Meeting

OpenChain KWG은 매분기마다 모여서 공유와 협업으로 함께 가치를 창출합니다.

Open Source Compliance를 위한 정책 및 프로세스가 이미 구축된 대기업들도 거대하고 복잡한 소프트웨어 공급망을 고려한다면, 아무리 완성도 높은 프로세스가 구축되어 있다고 하더라도 컴플라이언스 리스크에서 벗어나기 어렵습니다. 결국 소프트웨어 공급망 내 모든 기업의 Compliance 수준을 높이는 게 중요합니다. 이를 위해서는 이미 Open Source Compliance에 대해 이해도가 높은 기업들이 가진 자산을 공유하고, 다른 기업에서 쉽게 참가할 수 있도록 안내하는 길잡이를 해야 합니다.

기업이 보유하고 있는 Open Source Compliance에 대한 자산은 경쟁사에 공유한다고 해도 매출에 악영향을 미치지 않습니다. 반대로, 경쟁사의 Open Source Compliance 정책을 알아낸다고 해도 이를 기업의 이익 증대와 연결할 수 없습니다. 기업이 Open Source Compliance에 대한 Best Practice를 서로 공유한다면, 각 기업은 적은 비용과 리소스만을 투입해도 상당 수준의 Compliance를 달성하는 데 큰 효과를 얻을 수 있습니다.

국내 기업들도 이와 같은 아이디어에 공감해 지난 2019년 1월, LG전자, SK텔레콤, 카카오, 현대자동차, 삼성전자의 Open Source 담당자들이 참여한 첫 번째 OpenChain KWG(Korea Work Group) 모임이 개최되었습니다.

자세한 사항은 다음 페이지를 참고하세요.

1 - 1st Meeting

LG Electronics Seocho R&D Campus, Jan 2019

Organizer

  • LG Electronics

Intro

  • Purpose: Linux Foundation의 OpenChain Project 소개 및 한국 기업 참여와 활용을 위한 교류회
  • Scheduled : 2019-01-23 (수) 오후2시 - 5시
  • Place : LG Electronics Seocho R&D Campus
  • Article : openchain-workshop-in-korea-january-23rd-2019

Agenda

NoAgendaSpeakerSlide
1KeynoteHaksung Jang / LGEDownload
2Great Open Source Compliance For EveryoneShane Coughlan, Linux Foundation-
3How do we OpenChain?Haksung Jang / LGEDownload
4Introduce yourself & Workshop – OpenChain and KoreaSoim Kim / LGEDownload

Attendees

  • LG Electronics (12)
  • SK telecom (1)
  • Kakao (3)
  • Hyundai Motors (4)
  • Samsung Electronics (5)

2 - 2nd Meeting

Samsung Electronics, Seoul R&D Campus, Jun 2019

Organizer

  • Samsung Electronics

Intro

  • Scheduled: 2019-06-12 (Wed) 2 pm-5pm
  • Venue: 삼성전자 서울R&D캠퍼스(우면동) E타워 1층 107회의실 (Conference Room 107, E-Tower, Seoul R&D Campus Samsung Electronics (Umyeon-dong))

Agenda

NoAgendaSpeakerSlide
1OpenChain Today and TomorrowShane Coughlan, Linux FoundationDownload
2기업 내 Open Source 검증 시스템 구축 현황 (Open Source Verification System Construction Status)삼성전자 조재민 (Jaemin Cho, Samsung Electronics)-
3Open Source 분석 도구 검토 현황 (Open Source Analysis Tool Review)삼성전자 김희성 (Hee Sung Kim, Samsung Electronics)-
4Open Source Compliance Tool based on Open SourceLG전자 장학성 (Haksung Jang, LG Electronics)fossology, oss-toolchain, ClearlyDefined

Attendees

  • KT (1)
  • KTDS (2)
  • LG Electronics (9)
  • NCSOFT (2)
  • SK telecom (1)
  • Samsung Electronics (7)
  • Kakao (5)
  • Hyundai Motors (3)

3 - 3rd Meeting

SK telecom - Samhwa Tower 3F Room 4, Sep 2019

Organizer

  • SK telecom

Intro

  • Schedule: 2019-09-04 (Wed) 3:00~5:00 pm
  • Venue : 삼화타워 3층 Room 4 (Samhwa Tower 3F Room 4)

Agenda

NoAgendaSpeakerSlide
1State of the UnionShane Coughlan, Linux FoundationDownload
2SK텔레콤 T-hub 시스템 (전사 개발자 Community) 소개 (Introducing the T-hub System)SK텔레콤 김상기 (SK Telecom, Sang-gi Kim)Download
3오픈소스 소프트웨어 라이선스 검증기 (Open Source Software License Analysis History)엔씨소프트 한지호 (NCsoft, Jiho Han)Download
4OpenChain 따라잡기 (Catch up with OpenChain)LG전자 장학성 (Haksung Jang, LG Electronics)Download

Attendees

  • KT
  • KTDS
  • LG Electronics
  • SK telecom
  • Line
  • Samsung Electronics
  • NCSoft
  • Kakao
  • Hyundai Motors
  • Hyundai Mobis
  • Hyundai MN Soft

