13th Meeting
Online Meeting, March 2022
일정
- 일정: 2022-03-16 (수) 오후2시~4시
- 장소: Zoom (접속 방법은 별도 메일 공지)
Agenda
No | Agenda | Speaker | Slide |
---|
1 | OpenChain Update | Shane Coughlan, Linux Foundation | - |
2 | OpenChain KWG Update | 장학성, SK텔레콤 | pdf |
3 | 오픈소스 최신 동향 - 러시아의 우크라이나 침공을 대하는 오픈소스 생태계의 움직임 | 황민호(Robin), 카카오 | pdf |
4 | 카카오와 카카오뱅크의 ISO/IEC 5230 인증 사례 공유 | 황은경(violet), 카카오 하헌관(arlo), 이민애(may) 카카오뱅크 | pdf pdf |
5 | 현대모비스 오픈소스 관리체계 및 현안 | 전미진, 현대모비스 | pdf |
6 | 오픈소스 라이선스 사전/실시간 검증도구 오픈소스화 추진계획 | 정윤환/홍문기, 삼성전자 | pdf |
7 | 소그룹 모임 (Case Study) | All | - |
Video
OpenChain Update
OpenChain KWG Update
오픈소스 최신 동향
카카오와 카카오뱅크의 ISO/IEC 5230 인증 사례 공유
현대모비스 오픈소스 관리체계 및 현안
오픈소스 라이선스 사전/실시간 검증도구 오픈소스화 추진계획
Minutes
OpenChain Update (Shane Coughlan / Linux Foundation)
- OpenChain ISO/IEC 5230 Conformance 신규 인증 기업
- OpenChain Governing Board 신규 가입 기업
- 오픈소스 보안 취약점에 대한 표준안 제정
- Security Specification Draft 버전 작성
- 글로벌 커뮤니티에서 다양한 시각으로 피드백 요청
- OpenChain 커뮤니티 활성화 방안 모색
- 한국, 일본 OpenChain 커뮤니티처럼 유럽의 커뮤니티도 활성화될 수 있도록 방안이 모색되어야 함
OpenChain KWG Update (장학성 / SK Telecom)
- Planning Group 22년 1분기 모임 진행
- Agenda
- 1분기 KWG 모임 준비
- 2022년 Linux Foundation 지원 예산 활용 방안
- Tooling Group 1st 모임 진행
- Agenda
- SCANOSS 소개
- 사전검증/실시간검증도구 소개
- 새해 선물 from 현대 모비스 (Thanks to 전미진님,이영준님 :) )
- OpenChain 국제 표준 인증 획득
- OpenChain KWG Charter 초안 작성
- Blog Update
오픈소스 최신 동향 (Robin(황민호) / Kakao)
- 러시아의 우크라이나 침공을 대하는 오픈소스 생태계
- 최근 글로벌 IT 업계 흐름
- 아마존, MS, 구글, 오라클 등 글로벌 IT 기업들이 러시아 보이콧에 합류하고 있음
- 러시아는 IT기업들이 보이콧을 하자 불법복제 SW를 합법화를 추진하였다고 보도함
- 오픈소스 생태계에서의 흐름
- OpenBLAS는 러시아산 프로세서 지원을 제거하겠다고 함
- GitHub 공개 피드백 토론
- GitHub은 러시아 개발자 접근을 제한해야 한다는 공개 토론이 열렸음
- 러시아의 GitHub 사용자들을 제재하는 것은 올바른 방법은 아니라는 부정적 의견이 대부분이었음
- GitHub 담당자가 GitHub 정책에 대해 토론 후 종료시킴
- 참고) 2019년 미-중 무역 전쟁 중에도 GitHub이 무역제재 대상 국가의 접속을 차단하자 중국은 자체적으로 Gitee 라는 사이트를 구축하였음
