10th Meeting

Online Meeting, June 2021

Schedule

Schedule: 2021-06-22 (Tue) 3:00~5:00 PM
How to join
- Zoom (Please refer to the e-mail for the access address)

Agenda

No	Agenda	Speaker	Slide
0	Intro & Greetings	Newcomers	OpenChain_Korea_20210622_intro.pptx
1	OpenChain Update	Shane Coughlan, Linux Foundation	-
2	OpenChain KWG Update	장학성, SK텔레콤	OpenChain_Korea_20210622_update.pptx
3	FOSSLight Open Source Project	김경애, LG전자	210622_OpenChain_FOSSLight_LGE.pdf
4	최근 주요 동향 - Google OSV (오픈소스 취약성) & Google Insight (오픈소스 BOM) - NIPA 오픈소스 거버넌스 가이드	Robin (황민호), 카카오 이서연, 라인플러스	Google_OSV_and_Insight_황민호.pdf NIPAGuide_Intro.pdf
5	소그룹 모임	All	-
6	Free Discussion	All	-

소그룹 모임 주제

자기 소개
하는 일, 최근 주요 관심사
다른 회사의 담당자에게 궁금한 것이 있다면?

Attendees

SK Telecom
LINE Plus
Kakao
LG Electronics
NCSOFT
Hyundai Mobis
Hyundai Motors
Hyundai Autoever
Samsung Electronics
KT ds

Video

Intro

OpenChain Update

OpenChain KWG Update

FOSSLight Open Source Project

최근 주요 동향

NIPA 오픈소스 거버넌스 가이드

Minutes

OpenChain Update (Shane Coughlan / Linux Foundation)

Security Guide 를 발간할 계획이 있으며, 현재 편집 중 (Link)

OpenChain KWG Update (장학성/SK텔레콤)

Github 개설: https://github.com/OpenChain-KWG
YouTube 개설: https://www.youtube.com/channel/UCl4pp1CIFjh6OoHXWzB-FKg/featured
OpenChain 인증 해설서 개정 중
- NIPA에서 2020년에 발간하였으며, 현재 개정판 작업 중
- 기업의 OpenChain 인증 방법에 대해 설명
- https://haksungjang.github.io/docs/openchain/
Planning Group (운영진) 모임
- 5월 24일에 10차 모임 준비를 위해 Planning Group 모임을 진행하였음
- https://openchain-project.github.io/OpenChain-KWG/subgroup/planning/2021/2nd-meeting/
OpenChain ISO 5230 Supplier Education Pack 한국어 리뷰가 필요함
Blog 개설
- Elastic License 2.0 & 진화하는 오픈소스 라이선스: https://openchain-project.github.io/OpenChain-KWG/blog/2021/20210328-elasticlicense
- OSPO란?: https://openchain-project.github.io/OpenChain-KWG/blog/2021/20210418-ospo-definition/
- Dockerfile 배포 시 컴플라이언스 책임은 누구에게?:https://openchain-project.github.io/OpenChain-KWG/blog/2021/20210504-dockerfiles/

FOSSLight Open Source Project 소개 (김경애/LG전자)

