일정
- 일정: 2022-03-16 (수) 오후2시~4시
- 장소: Zoom (접속 방법은 별도 메일 공지)
Agenda
| No | Agenda | Speaker | Slide |
|---|---|---|---|
| 1 | OpenChain Update | Shane Coughlan, Linux Foundation | - |
| 2 | OpenChain KWG Update | 장학성, SK텔레콤 | |
| 3 | 오픈소스 최신 동향 - 러시아의 우크라이나 침공을 대하는 오픈소스 생태계의 움직임 | 황민호(Robin), 카카오 | |
| 4 | 카카오와 카카오뱅크의 ISO/IEC 5230 인증 사례 공유 | 황은경(violet), 카카오 하헌관(arlo), 이민애(may) 카카오뱅크 | pdf |
| 5 | 현대모비스 오픈소스 관리체계 및 현안 | 전미진, 현대모비스 | |
| 6 | 오픈소스 라이선스 사전/실시간 검증도구 오픈소스화 추진계획 | 정윤환/홍문기, 삼성전자 | |
| 7 | 소그룹 모임 (Case Study) | All | - |
Video
OpenChain Update
OpenChain KWG Update
오픈소스 최신 동향
카카오와 카카오뱅크의 ISO/IEC 5230 인증 사례 공유
현대모비스 오픈소스 관리체계 및 현안
오픈소스 라이선스 사전/실시간 검증도구 오픈소스화 추진계획
Minutes
OpenChain Update (Shane Coughlan / Linux Foundation)
- OpenChain ISO/IEC 5230 Conformance 신규 인증 기업
- BlackBerry
- SAP
- OpenChain Governing Board 신규 가입 기업
- NEC
- Block
- 오픈소스 보안 취약점에 대한 표준안 제정
- Security Specification Draft 버전 작성
- 글로벌 커뮤니티에서 다양한 시각으로 피드백 요청
- OpenChain 커뮤니티 활성화 방안 모색
- 한국, 일본 OpenChain 커뮤니티처럼 유럽의 커뮤니티도 활성화될 수 있도록 방안이 모색되어야 함
OpenChain KWG Update (장학성 / SK Telecom)
- Planning Group 22년 1분기 모임 진행
- Agenda
- 1분기 KWG 모임 준비
- 2022년 Linux Foundation 지원 예산 활용 방안
- Agenda
- Tooling Group 1st 모임 진행
- Agenda
- SCANOSS 소개
- 사전검증/실시간검증도구 소개
- Agenda
- 새해 선물 from 현대 모비스 (Thanks to 전미진님,이영준님 :) )
- OpenChain 국제 표준 인증 획득
- 카카오
- 카카오뱅크
- OpenChain KWG Charter 초안 작성
- 주요 내용으로는 Membership, Organization, 선거 등의 내용으로 정관 문서 작성 중
- 2분기 모임에서 확정 후 시행 예정
- https://openchain-project.github.io/OpenChain-KWG/about/charter/
- Blog Update
오픈소스 최신 동향 (Robin(황민호) / Kakao)
- 러시아의 우크라이나 침공을 대하는 오픈소스 생태계
- 최근 글로벌 IT 업계 흐름
- 아마존, MS, 구글, 오라클 등 글로벌 IT 기업들이 러시아 보이콧에 합류하고 있음
- 러시아는 IT기업들이 보이콧을 하자 불법복제 SW를 합법화를 추진하였다고 보도함
- 오픈소스 생태계에서의 흐름
- OpenBLAS는 러시아산 프로세서 지원을 제거하겠다고 함
- 관련 GitHub 이슈 링크: https://github.com/xianyi/OpenBLAS/issues/3551
- 하지만, 커뮤니티 상에서 이슈가 제기된 것이고 실제 지원을 제거하는 계획은 없는 것으로 확인됨
- GitHub 공개 피드백 토론
- GitHub은 러시아 개발자 접근을 제한해야 한다는 공개 토론이 열렸음
