2022

• 1: 13th Meeting
• 2: 14th Meeting
• 3: 15th Meeting
• 4: 16th Meeting

1 - 13th Meeting

일정

• 일정: 2022-03-16 (수) 오후2시~4시
• 장소: Zoom (접속 방법은 별도 메일 공지)

Agenda

Video

OpenChain Update

OpenChain KWG Update

오픈소스 최신 동향

카카오와 카카오뱅크의 ISO/IEC 5230 인증 사례 공유

현대모비스 오픈소스 관리체계 및 현안

오픈소스 라이선스 사전/실시간 검증도구 오픈소스화 추진계획

Minutes

OpenChain Update (Shane Coughlan / Linux Foundation)

1. OpenChain ISO/IEC 5230 Conformance 신규 인증 기업
   • BlackBerry
   • SAP
2. OpenChain Governing Board 신규 가입 기업
   • NEC
   • Block
3. 오픈소스 보안 취약점에 대한 표준안 제정
   • Security Specification Draft 버전 작성
   • 글로벌 커뮤니티에서 다양한 시각으로 피드백 요청
4. OpenChain 커뮤니티 활성화 방안 모색
   • 한국, 일본 OpenChain 커뮤니티처럼 유럽의 커뮤니티도 활성화될 수 있도록 방안이 모색되어야 함

OpenChain KWG Update (장학성 / SK Telecom)

1. Planning Group 22년 1분기 모임 진행
   • Agenda
     • 1분기 KWG 모임 준비
     • 2022년 Linux Foundation 지원 예산 활용 방안
2. Tooling Group 1st 모임 진행
   • Agenda
     • SCANOSS 소개
     • 사전검증/실시간검증도구 소개
3. 새해 선물 from 현대 모비스 (Thanks to 전미진님,이영준님 :) )
4. OpenChain 국제 표준 인증 획득
   • 카카오
   • 카카오뱅크
5. OpenChain KWG Charter 초안 작성
   • 주요 내용으로는 Membership, Organization, 선거 등의 내용으로 정관 문서 작성 중
   • 2분기 모임에서 확정 후 시행 예정
   • https://openchain-project.github.io/OpenChain-KWG/about/charter/
6. Blog Update
   • 상용 AI 서비스에 공개 Dataset을 사용해도 되나요?

오픈소스 최신 동향 (Robin(황민호) / Kakao)

1. 러시아의 우크라이나 침공을 대하는 오픈소스 생태계
   • 최근 글로벌 IT 업계 흐름
     • 아마존, MS, 구글, 오라클 등 글로벌 IT 기업들이 러시아 보이콧에 합류하고 있음
     • 러시아는 IT기업들이 보이콧을 하자 불법복제 SW를 합법화를 추진하였다고 보도함
   • 오픈소스 생태계에서의 흐름
     1. OpenBLAS는 러시아산 프로세서 지원을 제거하겠다고 함
        • 관련 GitHub 이슈 링크: https://github.com/xianyi/OpenBLAS/issues/3551
        • 하지만, 커뮤니티 상에서 이슈가 제기된 것이고 실제 지원을 제거하는 계획은 없는 것으로 확인됨
     2. GitHub 공개 피드백 토론
        • GitHub은 러시아 개발자 접근을 제한해야 한다는 공개 토론이 열렸음
        • 러시아의 GitHub 사용자들을 제재하는 것은 올바른 방법은 아니라는 부정적 의견이 대부분이었음
        • GitHub 담당자가 GitHub 정책에 대해 토론 후 종료시킴
        • 참고) 2019년 미-중 무역 전쟁 중에도 GitHub이 무역제재 대상 국가의 접속을 차단하자 중국은 자체적으로 Gitee 라는 사이트를 구축하였음
     3. Scarf 러시아 오픈소스 패키지 엑세스 제한
        • 오픈소스 패키지 배포 제한을 두는 방식으로 보이콧을 표현하였고, 타 패키지 매니저도 참여하기를 희망함
     4. Libreplanet 토론
        • 러시아에 우리 소프트웨어 access를 제한해야 하는가 라는 토론이 있었고, 리차드 스톨만은 FSF의 4가지 자유에 의해 프로그램 실행의 자유를 제한해서는 안된다고 주장함
        • 리차드 스톨만과 다른 입장을 가진 여러 의견도 등장하였음
     5. MeetingBar 오픈소스 프로젝트의 기금 마련 운동
        • MacOS 메뉴바 오픈소스 라이브러리인 MeetingBar 프로젝트에서 우크라이나 군대를 위한 기금 마련 운동 참여

