原文:https://elixir-lang.org/blog/2025/02/26/elixir-openchain-certification/
(監訳: 山崎 進 @zacky1972 )
この度、Elixirプロジェクトは、オープンソースライセンスコンプライアンスの国際標準であるOpenChain(ISO/IEC 5230)に準拠したことを嬉しく思います。これは、サプライチェーンとサイバーセキュリティのベストプラクティスに関する業界標準を満たすための幅広い取り組みと合致するものです。
「Elixirの準拠に関する本日の発表は、コミュニティの成熟を示すもう一つの重要な例です。」とOpenChainのゼネラルマネージャーであるShane Coughlan氏は述べます。「最終的な上流であるプロジェクトが、コンプライアンスとセキュリティのためにISO標準を使用する頻度が高まっており、サプライチェーンの信頼性を長期的に向上させる方向にシフトしています。」
OpenChainコンプライアンスが役立つ理由
OpenChain (ISO/IEC 5230)に従うことで、ライセンスコンプライアンスに関する明確な道筋を示すことができます。これは商用ユーザー、コミュニティユーザー共にメリットがあり、Elixirをより簡単に採用し、自信を持って統合することができます。
Elixirユーザのための変更
Elixirには、成果物が署名される自動化されたリリースプロセスがあります。今回の変更により、このプロセスは以下のように強化されます:
- 今後のすべてのElixirリリースには、CycloneDX 1.6以降およびSPDX 2.3以降の形式のソースSBoMが含まれる。
- 各リリースは、Source SBoMとともに認証されます。
これらの追加により、各リリースのコンポーネントとライセンスの透明性が高まり、より厳格なサプライチェーン要件がサポートされます。
貢献者のための変更
Elixirへのコントリビューションはこれまでとほとんど変わりませんが、より明確なガイドラインが追加されました:
- 寄稿はApache-2.0ライセンスのままです。他のライセンスは受け付けられません。
- プロジェクトはDeveloper Certificate of Origin (DCO)を実施し、コントリビューションの所有権を明確にしました。
ライセンスに関する標準的な慣行はそのまま維持されるため、貢献者は手続き上の変更が最小限であることに気付くでしょう。
詳細はコントリビュートガイドラインをご覧ください。
誓約
これらのアップデートはErlangエコシステムファウンデーションと協力して行われ、堅牢なコンプライアンスと安全な開発プラクティスへの共通のコミットメントを反映しています。このマイルストーンをサポートしてくれた皆さんに感謝します。私たちはコミュニティの継続的な貢献に感謝し、この確立されたガイドラインのもとでElixirが成長し続けることを楽しみにしています。