- 러시아의 GitHub 사용자들을 제재하는 것은 올바른 방법은 아니라는 부정적 의견이 대부분이었음
- GitHub 담당자가 GitHub 정책에 대해 토론 후 종료시킴
- 참고) 2019년 미-중 무역 전쟁 중에도 GitHub이 무역제재 대상 국가의 접속을 차단하자 중국은 자체적으로 Gitee 라는 사이트를 구축하였음
- Scarf 러시아 오픈소스 패키지 엑세스 제한
- 오픈소스 패키지 배포 제한을 두는 방식으로 보이콧을 표현하였고, 타 패키지 매니저도 참여하기를 희망함
- Libreplanet 토론
- 러시아에 우리 소프트웨어 access를 제한해야 하는가 라는 토론이 있었고, 리차드 스톨만은 FSF의 4가지 자유에 의해 프로그램 실행의 자유를 제한해서는 안된다고 주장함
- 리차드 스톨만과 다른 입장을 가진 여러 의견도 등장하였음
- MeetingBar 오픈소스 프로젝트의 기금 마련 운동
- MacOS 메뉴바 오픈소스 라이브러리인 MeetingBar 프로젝트에서 우크라이나 군대를 위한 기금 마련 운동 참여
- OpenBLAS는 러시아산 프로세서 지원을 제거하겠다고 함
- 최근 글로벌 IT 업계 흐름
카카오와 카카오뱅크의 ISO/IEC 5230 인증사례 공유 (Violet(황은경) / Kakao, Arlo(하헌관), May(이민애) / KakaoBank)
카카오의 인증사례
- OpenChain Study
- 2019년부터 스터디는 시작하였고, OpenChain 2.1이 발간된 후부터 본격적으로 스터디 시작
- 이슈 할당
- 각 Spec 항목별로 Jira 이슈를 할당하였음
- 기존 정책을 보완해야 할 점들을 정리하였음
- 프로젝트 홀딩
- OpenChain Specification은 각 항목이 연결되어 있는데, 각 항목별로 담당자를 지정한 것이 문제였음
- 전체 스펙에서 필요한 것들을 리스트업하고 주제 별로 일을 나누었어야 함
- OpenChain 인증 자료 정리
- https://haksungjang.github.io/docs/governance_iso5230/를 참고하여 정책 문구나 프로세스를 정리할 수 있었음
- 보완이 필요한 내용을 따로 정리해서 논의 (OSRB 구성, 문서화된 절차 등)
- 정책 및 프로세스 정리
- SKT의 자료를 참고하여 Kakao의 내부 규정에 맞게 변경하였음
- OpenChain KWG Conformance Group 리뷰
- Self Certification 순서대로 내용을 설명하면서 Q&A 진행
- 주요 Q&A
- 책임자가 의사결정자로 지정해야 하는가? 조직의 내부 상황에 맞게 지정하면 됨
- 보안취약점 도구 구축이 필수는 아닌 것 같은데 책임과 역할을 어떻게 정리해야 하는가? ISO 인증 기준에 보안과 관련해 정해진 내용은 없음
- 오픈소스 전사 가이드를 Wiki에 정리하였는데, 그 외 경로도 필요한지? 구성원이 1년에 한 번 정도는 반드시 열어보게 하는 절차가 있으면 좋을 것임
- 오픈소스 교육 평가 데이터가 인증서에 필요한가? 자료를 요구하는 경우는 거의 ㅇ벗기도 하지만, 평가 후 기준에 도달하도록 해야 함
- OSPO는 교육 과정이 따로 필요한가? 필수로 요구되지는 않음
- OpenChain 인증
- Self Certification 체크 후 OpenChain General Manager인 Shane에게 인증을 알리고 어나운스 해달라는 메일 발송
- Shane에게 로고와 인용문을 전달
- PR 담당자와 보도자료 준비하는 과정이 필요하고, OpenChain 웹사이트에 등록할 영문 인용문을 준비해야 함
- OpenChain Study
카카오뱅크의 인증사례
- 오픈소스 도구 검토
- FOSSID 검토 및 오픈
- 오픈소스 컴플라이언스 프로세스 마련
- FOSSID API를 활용하여 자동화
- 고지문 발급 자동화
- 고지문 웹/앱 테스트 환경
- 오픈소스 조직, 정책, 교육 준비
- NCSOFT의 OpenChain 인증 사례 발표를 본 후 작년 11월 중순부터 OpenChain 준비
