-guideline/blob/main/README.md
#TRUTH Socialに関するSFCの指摘
https://sfconservancy.org/blog/2021/oct/21/trump-group-agplv3/
これも10月下旬の出来事です。Software Freedom ConservancyのBradley KuhnさんがTrump Media and Technology Groupが立ち上げたソーシャルメディア「TRUTH Social」が「Mastodon」のライセンスAGPLv3に違反するのではないかと指摘するブログを投稿し、世界的な話題となりました。
本記事投稿時点でそれ以上の情報はなく、事実関係やその後の展開は不明です。
とこんなところでしょうか。
来年も何かしら発信させて頂ければと思います。
少し早いですが、メリークリスマス!良いお年を!