10th Meeting

Online Meeting, June 2021

Schedule

  • Schedule: 2021-06-22 (Tue) 3:00~5:00 PM
  • How to join
    • Zoom (Please refer to the e-mail for the access address)

Agenda

NoAgendaSpeakerSlide
0Intro & GreetingsNewcomersOpenChain_Korea_20210622_intro.pptx
1OpenChain UpdateShane Coughlan, Linux Foundation-
2OpenChain KWG Update장학성, SK텔레콤OpenChain_Korea_20210622_update.pptx
3FOSSLight Open Source Project김경애, LG전자210622_OpenChain_FOSSLight_LGE.pdf
4최근 주요 동향
- Google OSV (오픈소스 취약성) & Google Insight (오픈소스 BOM)
- NIPA 오픈소스 거버넌스 가이드

Robin (황민호), 카카오
이서연, 라인플러스

Google_OSV_and_Insight_황민호.pdf
NIPAGuide_Intro.pdf
5소그룹 모임All-
6Free DiscussionAll-

소그룹 모임 주제

  1. 자기 소개
  2. 하는 일, 최근 주요 관심사
  3. 다른 회사의 담당자에게 궁금한 것이 있다면?

Attendees

  • SK Telecom
  • LINE Plus
  • Kakao
  • LG Electronics
  • NCSOFT
  • Hyundai Mobis
  • Hyundai Motors
  • Hyundai Autoever
  • Samsung Electronics
  • KT ds

Video

Intro

OpenChain Update

OpenChain KWG Update

FOSSLight Open Source Project

최근 주요 동향

NIPA 오픈소스 거버넌스 가이드

Minutes

OpenChain Update (Shane Coughlan / Linux Foundation)

  • Security Guide 를 발간할 계획이 있으며, 현재 편집 중 (Link)

OpenChain KWG Update (장학성/SK텔레콤)

FOSSLight Open Source Project 소개 (김경애/LG전자)

  • FOSSLight Open Source Project 란?
    • FOSSLight 스캐너를 통해 소스코드, 디펜던시, 바이너리를 스캔하고
    • 스캔한 결과물을 FOSSLight System에 업로드하여
    • OSS Distribution Site에 공개할 수 있도록 고지문 발급하는 시스템
  • FOSSLight Source Scanner
  • FOSSLight Dependency Scanner
  • FOSSLight System
    • Open Source Compliance Process를 효율적으로 수행하는 시스템
      • LICENSE/OSS 정보 조회 및 관리
      • Project 단위로 OSC 수행 및 Status 관리
      • 3rd Party Project 관리
      • Vulnerability 관리
      • Self-Check 기능
  • 곧 Release 될 기능
    • FOSSLight Binary Scanner
      • Binary 실제 분석하는 것은 아님
      • Path 내 Binary를 추출하여 checksum, TLSH 추출
      • System Database와 비교하여 OSS 정보 자동 출력
    • FOSSLight REUSE
  • 특징
    • 동일한 OSS 이름이지만 다양하게 불리는 경우, Nickname을 등록하여 일관된 이름으로 통합 관리 가능
    • OSS Notice Format을 커스터마이징할 수 있음 (Company Name, Email 등)
  • FOSSLight Contribution Items
    • 버그 리포팅
    • 오타
    • 문서화 작업
    • 1인 OSC 담당자를 위한 Customizing
    • Distribution 단계 구현
    • 테스트 자동화 등

Google OSV & Open Source Insight (Robin Hwang/카카오)

  • Google OSV https://osv.dev/
    • SVE와 Sonatype OSS Index 등을 통해 취약성 데이터 베이스 확인
    • 구글이 OSS-Fuzz 프로젝트에서 발견한 데이터 세트를 제공
      • OSS-Fuzz: 소프트웨어 프로그래밍 오류를 발견하는 Fuzz Test 프로젝트
    • CVE의 경우, 취약성 정보를 특정 패키지 버전에 매핑하기 어려운 경우가 많음
  • Open Source Insight https://deps.dev/
    • Google에서 Open Source Insight 서비스 공개
    • 기존에 ClearlyDefined 서비스를 제공하고 있음
    • 직관적인 UI로 서비스 구성
    • 보안 취약성 정보를 연결, 종속성 그래프도 제공
    • 차별점
      • Npm과 같은 일반적인 도구 세트를 대체하려는 것은 아니고 패키징에 정의되어 있는 정보를 토대로 구성
      • Lock 파일에 선언된 종속성과 다르거나 더 완전할 수 있음
      • OpenSSF Score 도입

기업 공개 소프트웨어 거버넌스 가이드 (이서연/LINE 플러스)

  • 기업 공개 소프트웨어 거버넌스 가이드
    • NIPA 주관하고 오픈업이 연구 수행하여 국내 기업의 올바른 오픈소스 활용을 안내하기 위함
    • SKT, 라인, Kakao 에서 NIPA 기업 공개 소프트웨어 거버넌스 가이드 집필하였음
    • 실물 책자는 발간 진행 중이고, 웹 통해서 확인 가능
  • 오픈소스 사용하기
    • “기업 관리자편” + “개발자 편”으로 구성
  • 오픈소스 기여하기
    • 기업편: 기여 전략
    • 개발자편: 기여 준비 방법
  • 오픈소스 공개하기
    • 기업편: 어떻게 공개해야 할지, 공개 후 해야 할 일 등
    • 개발자편: 오픈소스 공개 준비 방법, 운영 방법
  • 다양한 의견과 컨트리뷰션 환영합니다.

photo

OpenChain News



Last modified 2021년 10일 3월: add photos (b577ad24)