카카오와 카카오뱅크의 ISO/IEC 5230 인증사례 공유 (Violet(황은경) / Kakao, Arlo(하헌관), May(이민애) / KakaoBank)

1. 카카오의 인증사례

   • OpenChain Study
     • 2019년부터 스터디는 시작하였고, OpenChain 2.1이 발간된 후부터 본격적으로 스터디 시작
   • 이슈 할당
     • 각 Spec 항목별로 Jira 이슈를 할당하였음
     • 기존 정책을 보완해야 할 점들을 정리하였음
   • 프로젝트 홀딩
     • OpenChain Specification은 각 항목이 연결되어 있는데, 각 항목별로 담당자를 지정한 것이 문제였음
     • 전체 스펙에서 필요한 것들을 리스트업하고 주제 별로 일을 나누었어야 함
   • OpenChain 인증 자료 정리
     • https://haksungjang.github.io/docs/governance_iso5230/를 참고하여 정책 문구나 프로세스를 정리할 수 있었음
     • 보완이 필요한 내용을 따로 정리해서 논의 (OSRB 구성, 문서화된 절차 등)
   • 정책 및 프로세스 정리
     • SKT의 자료를 참고하여 Kakao의 내부 규정에 맞게 변경하였음
   • OpenChain KWG Conformance Group 리뷰
     • Self Certification 순서대로 내용을 설명하면서 Q&A 진행
     • 주요 Q&A
       • 책임자가 의사결정자로 지정해야 하는가? 조직의 내부 상황에 맞게 지정하면 됨
       • 보안취약점 도구 구축이 필수는 아닌 것 같은데 책임과 역할을 어떻게 정리해야 하는가? ISO 인증 기준에 보안과 관련해 정해진 내용은 없음
       • 오픈소스 전사 가이드를 Wiki에 정리하였는데, 그 외 경로도 필요한지? 구성원이 1년에 한 번 정도는 반드시 열어보게 하는 절차가 있으면 좋을 것임
       • 오픈소스 교육 평가 데이터가 인증서에 필요한가? 자료를 요구하는 경우는 거의 ㅇ벗기도 하지만, 평가 후 기준에 도달하도록 해야 함
       • OSPO는 교육 과정이 따로 필요한가? 필수로 요구되지는 않음
   • OpenChain 인증
     • Self Certification 체크 후 OpenChain General Manager인 Shane에게 인증을 알리고 어나운스 해달라는 메일 발송
     • Shane에게 로고와 인용문을 전달
     • PR 담당자와 보도자료 준비하는 과정이 필요하고, OpenChain 웹사이트에 등록할 영문 인용문을 준비해야 함

2. 카카오뱅크의 인증사례

   • 오픈소스 도구 검토
     • FOSSID 검토 및 오픈
   • 오픈소스 컴플라이언스 프로세스 마련
     • FOSSID API를 활용하여 자동화
     • 고지문 발급 자동화
     • 고지문 웹/앱 테스트 환경
   • 오픈소스 조직, 정책, 교육 준비
     • NCSOFT의 OpenChain 인증 사례 발표를 본 후 작년 11월 중순부터 OpenChain 준비
     • Specification의 조직, 정책, 도구, 교육, 프로세스에 대한 항목을 나열하고, 요구사항 충족을 위한 준비
     • 법무 및 보안팀, 기술 전략팀 담당자들과 협의하여 조직 셋업
     • Wiki에 프로세스나 가이드 공개
   • KWG 리뷰 및 PR팀 협의, 기타 인터뷰
     • OpenChain KWG 그룹 리뷰 후 PR팀과 협의하여 인증 선언
     • 이후 카카오 내 DevCon에서 발표와 인터뷰도 진행하였음
   • Lessons Learned
     • 잘한점: KWG 그룹에 참여하여 빠른 인증 준비가 가능했고, 자동화 환경을 잘 구축하였음
     • 아쉬운점: 사내 교육 시스템이 없어서 직접 교육자료를 만들어서 세미나 형태로 개발자 교육을 했었는데 체계화된 교육이 필요하고, 금융업이다 보니 기여나 공개에 소극적이었음
     • 인증 이후 반응: 국제표준을 획득함으로써 신뢰도가 높아지고 인터뷰를 진행하면서 오픈소스 컴플라이언스에 대해 홍보가 되었음
     • 계획: Olive CLI 도입 및 망분리 금융망 도입

