13th Meeting

Online Meeting, March 2022

일정

  • 일정: 2022-03-16 (수) 오후2시~4시
  • 장소: Zoom (접속 방법은 별도 메일 공지)

Agenda

NoAgendaSpeakerSlide
1OpenChain UpdateShane Coughlan, Linux Foundation-
2OpenChain KWG Update장학성, SK텔레콤pdf
3오픈소스 최신 동향
- 러시아의 우크라이나 침공을 대하는 오픈소스 생태계의 움직임
황민호(Robin), 카카오pdf
4카카오와 카카오뱅크의 ISO/IEC 5230 인증 사례 공유황은경(violet), 카카오
하헌관(arlo), 이민애(may) 카카오뱅크
pdf
pdf
5현대모비스 오픈소스 관리체계 및 현안전미진, 현대모비스pdf
6오픈소스 라이선스 사전/실시간 검증도구 오픈소스화 추진계획정윤환/홍문기, 삼성전자pdf
7소그룹 모임 (Case Study)All-

Video

OpenChain Update

OpenChain KWG Update

오픈소스 최신 동향

카카오와 카카오뱅크의 ISO/IEC 5230 인증 사례 공유

현대모비스 오픈소스 관리체계 및 현안

오픈소스 라이선스 사전/실시간 검증도구 오픈소스화 추진계획

Minutes

OpenChain Update (Shane Coughlan / Linux Foundation)

  1. OpenChain ISO/IEC 5230 Conformance 신규 인증 기업
    • BlackBerry
    • SAP
  2. OpenChain Governing Board 신규 가입 기업
    • NEC
    • Block
  3. 오픈소스 보안 취약점에 대한 표준안 제정
    • Security Specification Draft 버전 작성
    • 글로벌 커뮤니티에서 다양한 시각으로 피드백 요청
  4. OpenChain 커뮤니티 활성화 방안 모색
    • 한국, 일본 OpenChain 커뮤니티처럼 유럽의 커뮤니티도 활성화될 수 있도록 방안이 모색되어야 함

OpenChain KWG Update (장학성 / SK Telecom)

  1. Planning Group 22년 1분기 모임 진행
    • Agenda
      • 1분기 KWG 모임 준비
      • 2022년 Linux Foundation 지원 예산 활용 방안
  2. Tooling Group 1st 모임 진행
    • Agenda
      • SCANOSS 소개
      • 사전검증/실시간검증도구 소개
  3. 새해 선물 from 현대 모비스 (Thanks to 전미진님,이영준님 :) )
  4. OpenChain 국제 표준 인증 획득
    • 카카오
    • 카카오뱅크
  5. OpenChain KWG Charter 초안 작성
  6. Blog Update

오픈소스 최신 동향 (Robin(황민호) / Kakao)

  1. 러시아의 우크라이나 침공을 대하는 오픈소스 생태계
    • 최근 글로벌 IT 업계 흐름
      • 아마존, MS, 구글, 오라클 등 글로벌 IT 기업들이 러시아 보이콧에 합류하고 있음
      • 러시아는 IT기업들이 보이콧을 하자 불법복제 SW를 합법화를 추진하였다고 보도함
    • 오픈소스 생태계에서의 흐름
      1. OpenBLAS는 러시아산 프로세서 지원을 제거하겠다고 함
      2. GitHub 공개 피드백 토론
        • GitHub은 러시아 개발자 접근을 제한해야 한다는 공개 토론이 열렸음
        • 러시아의 GitHub 사용자들을 제재하는 것은 올바른 방법은 아니라는 부정적 의견이 대부분이었음
        • GitHub 담당자가 GitHub 정책에 대해 토론 후 종료시킴
        • 참고) 2019년 미-중 무역 전쟁 중에도 GitHub이 무역제재 대상 국가의 접속을 차단하자 중국은 자체적으로 Gitee 라는 사이트를 구축하였음
      3. Scarf 러시아 오픈소스 패키지 엑세스 제한
        • 오픈소스 패키지 배포 제한을 두는 방식으로 보이콧을 표현하였고, 타 패키지 매니저도 참여하기를 희망함
      4. Libreplanet 토론
        • 러시아에 우리 소프트웨어 access를 제한해야 하는가 라는 토론이 있었고, 리차드 스톨만은 FSF의 4가지 자유에 의해 프로그램 실행의 자유를 제한해서는 안된다고 주장함
        • 리차드 스톨만과 다른 입장을 가진 여러 의견도 등장하였음
      5. MeetingBar 오픈소스 프로젝트의 기금 마련 운동
        • MacOS 메뉴바 오픈소스 라이브러리인 MeetingBar 프로젝트에서 우크라이나 군대를 위한 기금 마련 운동 참여

