Copyright Cybertrust Japan Co., Ltd.公開
4
オープンソースコード使用の広がり
Open Source Code = ~90%
Libraries to Solve ProblemsOpen Source Code (~70%)
Write Custom CodeCustom Code (~10%)
Choose a FrameworkOpen Source Code (~20%)
Jim Zemlin氏基調講演@ELCE2018から
@Linux Foundation
Copyright Cybertrust Japan Co., Ltd.公開
5
業界ごとのLinuxシェア・ポジション
#1InternetClient
2ndTo WindowsIn Enterprise
90%Public CloudWorkload
100%Supercomputer
Market
82%SmartphoneMarket Share
90%MainframeCustomers
62%Embedded
Systems Market
引用元:ELCE2018でのJim Zemlin氏基調講演
@Linux Foundation
Copyright Cybertrust Japan Co., Ltd.公開
6
■ OSSの発展● 企業がビジネスとしてOSS活用を進める中で、企業
の枠を超え、多くの開発者が協力し、貢献してきた成果
■ その仕掛けがOSSライセンス● 所定の条件下で自由にソフトウェアの学習や改善
を可能にすることを目的とする
● 貢献→共有→活用→貢献のサイクルが可能
■ OSSライセンス● GNU General Public License (以下GPL)
● BSDスタイルライセンス■ Apache Software License、MIT License他
● その他多数
OSSライセンス
貢献
共有
活用
OSSライセンス
Copyright Cybertrust Japan Co., Ltd.公開
7
■ Copyleft● 著作権を保持したまま、二次的著作物も含めて、すべての者が著作物を利用・再配布・改変できなければならない、という考え方
● 改変したソースコードはすべて公開すること■ GPL*1:Strong Copyleft
■ LGPL*2:Weak Copyleft
■ 適用例● GNUプロジェクトによって、OSの一通りのソフトウェアを公開
● GPLであるLinuxはすでに27年のコミュニティ開発の成果をあげており、自由に利用可能で社会基盤にも広く浸透
GNU GPLとは
*1 GPL: General Public License*2 LGPL: Lesser General Public License
Copyright Cybertrust Japan Co., Ltd.公開
9
■ ライセンス遵守の要請● ライセンスのもとで多くのコントリビュータが実現したものであり、その枠組みを逸脱することは社会的な規範としても不適切
● ライセンス違反による訴訟リスクや、コミュニティでの評判棄損を考慮要
■ GPLライセンス遵守に絡む二極の動き● GPLの趣旨に基づき遵守を徹底しようとするGPL違反是正活動
● 金もうけのネタにするコピーライトトロール
OSSライセンス遵守
GPLライセンス
ダークサイドブライトサイド
コピーライトトロール
GPL違反是正活動
Copyright Cybertrust Japan Co., Ltd.公開
10
■ Harold WelteによるGPL違反是正活動● 訴訟によるGPL違反是正
■ Harold WelteがFantecを相手取り、被告が開示するGPLv2コードは完全ではない(対応する完全なソースコード開示義務に違反)として訴訟提起
■ Fantecは、サプライヤから受け取ったソースコードが完全であることはそのサプライヤが保証したとして反論したが、ハンブルグ地方裁判所はGPLv2ライセンス条件の違反を認定
● 近年は、GPLコンサルをビジネスとして実施することで、GPL遵守に向けた活動を展開
GPL違反是正活動https://opensource.com/law/13/7/fantec-german-foss-compliance
企業は単に第三者の声明に頼ることはできず、各企業が独自にライセンス遵守の責任を持つ
Copyright Cybertrust Japan Co., Ltd.公開
11
GPLv2ライセンス解除(GPLv3逐条解説 P239から抜粋 https://www.ipa.go.jp/files/000028320.pdf)
GPLv2 における貴社の権利は最初の違反で自動的にライセンスが解除され、その後の配付はすべて違反かつ著作権侵害になります。したがって、違反を独力で解決したとしても、その後の正しい配付でさえ侵害状態になることを解消するには、貴社がライセンス違反をした著作権者に権利回復を求める必要があります。
