*Please scroll down for the English Summary.
こんにちは!
2回目の登場の遠藤です。
本日からセキュリティ・ツールWeekです!
本日から「セキュリティ・ツールWeek」と称して7日間、OpenChainのセキュリティ関連の取組の紹介や、
OSSコンプラのツール関係トピックを取り上げていきます。
OpenChainは元々、ライセンスコンプライアンスにフォーカスを当てたプロジェクトですが、
サプライチェーン内でのソフトウエア透過性の向上や自社が使用しているOSSの見える化などの課題は
セキュリティ対応の課題と共通することから、セキュリティ関連の取組も拡大してきています。
事例集策定の経緯と内容について
本日は、2021年4月21日に経済産業省からリリースされた
「オープンソースソフトウェアの利活用及びそのセキュリティ確保に向けた管理手法に関する事例集」について紹介させてください。
この事例集はサイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理手法等検討タスクフォースによってリリースされたもので、企業におけるOSS管理の参考にして頂くために、様々な企業の取組事例が紹介されています。
このタスクフォースはソフトウエアの透過性を担保(自社の使っているソフトの中身を明確化)するために
SBOM(ソフトウエア部品表)に着目し、企業がSBOMを適切に取りまわすことを支援する活動を行っています。
これはライセンスコンプライアンスと共通の課題のため、セキュリティに関する事例集ではありますが、OpenChainやSPDXに関する記載も多くみられます。
ソニーや日立製作所などOpenChainのプラチナメンバーの事例の他、デンソー、NTT、サイボウズなど様々な会社の事例が紹介されています。
私も微力ながらこの事例集の作成に協力させて頂いた関係で、Linux Foundationからインタビューを受けました。
出典:https://www.meti.go.jp/press/2021/04/20210421001/20210421001.html
その後の展開
この事例集は秋に英語版もリリースされ、
これからも事例がどんどん追加されていく予定ですので、
他社のOSS管理の状況を知りたいという方は是非是非チェックしてみてください!!
出典:https://www.meti.go.jp/press/2021/04/20210421001/20210421001-1.pdf
English Summary
Hi! I’m Masato ENDO.
From today, “Security and Tool week” is started.
OpenChain focuses on open source license compliance at first.
Because issues are similar to license compliance, OpenChain activities are expanding to security related activities also.
In this April, Ministry of Economy, Trade and Industry in Japan released “Collection of Use Case Examples Regarding Management Methods for Utilizing Open Source Software and Ensuring Its Security”
This document show 15 companies’ OSS management practices. And, many companies mentioned to OpenChain and SPDX.
Because I also supported this document, I took an interview from The Linux Foundation.
Please check it!