카카오와 카카오뱅크의 ISO/IEC 5230 인증사례 공유 (Violet(황은경) / Kakao, Arlo(하헌관), May(이민애) / KakaoBank)

  1. 카카오의 인증사례

    • OpenChain Study
      • 2019년부터 스터디는 시작하였고, OpenChain 2.1이 발간된 후부터 본격적으로 스터디 시작
    • 이슈 할당
      • 각 Spec 항목별로 Jira 이슈를 할당하였음
      • 기존 정책을 보완해야 할 점들을 정리하였음
    • 프로젝트 홀딩
      • OpenChain Specification은 각 항목이 연결되어 있는데, 각 항목별로 담당자를 지정한 것이 문제였음
      • 전체 스펙에서 필요한 것들을 리스트업하고 주제 별로 일을 나누었어야 함
    • OpenChain 인증 자료 정리
    • 정책 및 프로세스 정리
      • SKT의 자료를 참고하여 Kakao의 내부 규정에 맞게 변경하였음
    • OpenChain KWG Conformance Group 리뷰
      • Self Certification 순서대로 내용을 설명하면서 Q&A 진행
      • 주요 Q&A
        • 책임자가 의사결정자로 지정해야 하는가? 조직의 내부 상황에 맞게 지정하면 됨
        • 보안취약점 도구 구축이 필수는 아닌 것 같은데 책임과 역할을 어떻게 정리해야 하는가? ISO 인증 기준에 보안과 관련해 정해진 내용은 없음
        • 오픈소스 전사 가이드를 Wiki에 정리하였는데, 그 외 경로도 필요한지? 구성원이 1년에 한 번 정도는 반드시 열어보게 하는 절차가 있으면 좋을 것임
        • 오픈소스 교육 평가 데이터가 인증서에 필요한가? 자료를 요구하는 경우는 거의 ㅇ벗기도 하지만, 평가 후 기준에 도달하도록 해야 함
        • OSPO는 교육 과정이 따로 필요한가? 필수로 요구되지는 않음
    • OpenChain 인증
      • Self Certification 체크 후 OpenChain General Manager인 Shane에게 인증을 알리고 어나운스 해달라는 메일 발송
      • Shane에게 로고와 인용문을 전달
      • PR 담당자와 보도자료 준비하는 과정이 필요하고, OpenChain 웹사이트에 등록할 영문 인용문을 준비해야 함
  2. 카카오뱅크의 인증사례

    • 오픈소스 도구 검토
      • FOSSID 검토 및 오픈
    • 오픈소스 컴플라이언스 프로세스 마련
      • FOSSID API를 활용하여 자동화
      • 고지문 발급 자동화
      • 고지문 웹/앱 테스트 환경
    • 오픈소스 조직, 정책, 교육 준비
      • NCSOFT의 OpenChain 인증 사례 발표를 본 후 작년 11월 중순부터 OpenChain 준비
      • Specification의 조직, 정책, 도구, 교육, 프로세스에 대한 항목을 나열하고, 요구사항 충족을 위한 준비
      • 법무 및 보안팀, 기술 전략팀 담당자들과 협의하여 조직 셋업
      • Wiki에 프로세스나 가이드 공개
    • KWG 리뷰 및 PR팀 협의, 기타 인터뷰
      • OpenChain KWG 그룹 리뷰 후 PR팀과 협의하여 인증 선언
      • 이후 카카오 내 DevCon에서 발표와 인터뷰도 진행하였음
    • Lessons Learned
      • 잘한점: KWG 그룹에 참여하여 빠른 인증 준비가 가능했고, 자동화 환경을 잘 구축하였음
      • 아쉬운점: 사내 교육 시스템이 없어서 직접 교육자료를 만들어서 세미나 형태로 개발자 교육을 했었는데 체계화된 교육이 필요하고, 금융업이다 보니 기여나 공개에 소극적이었음
      • 인증 이후 반응: 국제표준을 획득함으로써 신뢰도가 높아지고 인터뷰를 진행하면서 오픈소스 컴플라이언스에 대해 홍보가 되었음
      • 계획: Olive CLI 도입 및 망분리 금융망 도입