4 - 4th Meeting

Ktds - Bangbae office, Room 207, Dec 2019

Organizer

  • KTDS

Intro

  • Schedule: 2019-12-02 (Mon) 2:00~5:00 pm
  • Venue: Ktds Bangbae office, Room 207

Agenda

NoAgendaSpeakerSlide
1OpenChain UpdateShane Coughlan, Linux FoundationDownload
2오픈소스 관리포털 및 오픈소스 관리방안 (Open Source Management Portal and Open Source Management Plan)Ktds 김상미, 이지현 (Sangmi Kim, Jihyun Lee / Ktds)-
3FOSSology 설치와 사용 방법 (How to Install and Use FOSSology)LG전자 박원재 (Wonjae Park / LG Electronics)Download
4OpenChain KWG UpdateLG전자 장학성 (Haksung Jang, LG Electronics)Download
5Case StudyAll-
6Free DiscussionAll-

Case Study

  • 주제 : Open Source Governance 조직 구성 (Theme : Open Source Governance Organization)
NoSpeakerSlide
1SK텔레콤, 박철웅 (SK telecom, Woody Park)Download
1엔씨소프트, 한다솜 (NCSoft, Dasom Han)Download

Attendees

  • KTDS
  • LG Electronics
  • SK telecom
  • SK holdings
  • Samsung Electronics
  • NCSoft
  • Kakao
  • Hyundai Mobis




5 - 5th Meeting

Conference Call, Mar 2020

Online Meeting

  • Schedule: 2020-03-19 (Thu) 2:00~ pm
  • How to join on PC
    1. PC에서 https://uberconference.com/openchainproject 접속
    2. Your Name 입력 후, “Join audio-only” 클릭하여 방에 입장
    3. Confirm settings 화면에서 마이크와 스피커 설정 확인 후 > Join conference
  • How to join on Phone
    1. 핸드폰에서 02-6022-2388로 전화
    2. 855 889 3011 # 입력

Agenda

NoAgendaSpeakerSlide
1OpenChain UpdateShane Coughlan, Linux FoundationDownload
2Open Source Compliance in the Enterprise 한글 요약본 소개 (Introduction to Korean Summary of Open Source Compliance in the Enterprise )엔씨소프트 한다솜 (Dasom Han, NCSoft)Download
3OpenChain 해설서 발간 (NIPA) 소개 (Introduction to OpenChain Guide Published by NIPA)SK텔레콤 장학성 (Haksung Jang, SK Telecom)Link
4SW360 설치 및 사용방법과 보안취약점 관리 소개 (How to install&use SW360, and Security Vulnerabilities Management)SK텔레콤 장학성 (Haksung Jang, SK Telecom)Download
5Case Study : BOM Tracking 방법 (How to track BOM)All-
6OpenChain KWG UpdatesSK텔레콤 장학성 (Haksung Jang, SK Telecom)Download

Attendees

  • NCSoft
  • Kakao
  • Hyundai Motors
  • Hyundai Mobis
  • LINE Plus
  • LG Electronics
  • SK telecom

Minutes

6 - 6th Meeting

Online Meeting, Jun 2020

Intro

  • Schedule: 2020-06-16 (Tue) 2:00~ pm
  • How to join on PC
    1. PC에서 https://uberconference.com/openchainproject 접속
    2. Your Name 입력 후, “Join audio-only” 클릭하여 방에 입장
    3. Confirm settings 화면에서 마이크와 스피커 설정 확인 후 > Join conference
  • How to join on Phone
    1. 핸드폰에서 02-6022-2388로 전화
    2. 855 889 3011 # 입력

Agenda

NoAgendaSpeakerSlide
1OpenChain UpdateShane Coughlan, Linux Foundation-
2Kakao의 오픈소스 관리시스템 Olive 소개 (Introducing Olive, Kakao’s open source management system)Kakao 황민호 (Robin)Download
Olive 의존성 분석 구조 및 스펙 (Structure and Specification of Dependency Analysis in Olive)Kakao 김영환 (Sean)
3SK텔레콤, 오픈소스 이렇게 준비합니다 (SK telecom and open source)SK telecom 김상기 (Aaron)Download
4Case Study : 오픈소스 기여/공개 정책 (Open Source Contribution / Release Policy)AllDownload
5Free DiscussionAll-

Attendees

  • NCSoft
  • Kakao
  • Hyundai Motors
  • Hyundai Mobis
  • LINE Plus
  • LG Electronics
  • SK Telecom

Minutes

Video

7 - 7th Meeting

Online Meeting, Sep 2020

Intro

Agenda

NoAgendaSpeakerSlide
1OpenChain UpdateShane Coughlan, Linux Foundation-
2LG전자의 오픈소스 컴플라이언스 관리 시스템 (OSC System) 소개LG전자 김소임Video
3오픈소스 관련 책 요약 및 소개 - ‘오픈소스로 미래를 연마하라’라인 이서연Download
4Case Study : 오픈소스 공개 practices (GitHub, CLA 등)All-
5OpenChain KWG UpdateSK텔레콤 장학성Download
6Free DiscussionAll-

Attendees

  • Hyundai Mobis
  • Hyundai Motors
  • Kakao
  • ktds
  • LINE Plus
  • LG Electronics
  • NCSOFT
  • SamSung Electronics
  • SK telecom