현대모비스 오픈소스 관리 체계 및 현안 (전미진 / 현대모비스)

1. History
   • 2012년에 타 용도로 구축된 서버로 오픈소스 관리를 2018년까지 하고 있었음
   • 2018년까지는 오픈소스 관리, 규정 개정과 보고 정도만 진행하고 있었음
   • 2019년에 OpenSource Summit을 참여한 후 오픈소스 관리 업무를 확장하게 되었음
   • 최근에는 현대모비스에서 고객사에게 제품을 공급하듯, 현대모비스로 소프트웨어가 임베디드된 제품이 공급어서 공급망 관리가 필요하다는 것을 인지하였고, 자동화에 대한 니즈도 있음
2. Scope
   • 오픈소스 뿐만 아니라 보안에 대한 검토도 요청하기도 하는데, 사내에 오픈소스와 보안 조직이 분리되어 있음
   • 하지만 보안 조직과도 협업을 해야 원활한 오픈소스 컴플라이언스가 될 것으로 생각함
3. 프로세스
   • 설계자가 소스코드를 업로드
   • 오픈소스 관리팀에서 툴 DB와 자동 분석
   • 별도의 검증 기관에서 식별 완료 및 보고서 생성
   • 오픈소스 관리팀에서 검증 보고서 확인 후 규정 준수 여부 검토
   • 설계자는 시정 조치 및 수행
   • 오픈소스 관리팀에서 고지 정보 공개
4. 21년 추진 과제
   • 자동차에 들어가는 부품이 무수히 많고 공급망이 많이 얽혀 있어서 공급망 관리에 중점을 두고 진행함
5. 22년 추진 과제
   • OpenChain 인증 준비
   • 소스코드 및 바이너리 자동 검증 자동화 시스템 구축

오픈소스 라이선스 검증도구 오픈소스화 추진계획 (정윤환, 홍문기 / 삼성전자)

1. 배경
   • 기존 사후 검증에 이슈 발생 시 재개발 및 상품화 지연 이슈 발생
   • 사전/실시간 검증 절차를 도입하여 라이선스 검증 시점 shift-left
   • 사전/실시간 검증의 효율화, 안정성 강화 추진하고자 함
2. 방법
   • 자유로운 사용과 기여가 가능한 거버넌스 체제 구축
   • 오픈소스 기반 협력을 통해 검증 기능 강화하고 DB 확대
3. 목표
   • 검증 도구 협력 개발 및 공동 DB 구축
   • 오픈소스 컴플라이언스 표준 정책 수립
   • 중소기업, 기관, 개인의 오픈소스 검증 지원
4. 오픈소스화 대상
   • 오픈소스 및 라이선스 DB
   • 라이선스별 사용 정책 관리 도구
   • 실시간 검증 도구 및 가이드 문서
   • 사후 검증 도구 및 가이드 문서
5. 아키텍처
   • 마이크로 서비스 구조로 사용 정책과 오픈소스, 라이선스 데이터 베이스 별도 구성
6. 오픈소스 추진 계획
   • 4월: Founder 모집 (운영/기술파트)
   • 5월: 오픈소스 추진 협의
   • 6월: 프로젝트 릴리즈 준비
   • 9월: v1.0 릴리즈
7. 요청사항
   • 오픈소스 추진 협의에 참석을 원하시거나 정보를 받고 싶은 분들은 삼성전자 오픈소스 사무국 (oss.ofice@samsung.com) 으로 요청 (~4/15)
     • 이름/소속/전화번호/이메일/참여 목적/관심 분야/하고 싶은말

Sponsor

Platinum

2 - 14th Meeting

일정

• 일정: 2022-06-21 (화) 오후2시~4시
• 장소: Zoom (접속 방법은 별도 메일 공지)