- Specification의 조직, 정책, 도구, 교육, 프로세스에 대한 항목을 나열하고, 요구사항 충족을 위한 준비
- 법무 및 보안팀, 기술 전략팀 담당자들과 협의하여 조직 셋업
- Wiki에 프로세스나 가이드 공개
- KWG 리뷰 및 PR팀 협의, 기타 인터뷰
- OpenChain KWG 그룹 리뷰 후 PR팀과 협의하여 인증 선언
- 이후 카카오 내 DevCon에서 발표와 인터뷰도 진행하였음
- Lessons Learned
- 잘한점: KWG 그룹에 참여하여 빠른 인증 준비가 가능했고, 자동화 환경을 잘 구축하였음
- 아쉬운점: 사내 교육 시스템이 없어서 직접 교육자료를 만들어서 세미나 형태로 개발자 교육을 했었는데 체계화된 교육이 필요하고, 금융업이다 보니 기여나 공개에 소극적이었음
- 인증 이후 반응: 국제표준을 획득함으로써 신뢰도가 높아지고 인터뷰를 진행하면서 오픈소스 컴플라이언스에 대해 홍보가 되었음
- 계획: Olive CLI 도입 및 망분리 금융망 도입
- 오픈소스 도구 검토
현대모비스 오픈소스 관리 체계 및 현안 (전미진 / 현대모비스)
- History
- 2012년에 타 용도로 구축된 서버로 오픈소스 관리를 2018년까지 하고 있었음
- 2018년까지는 오픈소스 관리, 규정 개정과 보고 정도만 진행하고 있었음
- 2019년에 OpenSource Summit을 참여한 후 오픈소스 관리 업무를 확장하게 되었음
- 최근에는 현대모비스에서 고객사에게 제품을 공급하듯, 현대모비스로 소프트웨어가 임베디드된 제품이 공급어서 공급망 관리가 필요하다는 것을 인지하였고, 자동화에 대한 니즈도 있음
- Scope
- 오픈소스 뿐만 아니라 보안에 대한 검토도 요청하기도 하는데, 사내에 오픈소스와 보안 조직이 분리되어 있음
- 하지만 보안 조직과도 협업을 해야 원활한 오픈소스 컴플라이언스가 될 것으로 생각함
- 프로세스
- 설계자가 소스코드를 업로드
- 오픈소스 관리팀에서 툴 DB와 자동 분석
- 별도의 검증 기관에서 식별 완료 및 보고서 생성
- 오픈소스 관리팀에서 검증 보고서 확인 후 규정 준수 여부 검토
- 설계자는 시정 조치 및 수행
- 오픈소스 관리팀에서 고지 정보 공개
- 21년 추진 과제
- 자동차에 들어가는 부품이 무수히 많고 공급망이 많이 얽혀 있어서 공급망 관리에 중점을 두고 진행함
- 22년 추진 과제
- OpenChain 인증 준비
- 소스코드 및 바이너리 자동 검증 자동화 시스템 구축
오픈소스 라이선스 검증도구 오픈소스화 추진계획 (정윤환, 홍문기 / 삼성전자)
- 배경
- 기존 사후 검증에 이슈 발생 시 재개발 및 상품화 지연 이슈 발생
- 사전/실시간 검증 절차를 도입하여 라이선스 검증 시점 shift-left
- 사전/실시간 검증의 효율화, 안정성 강화 추진하고자 함
- 방법
- 자유로운 사용과 기여가 가능한 거버넌스 체제 구축
- 오픈소스 기반 협력을 통해 검증 기능 강화하고 DB 확대
- 목표
- 검증 도구 협력 개발 및 공동 DB 구축
- 오픈소스 컴플라이언스 표준 정책 수립
- 중소기업, 기관, 개인의 오픈소스 검증 지원
- 오픈소스화 대상
- 오픈소스 및 라이선스 DB
- 라이선스별 사용 정책 관리 도구
- 실시간 검증 도구 및 가이드 문서
- 사후 검증 도구 및 가이드 문서
- 아키텍처
- 마이크로 서비스 구조로 사용 정책과 오픈소스, 라이선스 데이터 베이스 별도 구성
- 오픈소스 추진 계획
- 4월: Founder 모집 (운영/기술파트)
- 5월: 오픈소스 추진 협의
- 6월: 프로젝트 릴리즈 준비
- 9월: v1.0 릴리즈
- 요청사항
- 오픈소스 추진 협의에 참석을 원하시거나 정보를 받고 싶은 분들은 삼성전자 오픈소스 사무국 (oss.ofice@samsung.com) 으로 요청 (~4/15)
- 이름/소속/전화번호/이메일/참여 목적/관심 분야/하고 싶은말
- 오픈소스 추진 협의에 참석을 원하시거나 정보를 받고 싶은 분들은 삼성전자 오픈소스 사무국 (oss.ofice@samsung.com) 으로 요청 (~4/15)
Sponsor
Platinum