Minutes

1. OpenChain Update (Shane Coughlan / Linux Foundation)

  • OpenChain은 곧 ISO 표준 인증 절차가 완료될 예정
    • 이에따라 다양한 교육 자료를 제작할 예정이며, 국가별로 번역이 필요할 것으로 예상됨
  • OpenChain T-shirt 제작 안내

2. LG전자의 오픈소스 컴플라이언스 관리 시스템, OSC System 소개 (김소임 / LG전자)

주요 기능

  • Project : 배포하는 SW별로 생성하여 OSC Process를 수행

    • 포함된 OSS 목록을 업로드하면, 리뷰어가 리뷰하고, 소스 코드 공개가 필요한 사항을 시스템에서 보여줌 (라이선스 별 상세정보를 보여주어, 각 라이선스 별 소스 코드 취합 범위를 확인 가능)
    • 최종적으로 OSS Notice가 발행되고, 해당 파일과 공개할 소스코드를 http://opensource.lge.com에 배포하는 구조
  • 3rd Party Project : 3rd party SW별 OSS 목록을 관리

  • OSS / License 상세 정보 : OSS, License 에 따른 Obligation, Resctriction확인 가능. (각각 nickname을 관리하여 동일한 License를 다르게 표기하여도 매핑됨)

  • Vulnerability : OSS 별 보안취약점 확인 가능

  • BAT (Binary analysis tool) : binary를 업로드하면, OSS를 검출하여 보여줌

앞으로의 계획

OSC System은 오픈소스로 공개 준비 중


3. 오픈소스 관련 책 요약 및 소개 - ‘오픈소스로 미래를 연마하라’ (이서연 / 라인플러스)

기술 숙련도나 전문분야에 상관없이 독자들이 FOSS 프로젝트에 어떻게 기여할 수 있는지 알려주는 책

자유 소프트웨어·오픈 소스에서 얻을 수 있는 것

  • 기술적 혜택, 경력상 혜택, 인맥적 혜택

기여 준비하기

  • 내가 어떤 기여를 할 수 있을지 체크리스트를 만들어보자
  • 기여 과정
    • 기여하고 싶다는 것을 깨닫는다 - 프로젝트를 찾는다 - 할 일을 찾는다 - 환경을 구성한다 - 기여 작업을 한다 - 기여를 제출한다 - 피드백을 받고 코드 개선을 반복한다 - 기여가 받아들여진다 - (반복)

프로젝트 찾기

  • 목표 세우기
  • 요건 모으기: 기술, 관심, 시간 여유, 목표
  • 후보 프로젝트 모으기
    • 매일 사용하는 소프트웨어가 FOSS인지 확인해보자
    • 관심분야 + open source 라고 검색해보자
  • 최종 선택을 하기 전에 살펴보아야 할 것들
    • 기여하기 얼마나 쉬운가? 가이드 문서가 친절한가?
    • 이슈 트래커를 살펴보고 질문해보자
    • 작게 시작하고 장기적인 관점을 가지자

이 책의 활용법

  • 오픈소스 기여 가이드로 활용
    • 오픈소스 기여 워크샵
  • 현재 공개중인 오픈소스가 새 기여자들에게 얼마나 친절한지 되돌아보는 가이드로 활용

4. Case Study: 오픈소스 공개 practices(GitHub, CLA 등)


5. OpenChain KWG Update

  • KWG 로고 제작! (Thanks to @soimkim)
  • 새 로고를 넣은 T-Shirt 제작 예정. 신청은 추후 공지

Video

https://www.openchainproject.org/featured/2020/10/23/openchain-korea-work-group-meeting-7-the-recordings

Video 1

OpenChain Update (Shane) & LGE’s OSC System (김소임)

Video 2

책소개 - 오픈소스로 미래를 연마하라 (이서연)

Video 3

Case Study – Open Source Release Practices & OpenChain KWG Update (장학성)

8 - 8th Meeting

Online Meeting, Dec 2020

kwg-logo.gif

< designed by @soimkim >

Intro

Agenda

NoAgendaSpeakerSlide
0Intro & GreetingsSK텔레콤 장학성Download
1OpenChain UpdateShane Coughlan, Linux FoundationDownload
2현대자동차 오픈소스 거버넌스 체계 구축현대자동차 백송하Download
3SCA(Software Composition Analysis) Market 동향카카오 황민호(Robin)Download
4Olive 전격 공개카카오 황민호(Robin)-
5Case StudyAll-
6OpenChain KWG UpdateSK텔레콤 장학성Download
7Free DiscussionAll-

Case Study

  • 주제 : 오픈소스 컴플라이언스 / 보안취약점 점검 대상 분류
    • 폰트에 대해서도 오픈소스 컴플라이언스 활동을 수행하는지? (예: Open Font)
    • 회사가 사내 직원용 모바일 앱(안드로이드, iOS)을 배포하는지? 그렇다면 이에 대해서도 오픈소스 컴플라이언스 활동을 수행하는지?
    • 오픈소스 보안취약점 점검 대상은 어떻게 분류하는지? 배포하는 소프트웨어 뿐만 아니라, 인프라 용, 서버 용으로 사용 중인 소프트웨어에 대해서도 점검 대상으로 포함시키는지?