コピーライトトロール
■ Patrick McHardy事件● Linuxの著作権者の一人であるPatrick McHardyがGPLv2侵害をたてに使用停止命令・示談交渉をしていたことが発覚■ GPLv2でのライセンス解除条項を悪用し、法外な賠償請求
https://lwn.net/Articles/731941/
Copyright Cybertrust Japan Co., Ltd.公開
12
■ コミュニティ● GPLv2ライセンス施行は、企業がライセンスの条項に準拠することを目標にしているものであり、金もうけではない、として、LinuxコミュニティがPatrick McHardyに反発
● Linux FoundationはLinux Kernel Enforcement Statementを発表、Linuxでライセンス回復条件を緩和することに多くのカーネル技術者が賛同
■ 企業● RedHatが中心となり、Linux 以外のGPLv2についてもライセンス回復条件を緩和するメッセージ発信(Common Cure Rights Commitment)■ 日本からは、NEC、トヨタ、日立、ソニーなどが参加
コミュニティ・企業でのコピーライトトロール対策
https://www.kernel.org/doc/html/v4.17/process/kernel-enforcement-statement.html
https://japan.zdnet.com/article/35111018/
Copyright Cybertrust Japan Co., Ltd.公開
13
■ 社内製品の課題● 自社がどんな製品にどのようなOSSを使っているのかを把握し、またその際のOSSライセンスは何がOK、何がNGかを整理して社内に徹底することが必要■ 社内ガバナンスを取らないと製品やサービスがコピーライトトロールリスクに晒されしまう
■ サプライチェーン全体に渡る課題● 最終製品を顧客に提供する際に製品の中にどんなOSSが使われているのかは、社内で全行程を実施していれば社内管理で済むが、OEM・ODMで開発している場合には外部管理も必須
ユーザ側の課題
OSSコンプライアンスが極めて重要に!
Copyright Cybertrust Japan Co., Ltd.公開
15
OSSコンプライアンス動向
■ OSPO(Open Source Program Office)の設立
■ OpenChainの広がり
■ コミュニティによる支援
Copyright Cybertrust Japan Co., Ltd.公開
16
■ OSPOの設立● 企業全体のOSSガバナンス、コミュニティ貢献、OSSライセンスなどをカバーする組織
● 米国では先進企業は設立済み
■ OSPOの役割● 社内でOSSの扱いについて全体的なとりまとめ、全体方針立案、活動プロセスの整理、コミュニティ活動
整理、リーガル検討対策を行う
● また、社外的には、団体活動参加、コミュニティ活動などのまとめ
■ 活動例● 出荷物件のOSSライセンス確認、CCLA取りまとめ、GitHub Repo整理など、社内活動まとめ
● 団体活動について、社内コンセンサス取りまとめ
● コミュニティの選択、参画、終了などを全社レベルで調整、把握
OSPOについて
Copyright Cybertrust Japan Co., Ltd.公開
17
■ 設立目的● ISO9000のようなサプライチェーン全体にわたってオープンソースのコンプライアンスを実現するための業界標準を策定
■ OpenChain仕様● サプライチェーンにおける信用構築のため、オープンソース品質コンプライアンスプログラムの重要要件を定義
■ 状況● 国内ベンダーでは、日立、トヨタ、東芝等参加
■ 日立は日本初の第三者認証取得済み
■ 日本語コミュニティも定常的に活動● https://wiki.linuxfoundation.org/openchain/openchain-japanese-working-group
OpenChain
Copyright Cybertrust Japan Co., Ltd.公開
18
■ コミュニティ活動● TODOグループ(https://todogroup.org/)
■ Linux Foundation配下のプロジェクトで、オープンソースプロジェクトやプログラムを実行する知識や経験を共有し、改善を支援するために設立
■ 先進企業の取り組みを集め、ガイドを作成● Linux Foundationから日本語訳公開 「企業のためのオープンソースガイド」
■ https://www.linuxfoundation.jp/resources/open-source-guides/
■ コンプライアンスのためのドキュメント● 「Open Source Compliance in the Enterprise」 第2版
