11st Meeting
Online Meeting, September 2021
Schedule
- Schedule: 2021-09-30 (Thu) 2:00~4:00 PM
- How to join
- Zoom (Please refer to the e-mail for the access address)
Agenda
소그룹 모임 주제
- 자기 소개 (하는 일, 최근 주요 관심사)
- 오픈소스 컴플라이언스 활동 이력 관리 방법 Best Practice 공유 (개발자와 이메일로 소통? Jira 등 도구 활용?)
Attendees
- ETRI
- 현대자동차
- 현대오토에버
- 현대모비스
- 카카오
- LG전자
- 라인플러스
- 엔씨소프트
- 삼성전자
- SK텔레콤
- Linux Foundation
Video
OpenChain Update
OpenChain KWG Update
오픈소스 라이선스 변화의 흐름
최근 주요 동향
Minutes
OpenChain Update (Shane Coughlan / Linux Foundation)
- SK Telecom OpenChain ISO 인증 획득, Telecommunication 업계 중 최초
- Global Case Study: 10월~12월 내 운영 중 [https://www.openchainproject.org/featured/2021/09/22/automation-case-study]
- 주제: Open Source Compliance Automation and Interoperability
- SPDX Specification 2.2.1 버전이 ISO 등재되었음 [https://www.iso.org/standard/81870.html]
- OpenChain Security Assurance Guide 준비 중
- OpenChain Supplier Education Pack 배포
OpenChain KWG Update (장학성/SK텔레콤)
- KWG 멤버 조건에 “기업/기관"으로 변경
- 삼성전자 & SK Telecom OpenChain ISO 인증 획득
- Tooling Subgorup에서 OSS Based Compliance Tooling Group에서 소개된 오픈소스 도구들에 대해 소개 예정
- OpenChain KWG Charter
- 거버넌스 문서화 진행 중
- 초안을 작성하고 있으나 많은 분들의 의견이 필요합니다.
- Blog Update : [https://openchain-project.github.io/OpenChain-KWG/blog/]
- SK 텔레콤 개발자 소통 커뮤니티 DEVOCEON 론칭 뉴스
- LG전자의 Fosslight 공개 뉴스
- 카카오의 OLIVE 출시 뉴스
- GPL v2.0의 설치 정보 요구 건에 대한 뉴스
오픈소스 라이선스 변화의 흐름 (Sean(김영환)/카카오)
- 라이선스 변경 이력
- 2018년 10월, MongoDB : AGPL 3.0 → SSPL 1.0
- 2019년 11월, Sentry : BSD 3-Clause → BUSL 1.1
- 2021년 1월, ElasticSearch : Apache 2.0 → EL 2.0 or SSPL 1.0
- 2021년 4월, Grafana : Apache 2.0 → AGPL 3.0
- Grafana : Apache 2.0 → AGPL 3.0
- 변경 목적은 오픈소스 커뮤니티의 자유를 유지하면서, 오픈소스를 수정한 경우 기여 문화를 장려하기 위함
- AGPL 특징
- 네트워크로 서비스하더라도 소스코드 공개 필요
- GPL 소프트웨어를 사용해서 SaaS로 서비스를 제공하면 공개 의무 없으나, AGPL은 소스코드 공개 의무 발생
- Grafana 사용 가이드
- Apache 2.0 적용 버전은 사용해도 이슈 없고, AGPL 3.0이 적용된 버전부터 사용 시 코드 공개 의무 있음
- MongoDB : AGPL 3.0 → SSPL 1.0
- 변경 목적은 AGPL은 클라우드에서 제공이 배포인지, 아닌지에 대한 논란의 소지가 있어서 명확하게 라이선스를 SSPL로 변경한 것
- 클라우드 서비스 업체가 커뮤니티에 기여하지 않고 대부분의 이익을 창출하고 있다고 비판
- 클라우드 서비스에서 Strip-Mining을 하고 있다고 비판함 (Strip Mining: 산이라는 생태계는 파괴하고 필요한 자원만 캐는 행위)
- SSPL v1.0 특징
- 클라우드 서비스의 경우에 대해서도 소스코드 공개 의무사항을 요구 (13조항)
- 서비스 소스코드: 프로그램 및 관리 소프트웨어 (API, 모니터링, 백업, 저장 S/W 등)
- MongoDB 사용 가이드
- MongoDB를 외부에 서비스로 제공하는 경우, 서비스 소스코드를 전부 공개해야 함