- Scarf 러시아 오픈소스 패키지 엑세스 제한
- 오픈소스 패키지 배포 제한을 두는 방식으로 보이콧을 표현하였고, 타 패키지 매니저도 참여하기를 희망함
- Libreplanet 토론
- 러시아에 우리 소프트웨어 access를 제한해야 하는가 라는 토론이 있었고,
리차드 스톨만은 FSF의 4가지 자유에 의해 프로그램 실행의 자유를 제한해서는 안된다고 주장함
- 리차드 스톨만과 다른 입장을 가진 여러 의견도 등장하였음
- MeetingBar 오픈소스 프로젝트의 기금 마련 운동
- MacOS 메뉴바 오픈소스 라이브러리인 MeetingBar 프로젝트에서 우크라이나 군대를 위한 기금 마련 운동 참여
카카오와 카카오뱅크의 ISO/IEC 5230 인증사례 공유 (Violet(황은경) / Kakao, Arlo(하헌관), May(이민애) / KakaoBank)
카카오의 인증사례
- OpenChain Study
- 2019년부터 스터디는 시작하였고, OpenChain 2.1이 발간된 후부터 본격적으로 스터디 시작
- 이슈 할당
- 각 Spec 항목별로 Jira 이슈를 할당하였음
- 기존 정책을 보완해야 할 점들을 정리하였음
- 프로젝트 홀딩
- OpenChain Specification은 각 항목이 연결되어 있는데, 각 항목별로 담당자를 지정한 것이 문제였음
- 전체 스펙에서 필요한 것들을 리스트업하고 주제 별로 일을 나누었어야 함
- OpenChain 인증 자료 정리
- 정책 및 프로세스 정리
- SKT의 자료를 참고하여 Kakao의 내부 규정에 맞게 변경하였음
- OpenChain KWG Conformance Group 리뷰
- Self Certification 순서대로 내용을 설명하면서 Q&A 진행
- 주요 Q&A
- 책임자가 의사결정자로 지정해야 하는가? 조직의 내부 상황에 맞게 지정하면 됨
- 보안취약점 도구 구축이 필수는 아닌 것 같은데 책임과 역할을 어떻게 정리해야 하는가? ISO 인증 기준에 보안과 관련해 정해진 내용은 없음
- 오픈소스 전사 가이드를 Wiki에 정리하였는데, 그 외 경로도 필요한지? 구성원이 1년에 한 번 정도는 반드시 열어보게 하는 절차가 있으면 좋을 것임
- 오픈소스 교육 평가 데이터가 인증서에 필요한가? 자료를 요구하는 경우는 거의 ㅇ벗기도 하지만, 평가 후 기준에 도달하도록 해야 함
- OSPO는 교육 과정이 따로 필요한가? 필수로 요구되지는 않음
- OpenChain 인증
- Self Certification 체크 후 OpenChain General Manager인 Shane에게 인증을 알리고 어나운스 해달라는 메일 발송
- Shane에게 로고와 인용문을 전달
- PR 담당자와 보도자료 준비하는 과정이 필요하고, OpenChain 웹사이트에 등록할 영문 인용문을 준비해야 함
카카오뱅크의 인증사례
- 오픈소스 도구 검토
- 오픈소스 컴플라이언스 프로세스 마련
- FOSSID API를 활용하여 자동화
- 고지문 발급 자동화
- 고지문 웹/앱 테스트 환경
- 오픈소스 조직, 정책, 교육 준비
- NCSOFT의 OpenChain 인증 사례 발표를 본 후 작년 11월 중순부터 OpenChain 준비
- Specification의 조직, 정책, 도구, 교육, 프로세스에 대한 항목을 나열하고, 요구사항 충족을 위한 준비
- 법무 및 보안팀, 기술 전략팀 담당자들과 협의하여 조직 셋업
- Wiki에 프로세스나 가이드 공개
- KWG 리뷰 및 PR팀 협의, 기타 인터뷰
- OpenChain KWG 그룹 리뷰 후 PR팀과 협의하여 인증 선언
- 이후 카카오 내 DevCon에서 발표와 인터뷰도 진행하였음
- Lessons Learned