Agenda

소그룹 모임 : 2개 세션으로 구성

Session 1. 주제 토론

• 주제 1: 오픈소스 라이선스 이슈
• 주제 2: ISO5230 인증 준비
• 주제 3: 사내 개발 문화
  • 기술 블로그 운영/활성화 방안
  • 자발적인 오픈소스 개발 문화 형성
• and others

Session 2. Just small talk

Sponsor

Photo Gallery

Video

OpenChain Update

OpenChain KWG Update

SFC vs. Vizio, GPL 소송 판결 겉핥기

Quick session : FOSSID 사용팁

Minutes

OpenChain Update (Shane Coughlan / Linux Foundation)

1. Open Source Safety Foundation (OpenSSF)
   • 현재까지 1,100만 달러가 넘는 투자를 받았음
   • 중국과 일본의 기업에서도 활발하게 논의되고 있음
   • 6월말에 이사회에서 보안에 대해서도 Specification으로 지정할 것인지에 대한 사안이 결정될 예정
2. 소기업에서 OpenChain에 접근하기 위한 아이디어 요청
   • 최근에 OpenChain ISO 기준에 많은 기업들이 관심을 갖고 있음 (특히 독일)
   • 그러나 작은 기업에서 어떻게 OpenChain을 접근할 수 있는지 고민이 필요함
   • 전세계 여러 기업에서 자유로운 의견을 주시면 좋을 것
3. Markdown 문서 작성 도입
   • 쉽게 제출하고, 편집할 수 있는 문서 작성 방법으로 Markdown 검토
   • 점진적으로 Markdown 형식으로 변환하려 함

OpenChain KWG Update (장학성 / SK Telecom)

1. 2분기 정기 모임을 준비하기 위한 운영진 모임 있었음(5/20)

2. Tooling Group 모임이 2회 진행됨 (4월/5월)

   • 4월 세미나
     • FOSSID 리뷰 (카카오)
     • 오픈소스 검증 도구 오픈소스화 계획 현황 (삼성전자)
     • 개방형 오픈소스 컴플라이언스 서비스 플랫폼 개발 및 확산 계획 (ETRI)
   • 5월 세미나
     • LINE의 FossLight 도입 경험 (LINE Plus)
     • OLIVE CLI 소개 (카카오)
     • 오픈소스 라이선스 사전/실시간 검증도구 데모 (삼성전자)

3. Conformance Group 모임 예정 (7/19)

   • ISO/IEC 5230에 적합한 프로그램 구축을 위한 Community 차원의 협업
   • 비정기 미팅이며, 1~2시간 가량 온/오프라인 미팅이 있을 예정
   • 질의응답 형태의 이슈 논의 & 협업 방식으로 진행 예정
   • 현재 가입 멤버는 SK Telecom, LG전자, 카카오, 현대오토에버 등이 있으며, 가입을 희망하신다면 장학성(haksung@sk.com)으로 문의 바람

4. 글로벌 OpenChain 굿즈 제작 (designed by Soim)

5. OpenChain Korea Work Group Charter 확정

   • 주요 내용: Membership, Organization, 선거
   • Membership
   • 기업/기관 담당자에 한하여 참여
   • Subgroup Member는 기업/기관 담당자가 아니더라도 누구나 참여 가능
   • Organization
   • 운영 위원회: 그룹을 운영하는 운영진 역할 (7명으로 제한)
   • 선거
   • 운영위원회 선출
   • 상세 내용은 링크에서 확인 가능

6. 운영위원회 선출

   • 역할: 정책 수립, Charter 작성, 정기 미팅 운영, 주요 의사결정 수행, 예산 집행 등
   • 기존 Planning Group 멤버 5인 + 카카오, 삼성전자 두분 추천 (황은경님, 정윤환님)

SFC vs Vizio 판결 겉핥기 (장학성 / SK Telecom)