Attendees

  • Hyundai Mobis
  • Hyundai Motors
  • Kakao
  • ktds
  • LINE Plus
  • LG Electronics
  • NCSOFT
  • SamSung Electronics
  • SK telecom

Video

Introductions and Update

Hyundai’s Open Source Governance System

Kakao’s Olive System

Minutes

1. OpenChain Update (Shane Coughlan, Linux Foundation)

OpenChain 2.1 – ISO / IEC International Standard

  • 12/14(월) publish 예정
  • 일본과 한국 기업이 같은 날에 OpenChain 2.1 Announce 예정
  • 인증 방식
    1. Self Certification : https://certification.openchainproject.org/
    2. Independent Assessment : 각 국가에 지정된 인증 기관 통해 인증
    3. Third-Party Certification : PWC, TUV SUD등 OpenChain partner를 통한 인증 (OpenChain 공식 인증서 발급)

Self-Certification 지원 언어

  • 현재는 영어, 한국어, 일본어 지원 중
  • 12월 내에 중국어, 독일어, 프랑스어, 이탈리아어, 스페인어 등 가능해질 것
  • SPDX 2.2도 ISO/IEC Transposition Process 진입
    • 2021년 2분기에 채택될 예정

Openchain T-shirt 추가 지원

2. 현대자동차 오픈소스 거버넌스 체계 구축(백송하, 현대자동차)

배경

  • 2015년, OIN(Open Invention Network) 가입: 오픈소스에 대한 특허권 크로스 라이선싱 단체
    • Toyota, BMW, Honda 등이 참여하는 업계 컨소시엄에서 OIN 홍보를 많이 했음
  • 2016년, Toyota에서 OIN 가입 후 1000만불 기부하여 Gold Member로 승인받음
  • 2017년, 오픈소스 라이선스 전문교육을 받고 컴플라이언스에 대한 중요성 인식
  • 2018년, TFT 신설

업계 특성

  • 자동차에 포함되어 있는 소프트웨어 라인수가 1억줄 이상 (타 소프트웨어보다 더 비중이 큼)
  • Supply Chain 업체로부터 3,000개 이상의 부품이 납품되며, 그 중에서 직접 납품하는 1차 업체만 하더라도 300개 정도 (2차, 3차로 납품하는 케이스가 많아서 Supply Chain이 복잡함)
  • 많은 공급 업체들을 어떻게 관리할 것인가가 쟁점

현재 구축된 컴플라이언스 방안

  • IP 조직 하에 오픈소스 관리 TFT 구성
    • 법률 대응 및 서드파티 협력사들에게 라이선스 정책 배포, 오픈소스 검증하고 라이선스 고지 담당
  • 방향성
    • 1단계) 심플한 기준 수립
      • 해당 오픈소스 소스코드만 공개 및 고지하는 케이스
      • 수정 및 추가한 부분까지 공개하는 케이스
      • 결합된 모든 사용자 코드 공개 및 고지하는 세 가지 케이스에 대해 대응 방안 수립
    • 2단계) NIPA와 업무협약체결
      • NIPA측으로 업체들이 검증 요청하도록 하고, 현대자동차는 업체로부터 검증 성적서를 제공받음
    • 3단계) OPENCHAIN 프로젝트 활용
      • OPENCHAIN 프로젝트를 활용하여 업체에게도 오픈소스 컴플라이언스 인식 수준을 높이려고 함

이슈: 오픈소스와 특허

  • 오픈소스도 특허로 보호 가능하고 출원과 등록 절차 필요함
  • 라이선스 규정만 준수하면 되는 것이 아니라 제3자의 특허권에 문제가 없는지, 자사의 특허권 활용에는 영향이 없는지 확인
  • 현대자동차는 OIN와 Linux System Definition을 통해 업계 관련 기술들을 크로스 라이선싱 하고 있음

Q&A

  1. NIPA에 교육/검증을 요청하는 1,2차 업체들이 얼마나 있는지?

    금년부터 시작했기 때문에 아직은 20개 정도 업체에서 검증 요청함
    현재는 이미 출시했던 차종보다 신규 출시할 차종에 대해 오픈소스 검증을 진행 중

  2. 특허 검증 방법은 무엇인지?

    소스코드를 매칭하는 툴은 따로 없음
    기술을 숙지하고 특허 툴에 검색어로 검색해서 특허를 침해하는지 체크하고 있음

  3. 오픈소스와 관련된 특허 소송 이슈가 있었는지?

    소송 사례는 없었으나 분쟁이나 이슈들은 존재하는 것으로 알고 있음

  4. TF는 남양 연구소에서 시작되었고, 전사로 확장할 예정
  5. 업체 계약 시 특별한 프로세스가 있는지

    기술 개발 의뢰할 때 도면을 제공하면서 관련된 지켜야할 규정과 스펙을 업체에 제공함
    이때 오픈소스 관련 표준 스펙을 함께 제공해서 지키도록 하고 있음
    업체 계약 시 오픈소스 관련된 조항을 만들 계획이 있음

  6. 기타: 전자가 OIN 가입하지 않은 이유

    2차에 걸쳐서 OIN 가입을 검토했었으나 결국은 가입하지 않음
    OIN 크로스 라이선싱 범위를 정할 때 어떤 범위까지 공유되어야 하는지 명확하지 않음
    특허를 많이 보유한 업체는 OIN 때문에 라이선스가 빠져나갈 수 있는 리스크가 있다고 판단

3. SCA(Software Composition Analysis) Market 동향 (황민호(Robin), 카카오)

SCA란?