- 잘한점: KWG 그룹에 참여하여 빠른 인증 준비가 가능했고, 자동화 환경을 잘 구축하였음
- 아쉬운점: 사내 교육 시스템이 없어서 직접 교육자료를 만들어서 세미나 형태로 개발자 교육을 했었는데 체계화된 교육이 필요하고, 금융업이다 보니 기여나 공개에 소극적이었음
- 인증 이후 반응: 국제표준을 획득함으로써 신뢰도가 높아지고 인터뷰를 진행하면서 오픈소스 컴플라이언스에 대해 홍보가 되었음
- 계획: Olive CLI 도입 및 망분리 금융망 도입
현대모비스 오픈소스 관리 체계 및 현안 (전미진 / 현대모비스)
- History
- 2012년에 타 용도로 구축된 서버로 오픈소스 관리를 2018년까지 하고 있었음
- 2018년까지는 오픈소스 관리, 규정 개정과 보고 정도만 진행하고 있었음
- 2019년에 OpenSource Summit을 참여한 후 오픈소스 관리 업무를 확장하게 되었음
- 최근에는 현대모비스에서 고객사에게 제품을 공급하듯, 현대모비스로 소프트웨어가 임베디드된 제품이 공급어서 공급망 관리가 필요하다는 것을 인지하였고, 자동화에 대한 니즈도 있음
- Scope
- 오픈소스 뿐만 아니라 보안에 대한 검토도 요청하기도 하는데, 사내에 오픈소스와 보안 조직이 분리되어 있음
- 하지만 보안 조직과도 협업을 해야 원활한 오픈소스 컴플라이언스가 될 것으로 생각함
- 프로세스
- 설계자가 소스코드를 업로드
- 오픈소스 관리팀에서 툴 DB와 자동 분석
- 별도의 검증 기관에서 식별 완료 및 보고서 생성
- 오픈소스 관리팀에서 검증 보고서 확인 후 규정 준수 여부 검토
- 설계자는 시정 조치 및 수행
- 오픈소스 관리팀에서 고지 정보 공개
- 21년 추진 과제
- 자동차에 들어가는 부품이 무수히 많고 공급망이 많이 얽혀 있어서 공급망 관리에 중점을 두고 진행함
- 22년 추진 과제
- OpenChain 인증 준비
- 소스코드 및 바이너리 자동 검증 자동화 시스템 구축
오픈소스 라이선스 검증도구 오픈소스화 추진계획 (정윤환, 홍문기 / 삼성전자)
- 배경
- 기존 사후 검증에 이슈 발생 시 재개발 및 상품화 지연 이슈 발생
- 사전/실시간 검증 절차를 도입하여 라이선스 검증 시점 shift-left
- 사전/실시간 검증의 효율화, 안정성 강화 추진하고자 함
- 방법
- 자유로운 사용과 기여가 가능한 거버넌스 체제 구축
- 오픈소스 기반 협력을 통해 검증 기능 강화하고 DB 확대
- 목표
- 검증 도구 협력 개발 및 공동 DB 구축
- 오픈소스 컴플라이언스 표준 정책 수립
- 중소기업, 기관, 개인의 오픈소스 검증 지원
- 오픈소스화 대상
- 오픈소스 및 라이선스 DB
- 라이선스별 사용 정책 관리 도구
- 실시간 검증 도구 및 가이드 문서
- 사후 검증 도구 및 가이드 문서
- 아키텍처
- 마이크로 서비스 구조로 사용 정책과 오픈소스, 라이선스 데이터 베이스 별도 구성
- 오픈소스 추진 계획
- 4월: Founder 모집 (운영/기술파트)
- 5월: 오픈소스 추진 협의
- 6월: 프로젝트 릴리즈 준비
- 9월: v1.0 릴리즈
- 요청사항
- 오픈소스 추진 협의에 참석을 원하시거나 정보를 받고 싶은 분들은 삼성전자 오픈소스 사무국 (oss.ofice@samsung.com) 으로 요청 (~4/15)
- 이름/소속/전화번호/이메일/참여 목적/관심 분야/하고 싶은말
Platinum
Feedback
Was this page helpful?
Glad to hear it! Please tell us how we can improve.
Sorry to hear that. Please tell us how we can improve.
Last modified 2022년 3일 31월:
Update _index.md (70f08193)