법률 전문가의 견해가 아니므로 용어나 해석에 오류가 있을 수 있음

1. 기초 배경 지식
   • 저작권법과 계약법의 차이
   • 저작권법: 이용권자는 저작권법이 허락하는 이용 방법 및 조건에 대해서 저작물 이용 가능
   • 계약법: 라이선서와 라이선시 간의 합의에 의해 계약이 됨 (오픈소스가 이에 해당됨)
   • 미국 연방법원과 주법원
   • 주법원: 주마다 있고, 주민의 개인적인 삶에 영향을 미치는 사건을 다룸
   • 연방법원: 제한된 사건만 다루고, 헌법, 연방범죄, 군법, 지적재산권, 저작권법 등을 다룸
2. SFC vs Vizio 판결
   • SFC: 계약 위반 + 선언적 판결을 요청함
   • Vizio: GPL 위반은 저작권법 침해이고, 주 법원에서 다룰 사안이 아니라고 반박함
   • 미국 법원은 Motion to Remand를 승인하여 주 법원으로 환송함
3. 주목할만한 점
   • 이번 소송은 저작권법이 아닌 계약법으로 논의
   • 주법원에서 논의됨
   • 저작자가 아닌 제품의 구매자가 소송을 제기함
   • SFC = Third Party Beneficiary (“SFC가 GPL 계약의 제삼자 수혜자"라는 논리로 소송이 제기됨)
4. 연방 법원 판결
   • 이 소송이 연방 저작권법에서 다루는 일반적인 범위에 해당된다면 연방 관할권을 생성하지만,
     연방 저작권법에 의해 선점되지 않는다고 주장하려면 소송 원인이 저작권이 보호하는 권리 이외의 권리를 보호해야 한다.
   • 연방법원 판결 결과, 주 법원으로 환송 승인하였으며 아직 소송 진행 중

FOSSID Ignore Rule 적용하기 (Sean / Kakao)

1. Ignore Rule 적용의 진실
   • API문서나 가이드에 디렉토리/파일에는 정규식이 지원되고 확장자는 정규식이 지원되지 않는다고 나와있음
2. 디렉토리 규칙
   • 정규식을 고려하지 않고 규칙을 적용하면 잘못된 경로가 제외될 수 있음
   • 정규식을 고려해서 규칙을 적용해야 함 (예) ^[.]git($1/)
3. 파일 규칙
   • . 을 임의의 문자로 알 수 있어서 잘못된 파일이 제외될 수 있음
   • 정규식을 고려해서 규칙을 적용해야 함 (예) build[.]gradle
4. 확장자 규칙
   • 정규식이 지원되지 않음
   • 확장자 이름만 작성하면 됨 (예) gradle 이라고 적용하면 build.gradle 파일이 제외됨

Photo

3 - 15th Meeting

일정

• 일정: 2022-09-21 (수) 오후2시~4시
• 장소: Zoom (접속 방법은 별도 메일 공지)

Agenda

Sponsor

Photo Gallery

Video

4 - 16th Meeting

일정

• 일정: 2022-12-02 (금) 오후2시~4시
• 장소: Zoom (접속 방법은 별도 메일 공지)

Agenda

Sponsor

Minutes

발표 요약 : GitHub Copilot이 집단소송을 당했다고?

• GitHub인수부터 Copilot 출시까지 MS의 전략
• Copilot 이란?
• Copilot 집단 소송
  • 원고 : GitHub 저작권 소유자 집단 vs 피고 : Microsoft, GitHub, OpenAI 등
  • 원고측이 주장하는 피고측의 위반 사항들 법적근거 리뷰

발표 요약 : OLIVE Platform Code Snippet 분석 기능 소개

• Olive Platform (https://olive.kakao.com) 소개
  • 2021년 6월부터 카카오에서 서비스 중인 오픈소스 관리 플랫폼 (무료)
• SCANOSS (https://www.scanoss.com/) 활용 Code Snippet 분석 기능 추가

발표 요약 : 오픈소스 라이선스가 요구하는 고지 의무와 SBOM 표준(SPDX)에 기반한 오픈소스 고지문 자동 생성 방안

• 주요 오픈소스 라이선스의 고지 의무 : 저작권 표시, 라이선스 사본 첨부, (GPL 계열 오픈소스 라이선스의 경우) Written Offer
• SBOM 표준 : SPDX
• SPDX 기반 오픈소스 자동 생성 도구 : onot (https://github.com/sktelecom/onot)

Video

Photo