  • 보안, 라이선스 규정 준수를 발견하고 관리하기 위한 자동화된 프로세스
  • SCA 관련 리서치들
    • Gartner 보고서 연구 결과
      • OSS 사용 시 가장 중요한 과제는 오픈소스 프로젝트의 장기적인 생존 가능성(1위), 오픈소스 보안 이슈(2위), 취약점(3위) 였음
      • SCA 도구 선택 기준
        1. 취약점 데이터 베이스: NVD 기반으로 취약점 데이터베이스 제공하는
        2. 개발자 지원: IDE, Repository 연동 코드 추가 전 오픈소스 평가 기능, 추천 기능 등이 있는지
        3. 오픈소스 라이선스 준수: 라이선스 정책을 설정할 수 있고, 라이선스 추적할 수 있는 기능이 있는지
        4. 응답 시간 단축: 취약점을 빠르게 감지하고 우선순위 결정할 수 있는지
        5. 보고서 발급
    • Forrester Wave 연구 결과
      • 2017년만 해도 SCA가 막 시작하는 단계였고, 2019년에는 기존 업체들이 리더 포지션으로 정착하고, 새로운 서비스들이 탄생하였음
    • G2 소프트웨어 평가 기관에 따르면
      • 1등은 Gitlab, 2등은 WhiteSource라고 함

SCA vs SAST
SCA는 오픈소스의 취약점과 라이선스 관리하는 툴이라면, SAST는 독점 코드의 결함 파악, 코드 생산 전에 취약점 탐지하는 툴

대표적인 SCA 툴 소개

  • FOSSA
    • 초기 컨셉은 라이선스 준수 관리 툴로 시작되었으며, 2018년에 4명으로 프로젝트 시작
    • 2020년에는 오픈소스 취약점 관리까지 지원
    • 풍부한 데이터베이스를 갖고 있다고 함
  • Snyk
    • FOSSA와는 반대로 오픈소스 취약점 관리 툴로 시작하였으며, 최근 라이선스 준수 관리까지 지원
  • WhiteSource
    • Whitesource는 초창기부터 SCA툴을 제공하던 업체이며, 현재 관련 업체들 중 리더급으로 성장
    • Azure, Gitlab 등에 연계되어 있음
  • SCA 업체들은 공통적으로 블로그와 같은 커뮤니티를 운영하여 다양한 정보 제공을 하고 있음

Q&A

  1. SCA 라는 용어가 언제부터 나온 용어인지?

    이미 오래전부터 사용되어 왔으나 2017년부터 연구 결과에 본격적으로 SCA라는 명칭이 나온 것으로 보임

  2. Github도 SCA라고 볼 수 있는지?

    오픈소스 식별은 가능하지만, 라이선스 식별이나 메타 정보를 제공하지는 않아서 SCA로 분류되지 않는 것으로 보임

  3. SCA 블로그 목록 제공해줄 수 있는지?

    공유 예정
    많은 SCA 업체들이 블로그를 운영하고 있고, 퀄리티 높은 아티클을 많이 읽을 수 있음

4. Olive 전격 공개 (황민호(Robin), 카카오)

  • Olive URL: https://olive.kakao.com
  • 카카오 로그인 기반, Github 연동 필요
  • 현재는 베타 버전만 공개한 상태이고, 기능 확장하여 정식 공개 예정
  • 일부 모듈은 오픈소스로 공개 예정

5. Case Study

메일 참조

6. OpenChain KWG Update (장학성, SK텔레콤)

기타: 앞으로 KWG 미팅 진행 방식을 어떻게 할까?

  • 현재처럼 세션발표 형식으로 진행하는 것이 좋을지, 더 좋은 방안은 없을지?
    • 일본은 sub-group 모임이 많은데, 우리도 sub-group이나 스터디 그룹을 발전시켜보면 좋겠지만 코로나 상황이 진전되야 가능할 것
    • KWG 진행 방식에 대해 의견 있으시면 자유롭게 말씀해 주세요!
  • Tooling Group 진행 방향 (LG전자 박원재)
    • https://openchain-project.github.io/OpenChain-KWG/subgroup/tooling/
    • 새로 컨택이 온 오픈소스 툴을 개인적으로 공부 중이며, 공부한 내용을 선 공유하면서 참여를 유도하고자 함
    • LG전자에서 Fossology를 개선해서 사용하고 있는 부분을 내부적으로 검토해서 KWG에서 공개하겠음

OpenChain News

https://www.openchainproject.org/featured/2020/12/09/openchain-korea-work-group-meeting-8-full-recording

kwg-logo.gif

< designed by @soimkim >

9 - 9th Meeting

Online Meeting, Mar 2021

일정

Agenda

NoAgendaSpeakerSlide
0Intro & GreetingsNewcomersdownload
1OpenChain UpdateShane Coughlan, Linux Foundation-
2FOSSLight Dependency 소개LG전자 석지영download
3OpenChain KWG Update /
ISO/IEC 5230 인증 3가지 방법
SK텔레콤 장학성download
download
4오픈소스와 함께한 1,273일간의 기록 (ISO 인증 취득 과정)NCSOFT 한지호download
5Case StudyAll-
6Free DiscussionAll-

Case Study

  • 주제 : ISO/IEC 5230 인증 취득을 고려하고 있는지?