- ElasticSearch : Apache 2.0 → Elastic License 또는 SSPL 1.0
- 변경 목적은 MongoDB와 사례와 동일
- Elastic License 2.0 특징
- 거의 모든 자유를 허용하지만 아래 2가지 제한사항만 있음
- 호스팅 등의 서비스로 제 3자에게 제공할 수 없음
- S/W 라이선스키에 대한 변경 및 라이선스키로 보호되는 S/W 기능 변경 금지
- ElasticSearch v7.10까지는 Apache 2.0 적용, v7.11 이후부터는 SSPL 1.0 또는 EL 2.0 적용
- Elastic Search 사용 가이드
- 7.11 이후부터 ElasticSearch를 외부에 서비스하는 경우 적용된 라이선스에 따라 서비스 소스코드를 전부 공개하거나 Elastic과 계약 필요함
- X-pack 디렉토리 하위는 Elastic 라이선스 적용
- Sentry : BSD 3-Clause → BUSL 1.1
- 변경 목적은 Sentry 초기 개발 때 1인 개발로 시작했으나, 프로젝트가 커지면서 수익 창출이 필요했고 Sentry를 판매하는 다른 회사로부터 보호하기 위해 라이선스 변경
- BUSL 1.1 특징
- 2016년 MariaDB에 적용된 라이선스
- 사용자는 소스코드를 수정하고 컴파일 가능
- 상용 서비스 목적으로 사용을 금지하며, 배포 후 특정 시점이 지나면 Apache License 2.0으로 변경됨
- Sentry 사용 가이드
- 9.1.2 버전까지는 BSD가 적용되며 상용 서비스에 사용 가능함
- 10.0.0 버전부터는 BUSL가 적용되며 상용 서비스에 사용 불가, 3년 지난 후부터 상용 서비스 가능
- 최근 AWS와 오픈소스 프로젝트들의 협력 사례들
- Amazon Managed Grafana 정식 출시
- Grafana Labs와 협력을 통해 개발 진행
- Amazon OpenSearch Service 정식 출시
- Elastic Search의 Apache 버전을 포크하여 OpenSearch 작업
- Shared Source Software 등장
- 지적재산권은 보호하면서, 소스코드는 제공하는 소프트웨어
- 클라우드 등 상용 서비스로 제공 금지
삼성전자 오픈소스 정책 및 프로세스 현황 소개 (정윤환/삼성전자)
- 정책의 필요성
- 오픈소스 사용 정책은 2009년 BusyBox 사건으로 인해 오픈소스 소프트웨어 사용에 대한 정책의 중요성이 대두되었음
- 오픈소스 기여 정책은 2011년 Tizen 오픈소스를 출범하면서 기여에 대한 정책이 필요해짐
- 오픈소스 서비스(사이트, 검증도구) 구축
- 2018년 이전
- 사내: Protex, BSI, AVAS 등의 검증 도구 사용, 사업부 별로 관리 시스템 별도 구축
- 사외: OSRC, GitHub
- 2021년 현재
- 사내: 오픈소스포털(SOSHUB) 구축
- 검증도구, 사업부별 관리 시스템, 오픈소스 정책 통합
- 오픈소스 프로세스 자동화
- 오픈소스 DB 구축
- 오픈소스 검증체계 강화: 사전/실시간 검증 추가
- 사외: SamSung Open Soure 구축
최근 주요 동향 (Robin(황민호)/카카오)
- 미 정부의 SBOM 의무화
- 미국에서 최근 대형 보안 사고가 있었음 (SolarWinds 사태, Exchange 사태, Colonial PiPeline 사태)
- 지난 5월 행정명령을 통해 SBOM 위상을 격상하였음
- 주요 내용 중 오픈소스와 관련된 부분은 “소프트웨어 공급망을 개선"해야 한다는 내용이 있었음
- 관련하여 Supplier Name, Component Name 등 SBOM 최소 필수 요소를 지정하였음
- GitHub Copilot 오픈소스 라이선스 논쟁
- Copilot은 GitHub에서 내놓은 서비스이며, AI 머신 러닝 기술을 이용해 코드를 자동 완성해주는 기능
- Sentry의 한 개발자는 GiGhub에 있는 본인의 GPL 코드가 AI 학습에 포함되었음을 영상으로 제작하여 공개함
- Copilot이 저작권 침해를 저지르고 있는가? 라는 논쟁이 있었으나 GitHub 측에서는 GitHub에 공개된 코드는 트레이닝(학습)에 쓰여질 수 있고, 라이선스 타입을 구분하지 않는다고 답변하였음
- Fossa의 법적 해석에 따르면, 사용자는 Copilot이 제안하는 코드를 참고만 하고 그대로 사용하지 않는 것이 좋다는 의견
Photo Gallery
OpenChain News
Feedback
Was this page helpful?
Glad to hear it! Please tell us how we can improve.
Sorry to hear that. Please tell us how we can improve.