FOSSLight Open Source Project 란?
- FOSSLight 스캐너를 통해 소스코드, 디펜던시, 바이너리를 스캔하고
- 스캔한 결과물을 FOSSLight System에 업로드하여
- OSS Distribution Site에 공개할 수 있도록 고지문 발급하는 시스템
FOSSLight Source Scanner
- String Search 기반으로 라이선스 검출 (ScanCode 활용)
- Code Match 가 불가하여 OSS 이름 검출이 불가함
- 소스
  - https://github.com/fosslight/fosslight_source_scanner
  - https://github.com/fosslight/fosslight_source_scanner/blob/main/docs/README_Kor.md
FOSSLight Dependency Scanner
- 개발 환경에서 Dependency 목록에 대해 OSS 정보 출력
- 지원 가능한 Package Manager
  - Gradle (Java/Android)
  - Maven (Java)
  - NPM (Node.js)
  - Pypi (Python)
  - Pub (Dart with flutter)
  - Cocoapods (Swift/Obj-C)
- Transitive Dependency 출력
- 빌드되지 않는 환경에서 동작하지 않음
  - https://github.com/fosslight/fosslight_dependency_scanner
  - https://github.com/fosslight/fosslight_dependency_scanner/blob/main/docs/user-guide_Kor.md
FOSSLight System
- Open Source Compliance Process를 효율적으로 수행하는 시스템
  - LICENSE/OSS 정보 조회 및 관리
  - Project 단위로 OSC 수행 및 Status 관리
  - 3rd Party Project 관리
  - Vulnerability 관리
  - Self-Check 기능
곧 Release 될 기능
- FOSSLight Binary Scanner
  - Binary 실제 분석하는 것은 아님
  - Path 내 Binary를 추출하여 checksum, TLSH 추출
  - System Database와 비교하여 OSS 정보 자동 출력
- FOSSLight REUSE
  - Reuse https://github.com/fsfe/reuse-tool 활용
  - 저작권 및 라이선스 표기 규칙 확인
  - OSS-pkg-info.yaml 파일 <-> FOSSLight Report 변환
특징
- 동일한 OSS 이름이지만 다양하게 불리는 경우, Nickname을 등록하여 일관된 이름으로 통합 관리 가능
- OSS Notice Format을 커스터마이징할 수 있음 (Company Name, Email 등)
FOSSLight Contribution Items
- 버그 리포팅
- 오타
- 문서화 작업
- 1인 OSC 담당자를 위한 Customizing
- Distribution 단계 구현
- 테스트 자동화 등

Google OSV & Open Source Insight (Robin Hwang/카카오)

Google OSV https://osv.dev/
- SVE와 Sonatype OSS Index 등을 통해 취약성 데이터 베이스 확인
- 구글이 OSS-Fuzz 프로젝트에서 발견한 데이터 세트를 제공
  - OSS-Fuzz: 소프트웨어 프로그래밍 오류를 발견하는 Fuzz Test 프로젝트
- CVE의 경우, 취약성 정보를 특정 패키지 버전에 매핑하기 어려운 경우가 많음
Open Source Insight https://deps.dev/
- Google에서 Open Source Insight 서비스 공개
- 기존에 ClearlyDefined 서비스를 제공하고 있음
- 직관적인 UI로 서비스 구성
- 보안 취약성 정보를 연결, 종속성 그래프도 제공
- 차별점
  - Npm과 같은 일반적인 도구 세트를 대체하려는 것은 아니고 패키징에 정의되어 있는 정보를 토대로 구성
  - Lock 파일에 선언된 종속성과 다르거나 더 완전할 수 있음
  - OpenSSF Score 도입

기업 공개 소프트웨어 거버넌스 가이드 (이서연/LINE 플러스)

기업 공개 소프트웨어 거버넌스 가이드
- NIPA 주관하고 오픈업이 연구 수행하여 국내 기업의 올바른 오픈소스 활용을 안내하기 위함
- SKT, 라인, Kakao 에서 NIPA 기업 공개 소프트웨어 거버넌스 가이드 집필하였음
- 실물 책자는 발간 진행 중이고, 웹 통해서 확인 가능
오픈소스 사용하기
- “기업 관리자편” + “개발자 편”으로 구성
오픈소스 기여하기
- 기업편: 기여 전략
- 개발자편: 기여 준비 방법
오픈소스 공개하기
- 기업편: 어떻게 공개해야 할지, 공개 후 해야 할 일 등
- 개발자편: 오픈소스 공개 준비 방법, 운영 방법
다양한 의견과 컨트리뷰션 환영합니다.
- 저장소: https://github.com/NIPA-OpenUP/oss-governance-guide
- 사이트: https://nipa-openup.github.io/oss-governance-guide/

Photo Gallery

OpenChain News

https://www.openchainproject.org/news/2021/06/11/korea-wg-10

Feedback

Was this page helpful?

Glad to hear it! Please tell us how we can improve.

Sorry to hear that. Please tell us how we can improve.

Last modified 2021년 10일 3월: add photos (b577ad24)