■ オープンソース管理プログラムの作成方法の紹介、関連する役割と責任、一般的なコンプライアンスツールとプロセスの概要など、オープンソースコンプライアンスのプロセスを紹介● https://www.linuxfoundation.jp/blog/2018/12/new-ebook-offers-comprehensive-
guide-to-open-source-compliance/
コミュニティによる支援
Copyright Cybertrust Japan Co., Ltd.公開
19
企業のためのオープンソースガイド (1/4)
オープンソースプログラムの運用 組織におけるオープンソースプロジェクトの管理
https://www.linuxfoundation.jp/resources/open-source-guides/
Copyright Cybertrust Japan Co., Ltd.公開
20
■ コンプライアンス利用プロセス1. ソースコードスキャン
2. 特定・解決
3. 法務レビュー
4. アーキテクチャレビュー
5. 最終レビュー
企業のためのオープンソースガイド (2/4) オープンソースコードの利用
https://www.linuxfoundation.jp/resources/open-source-guides/using-open-source-code/
1 2 3 4 5
Copyright Cybertrust Japan Co., Ltd.公開
21
■ 製品出荷後のインクリメンタルコンプライアンスがなぜ必要か● 新しいソフトウェアコンポーネントが導入されている可能性がある
● 既存のソフトウェアコンポーネントの使用が中止されている可能性がある
● 既存のソフトウェアコンポーネントが新しいバージョンにアップグレードされている可能性がある
● ソフトウェアコンポーネントのライセンスがバージョン間で変更されている可能性がある
● 既存のソフトウェアコンポーネントで、バグ修正や機能/アーキテクチャの変更に伴うコード変更が行われている可能性がある
企業のためのオープンソースガイド (3/4) オープンソースコードの利用
https://www.linuxfoundation.jp/resources/open-source-guides/using-open-source-code/
Copyright Cybertrust Japan Co., Ltd.公開
22
■ OSS利用に向けて推奨される取り組み トップ101. プロジェクトのコミュニティから鍵となる開発者やメンテナーを雇い入れる
2. アップストリーム貢献に時間を割く
3. 指導プログラムを作る
4. オープンソースのキャリアパスを正式なものとする
5. トレーニングを提供する
6. オープンソース イベントに参加する
7. 柔軟なITインフラを用意する
8. 開発者のコード貢献を追跡して調べる
9. 大きな効果のあるフォーカス域を特定する
10. 企業内の協業を育てる
企業のためのオープンソースガイド (4/4) オープンソース開発の効率を高める
https://www.linuxfoundation.jp/resources/open-source-guides/improving-your-open-source-development-impact/
Copyright Cybertrust Japan Co., Ltd.公開
24
■ OSSの広がりを支えてきたOSSライセンスだが、その仕組みを徹底しようという動き(Welte)と、それを悪用してトロール活動する動き(McHardy)の両面があります
■ コミュニティの趣旨に反するライセンストロールに対しては、コミュニティからは
Kernel Enforcement Statementや、RedHatの動きなど正常化に向け努力がされています
■ 一方で、ユーザも、OSSの趣旨にかんがみ、OSSを正しく利用し、OSSの発展に寄与することが求められています
■ ユーザのライセンスコンプライアンスに向けたOSPO、OpenChain、コミュニティ支援などの動きをご紹介しました
まとめ
Copyright Cybertrust Japan Co., Ltd.公開
26
信頼とともに
留意事項
本資料に記載されている会社名、製品名、サービス名は、当社または各社、各団体の商標もしくは登録商標です。その他本資料に記載されているイラスト・ロゴ・写真・動画・ソフトウェア等は、当社または第三者が有する知的財産権やその他の権利により守られております。お客様は、当社が著作権を有するコンテンツについて、特に定めた場合を除き、複製、改変、頒布などをすることはできません。
本資料に記載されている情報は予告なしに変更されることがあります。また、時間の経過などにより記載内容が不正確となる場合がありますが、当社は、当該情報を更新する義務を負うものではありません。