Attendees

Video

OpenChain Update

FOSSLight Dependency 소개

OpenChain KWG Update / ISO/IEC 5230 인증 3가지 방법

오픈소스와 함께한 1,273일간의 기록 (ISO 인증 취득 과정)

Minutes

1. OpenChain Update (Shane Coughlan, Linux Foundation)

ISO 인증

  • 일본, 미국, 한국의 몇몇 회사들이 인증을 받음
  • 가장 큰 뉴스는 이 회사들에 ISO 표준을 적용했을 때 잘 작동한다고 했다는 것. 이는 표준이 잘 만들어졌다는 증명이 될 수 있음
  • 꼭 규모가 큰 회사 뿐 아니라 조금 더 작은 규모의 회사에서도 인증을 받았다는 것이 아주 큰 성과였음

교육

  • 이메일로 신청하면 교육팩을 받아볼 수 있다. (오픈체인, 오픈소스, 오픈체인 인증받는 방법 등에 대한 Slidedeck)
  • Training course

설문

  • Project annual survey
  • 모든 질문에 응답할 필요는 없고 원하는 질문에만 응답하는 것도 가능
  • 60초~10분까지 소요되는 분량이며 많은 참여를 독려

2. FOSSLight Dependency 소개 (석지영, LG전자)

LG전자의 Open Source 프로젝트로 FOSSLight Scanner와 FOSSLight System 공개 예정

  • FOSSLight Scanner: 오픈소스 분석 스캐너
  • FOSSLight System: 오픈소스 컴플라이언스 통합 시스템

FOSSLight System 사용 방법

  • FOSSLight Scanner로 스캔한 결과를 업로드
  • Indentification, Packaging, Distribution 절차를 거쳐서 오픈소스 라이선스 고지문 발급 및 배포까지 완료

FOSSLight Scanner

  • 소스코드 스캔은 ScanCode 활용
  • Dependency 스캔은 FOSSLight Dependency Scanner 활용
  • Binary 스캔은 별도 바이너리 스캔 툴 활용 현재는 FOSSLight Dependency Scanner만 공개하였으나, 추후 전체 프로젝트를 공개할 예정

FOSSLight Dependency Scanner

LG전자 오픈소스 가이드 페이지

Q&A

  • ORT와 비교하면 어떤지?
    • ORT는 무거운 편이고, 간결하게 사용하기 위해 FOSSLight 라는 시스템을 개발한 것
  • Gradle의 경우, 분석 프로그램에 플러그인을 설치해야 하는데, LG전자 정책상 플러그인 설치를 강제하고 있는지?
    • FOSSLight Requirements 에 플러그인을 설치하고 스캔하라고 가이드하고 있음

3. OpenChain KWG Update (장학성, SK텔레콤)

Korea Work Group 스티커 배포 (Designed by Soim)

ISO/IEC 5230 적합성 인증 선언

  • 엔씨소프트, LG전자 인증 획득

OpenChain 규격 2.1 한국어 번역 완료

OpenChain 규격 2.1에 맞게 자체인증 질문지 개선

Korea Work Group 블로그 공간 개설

Sub Group

  • Planning Group : KWG 거버넌스 체계 구축, 정기 모임 일정/Agenda, 주요 의사결정, 회의록 작성, 굿즈 제작 등
  • Conformance Group: OpenChain 인증 획득 준비 및 정보 공유

4. ISO/IEC 5230 인증 3가지 방법 (장학성, SK텔레콤)

Self Certify

  • OpenChain 프로젝트에서 추천하는 방법, 웹사이트에서 무료로 제공하고 있고 대부분의 기업이 채택하고 있음
  • 링크: https://certification.openchainproject.org
  • 방법
    • 회원가입
    • 현수준 진단
    • 미비한 사항들 보완
    • 모든 사항 Yes 체크 후 제출
    • General Manager에게 인증 수행 결과 제출
    • General Manager가 간단한 질의응답 형태로 확인 절차 거침
    • 이상이 없다면 적합성 인증 취득 선언

Independent Assessment

  • 제3자가 평가, 미비점 보완을 위한 지원 제공
  • 아직 ISO/IEC 5230은 제3자 평가를 의무화한 조항은 없음
  • 컨설팅 제공이 주요 포인트
  • 주요 업체1 - AlektoMetis
    • 미비점 분석, 보완을 위한 Task 수행
  • 주요 업체2 - Source Code Control
    • 적합성 인증 획득을 위해 체계적인 계획 수립하여 대시보드화
    • 각 항목마다 세부 방법 및 담당자 할당하여 관리

Third Party Certification

  • 인증전문 기관에 의한 평가
  • 인증서 발행
  • 주요 업체1 - TUV SUD (글로벌 시험 인증 기관)
  • 주요 업체2 - PwC (세계 4대 회계법인 중 하나, 다국적 회계 감사 기업)