현대모비스 오픈소스 관리 체계 및 현안 (전미진 / 현대모비스)

  1. History
    • 2012년에 타 용도로 구축된 서버로 오픈소스 관리를 2018년까지 하고 있었음
    • 2018년까지는 오픈소스 관리, 규정 개정과 보고 정도만 진행하고 있었음
    • 2019년에 OpenSource Summit을 참여한 후 오픈소스 관리 업무를 확장하게 되었음
    • 최근에는 현대모비스에서 고객사에게 제품을 공급하듯, 현대모비스로 소프트웨어가 임베디드된 제품이 공급어서 공급망 관리가 필요하다는 것을 인지하였고, 자동화에 대한 니즈도 있음
  2. Scope
    • 오픈소스 뿐만 아니라 보안에 대한 검토도 요청하기도 하는데, 사내에 오픈소스와 보안 조직이 분리되어 있음
    • 하지만 보안 조직과도 협업을 해야 원활한 오픈소스 컴플라이언스가 될 것으로 생각함
  3. 프로세스
    • 설계자가 소스코드를 업로드
    • 오픈소스 관리팀에서 툴 DB와 자동 분석
    • 별도의 검증 기관에서 식별 완료 및 보고서 생성
    • 오픈소스 관리팀에서 검증 보고서 확인 후 규정 준수 여부 검토
    • 설계자는 시정 조치 및 수행
    • 오픈소스 관리팀에서 고지 정보 공개
  4. 21년 추진 과제
    • 자동차에 들어가는 부품이 무수히 많고 공급망이 많이 얽혀 있어서 공급망 관리에 중점을 두고 진행함
  5. 22년 추진 과제
    • OpenChain 인증 준비
    • 소스코드 및 바이너리 자동 검증 자동화 시스템 구축

오픈소스 라이선스 검증도구 오픈소스화 추진계획 (정윤환, 홍문기 / 삼성전자)

  1. 배경
    • 기존 사후 검증에 이슈 발생 시 재개발 및 상품화 지연 이슈 발생
    • 사전/실시간 검증 절차를 도입하여 라이선스 검증 시점 shift-left
    • 사전/실시간 검증의 효율화, 안정성 강화 추진하고자 함
  2. 방법
    • 자유로운 사용과 기여가 가능한 거버넌스 체제 구축
    • 오픈소스 기반 협력을 통해 검증 기능 강화하고 DB 확대
  3. 목표
    • 검증 도구 협력 개발 및 공동 DB 구축
    • 오픈소스 컴플라이언스 표준 정책 수립
    • 중소기업, 기관, 개인의 오픈소스 검증 지원
  4. 오픈소스화 대상
    • 오픈소스 및 라이선스 DB
    • 라이선스별 사용 정책 관리 도구
    • 실시간 검증 도구 및 가이드 문서
    • 사후 검증 도구 및 가이드 문서
  5. 아키텍처
    • 마이크로 서비스 구조로 사용 정책과 오픈소스, 라이선스 데이터 베이스 별도 구성
  6. 오픈소스 추진 계획
    • 4월: Founder 모집 (운영/기술파트)
    • 5월: 오픈소스 추진 협의
    • 6월: 프로젝트 릴리즈 준비
    • 9월: v1.0 릴리즈
  7. 요청사항
    • 오픈소스 추진 협의에 참석을 원하시거나 정보를 받고 싶은 분들은 삼성전자 오픈소스 사무국 (oss.ofice@samsung.com) 으로 요청 (~4/15)
      • 이름/소속/전화번호/이메일/참여 목적/관심 분야/하고 싶은말

Platinum

최종 수정 2024년 8일 1월: add categories and tags (102d88bc5)