Open Compliance Summit 2023参加報告
Open Compliance Summit とは
Open Compliance Summitとは、The Linux Foundation[1]が主催するイベントの1つで、オープンソースのライセンスコンプライアンスやサプライチェーンセキュリティについて議論します。年に1回開催され、例年Open Source Summit Japan[2]と同時期に日本で開催されています。OpenChain Project[3]やSPDX[4]のメンバーを中心に、オープンソースに携わる開発者やコミュニティリーダーが参加し、基調講演やセッションが行なわれます。イベントは、チャタムハウスルールの元で進行されます。
OpenChain Projectとは
OpenChain Projectとは、オープンソースの一貫したサプライチェーンを提供するために、ライセンスコンプライアンスやセキュリティ保証のための規格を策定し、自動化のためのプラクティスを提供する、The Linux Foundation傘下のプロジェクトです。
サイバートラストのメンバーもOpenChain Projectの日本コミュニティ[5]に参加しています。
OpenChain Projectには、以下のような規格があります。
- ISO/IEC 5230:オープンソースコンプライアンスに関する国際規格
- ISO/IEC 5962:SBOM(Software Bill of Material)のSPDXフォーマットに関する国際規格
- ISO/IEC 18974:オープンソースセキュリティに関する国際規格
チャタムハウスルールとは
チャタムハウスルールとは、参加者は受け取った情報については自由に利用できるが、誰が発言したか、また、誰がその場にいたかの情報については明かされないというルールです。信頼のおける環境を構築し、オープンな議論を促進するために設けられています。[6]
Open Compliance Summit 2023
主なトピックスは以下です。
1. 規格の活用事例
-
AI利用におけるコンプライアンス規格の活用
-
知的財産情報管理のための規格ISO/IEC 5230活用
-
ソフトウェアサプライチェーンセキュリティのための自社ガイドラインの紹介
2. SBOMやOSSツール活用の事例
-
SBOMを活用したサプライチェーンコンプライアンス・セキュリティの強化
-
中国市場のSCAツールやSBOM活用の紹介
3. コミュニティ活動や現状の紹介
4. 規格紹介
-
SPDX 仕様の今後について(SPDX 3.0/ 3.1)
クラウドから車載まで様々な業界から企業が参加し、現状の課題や活用事例を共有しました。現在では、多くの企業が規格の認定を受け、社内で活用しているようです。
残念ながら、動画での配信はありませんが、いくつかのセッションには資料が添付されています。是非プログラムページをご確認ください。
https://events.linuxfoundation.org/open-compliance-summit/program/schedule/
現地参加してみて
アジアの企業から多くの方が現地参加されていることが印象的でした。OpenChain Projectは、アジアでは日本のコミュニティだけでなく、韓国や台湾、中国にもローカルコミュニティが存在します。オープンソースのコンプライアンスやセキュリティについて、サプライチェーン全体を改善するためにも、今後はアジアのコミュニティとしてコラボレーションすることが期待されていると感じました。
おわりに
企業でライセンスコンプライアンスやセキュリティに取り組む上で、具体的な規格を活用したり、SBOMを活用したりして日本国内の他社の取り組みや、海外の企業の取り組みを学ぶことができたのは大変良い機会でした。次回も日本で開催されるかは現時点では公開されていませんが(2023年12月時点)、今回参加できなかった方は是非次回参加してみてください。
また、Open Source SummitについてもOSSセキュリティBLOGにレポートを公開しているので是非ご覧ください。
OpenSSF Day Japan / Open Source Summit Japan 2023 が開催されました!
参考情報
[1]:https://www.linuxfoundation.jp/
[2]:https://events.linuxfoundation.org/open-source-summit-japan/
[3]:https://www.openchainproject.org/
[4]:https://spdx.dev/
[5]:https://openchain-project.github.io/OpenChain-JWG/
[6]:https://www.chathamhouse.org/about-us/chatham-house-rule
[7]:https://openchain-project.github.io/OpenChain-TWG/
[8]:https://openchain-project.github.io/OpenChain-KWG/