국내 인증 현황 및 시사점

  • 국내에 아직 ISO/IEC 5230 교육 및 인증을 제공하는 업체는 없음
  • 대기업 그룹사의 경우 한 기업이 전문 지식 및 경험을 획득하고, 계열사 및 관계사 대상으로 Independent Assessment 형태의 서비스를 제공할 수 있을 것 (예: 자동차 업계)

NIPA 발간한 OpenChain 해설서

  • 기업 공개SW 거버넌스 OpenChain 2.0 해설
  • ISO/IEC 5230에 맞게 개정 예정

Q&A

5. 오픈소스와 함께한 1,273일간의 기록 (한지호, 엔씨소프트)

엔씨소프트의 오픈소스 컴플라이언스 활동은 2017년 6월부터 시작

2017년

  • 오픈소스 분야의 지식이 없었기 때문에 오픈소스 라이선스와 관련된 사외 교육 수강
  • 오픈소스 분야에 이미 경험이 많은 타 기업의 담당자분들께 의견을 구하기도 하였음
    • Special Thanks to 전현준 변리사님, 장학성님, 황은경님
  • 오픈소스 컴플라이언스를 담당할 조직 세팅
  • 프로세스 수립
  • 오픈소스 검증 및 사용에 대한 가이드를 정리하여 사내 위키에 공개
  • 오픈소스 문의를 받을 사내 메일 그룹 생성

2018년

  • Protex 도입하여 오픈소스 검증 착수
  • 당시에는 소스코드 스캔 및 컴플라이언스는 주로 보안 부서에서 담당하였고, 커뮤니케이션이나 서브 업무만 지원
  • 라이브 중인 프로덕트를 대상으로 오픈소스 사용 고지 완료

2019년

  • 사내 개발자 컨퍼런스에서 오픈소스 라이선스 검증에 대한 경과 발표
  • 오픈소스 검증을 주로 담당하던 보안 부서가 사라지게 되어서 오픈소스 컴플라이언스 업무의 R&R을 새로 수립하였음
  • Protex의 한국 총판 업체도 변경되면서 Protex 계약을 종료하고, 오픈소스 스캔 도구로 Fossology를 도입함

2020년

  • OpenChain 인증 준비 착수
  • OpenChain 2.0 요구사항 중 충족하지 못한 부분들 보완
    • 문서화된 오픈소스 정책 수립
    • 오픈소스 기여 정책 수립
    • 전사 오픈소스 교육
  • 오픈소스 정책/가이드를 만들어서 사내 Developers 사이트에 공개
    • 도움이 되었던 도서: 오픈소스로 미래를 연마하라
  • 월간 전사 임원회의 및 경영회의에서 오픈소스 컴플라이언스 업무에 대해 공유
    • 대표님을 포함한 경영진 레벨에서 스폰서십 확보
  • 오픈소스 교육 콘텐츠 개발
  • 전사 오픈소스 교육 시행
    • 전사 개발자, PM, QA직군 대상
    • 약 93% 수료
    • 설문조사 시행하여 오픈소스 라이선스에 대한 이해 수준 평가 (5점 만점에 4.2점)
  • 2020년 12월 15일, OpenChain 2.1 인증 획득

그 이후

  • 현재도 오픈소스 컴플라이언스 활동 지속
  • 해외 퍼블리셔/지사에서 서비스하는 프로덕트에 대해서도 검증 및 고지 완료
  • 사내 Stackoverflow 서비스에 [오픈소스 지식채널]을 만들어서 질의 응답하고 있음

Q&A

  • 설문조사 참여율을 어떻게 높였는지?
    • 강제성 없이 설문조사했을 때에는 30%의 참여율을 보였으나, 더이상 권장하지는 않았음
    • 전사 교육 시행 시 설문조사까지 완료하여야 수료되도록 강제성을 부여했음

photo

OpenChain News

10 - 10th Meeting

Online Meeting, June 2021

Schedule

  • Schedule: 2021-06-22 (Tue) 3:00~5:00 PM
  • How to join
    • Zoom (Please refer to the e-mail for the access address)

Agenda

NoAgendaSpeakerSlide
0Intro & GreetingsNewcomersOpenChain_Korea_20210622_intro.pptx
1OpenChain UpdateShane Coughlan, Linux Foundation-
2OpenChain KWG Update장학성, SK텔레콤OpenChain_Korea_20210622_update.pptx
3FOSSLight Open Source Project김경애, LG전자210622_OpenChain_FOSSLight_LGE.pdf
4최근 주요 동향
- Google OSV (오픈소스 취약성) & Google Insight (오픈소스 BOM)
- NIPA 오픈소스 거버넌스 가이드

Robin (황민호), 카카오
이서연, 라인플러스

Google_OSV_and_Insight_황민호.pdf
NIPAGuide_Intro.pdf
5소그룹 모임All-
6Free DiscussionAll-

소그룹 모임 주제

  1. 자기 소개
  2. 하는 일, 최근 주요 관심사
  3. 다른 회사의 담당자에게 궁금한 것이 있다면?

Attendees

  • SK Telecom
  • LINE Plus
  • Kakao
  • LG Electronics
  • NCSOFT
  • Hyundai Mobis
  • Hyundai Motors
  • Hyundai Autoever
  • Samsung Electronics
  • KT ds

Video

Intro

OpenChain Update

OpenChain KWG Update

FOSSLight Open Source Project

최근 주요 동향

NIPA 오픈소스 거버넌스 가이드

Minutes

OpenChain Update (Shane Coughlan / Linux Foundation)

  • Security Guide 를 발간할 계획이 있으며, 현재 편집 중 (Link)

OpenChain KWG Update (장학성/SK텔레콤)

FOSSLight Open Source Project 소개 (김경애/LG전자)

  • FOSSLight Open Source Project 란?
    • FOSSLight 스캐너를 통해 소스코드, 디펜던시, 바이너리를 스캔하고
    • 스캔한 결과물을 FOSSLight System에 업로드하여
    • OSS Distribution Site에 공개할 수 있도록 고지문 발급하는 시스템
  • FOSSLight Source Scanner
  • FOSSLight Dependency Scanner
  • FOSSLight System
    • Open Source Compliance Process를 효율적으로 수행하는 시스템
      • LICENSE/OSS 정보 조회 및 관리
      • Project 단위로 OSC 수행 및 Status 관리
      • 3rd Party Project 관리
      • Vulnerability 관리
      • Self-Check 기능
  • 곧 Release 될 기능
    • FOSSLight Binary Scanner
      • Binary 실제 분석하는 것은 아님
      • Path 내 Binary를 추출하여 checksum, TLSH 추출
      • System Database와 비교하여 OSS 정보 자동 출력
    • FOSSLight REUSE
  • 특징
    • 동일한 OSS 이름이지만 다양하게 불리는 경우, Nickname을 등록하여 일관된 이름으로 통합 관리 가능
    • OSS Notice Format을 커스터마이징할 수 있음 (Company Name, Email 등)
  • FOSSLight Contribution Items
    • 버그 리포팅
    • 오타
    • 문서화 작업
    • 1인 OSC 담당자를 위한 Customizing
    • Distribution 단계 구현
    • 테스트 자동화 등

Google OSV & Open Source Insight (Robin Hwang/카카오)

  • Google OSV https://osv.dev/
    • SVE와 Sonatype OSS Index 등을 통해 취약성 데이터 베이스 확인
    • 구글이 OSS-Fuzz 프로젝트에서 발견한 데이터 세트를 제공
      • OSS-Fuzz: 소프트웨어 프로그래밍 오류를 발견하는 Fuzz Test 프로젝트
    • CVE의 경우, 취약성 정보를 특정 패키지 버전에 매핑하기 어려운 경우가 많음
  • Open Source Insight https://deps.dev/
    • Google에서 Open Source Insight 서비스 공개
    • 기존에 ClearlyDefined 서비스를 제공하고 있음
    • 직관적인 UI로 서비스 구성
    • 보안 취약성 정보를 연결, 종속성 그래프도 제공
    • 차별점
      • Npm과 같은 일반적인 도구 세트를 대체하려는 것은 아니고 패키징에 정의되어 있는 정보를 토대로 구성
      • Lock 파일에 선언된 종속성과 다르거나 더 완전할 수 있음
      • OpenSSF Score 도입

기업 공개 소프트웨어 거버넌스 가이드 (이서연/LINE 플러스)

  • 기업 공개 소프트웨어 거버넌스 가이드
    • NIPA 주관하고 오픈업이 연구 수행하여 국내 기업의 올바른 오픈소스 활용을 안내하기 위함
    • SKT, 라인, Kakao 에서 NIPA 기업 공개 소프트웨어 거버넌스 가이드 집필하였음
    • 실물 책자는 발간 진행 중이고, 웹 통해서 확인 가능
  • 오픈소스 사용하기
    • “기업 관리자편” + “개발자 편”으로 구성
  • 오픈소스 기여하기
    • 기업편: 기여 전략
    • 개발자편: 기여 준비 방법
  • 오픈소스 공개하기
    • 기업편: 어떻게 공개해야 할지, 공개 후 해야 할 일 등
    • 개발자편: 오픈소스 공개 준비 방법, 운영 방법
  • 다양한 의견과 컨트리뷰션 환영합니다.

photo

OpenChain News

11 - 11st Meeting

Online Meeting, September 2021

Schedule

  • Schedule: 2021-09-30 (Thu) 2:00~4:00 PM
  • How to join
    • Zoom (Please refer to the e-mail for the access address)

Agenda

NoAgendaSpeakerSlide
0Intro & GreetingsNewcomers-
1OpenChain UpdateShane Coughlan, Linux Foundation-
2OpenChain KWG Update장학성, SK텔레콤pdf
3오픈소스 라이선스 변화의 흐름Sean (김영환), 카카오pdf
4삼성전자 오픈소스 정책 및 프로세스 현황 소개정윤환. 삼성전자-
5최근 주요 동향
- 미 정부의 ‘SBOM’ 의무화
- Github Copilot 오픈소스 라이선스 논쟁
Robin (황민호), 카카오pdf
6소그룹 모임All-
7Free DiscussionAll-

소그룹 모임 주제

  1. 자기 소개 (하는 일, 최근 주요 관심사)
  2. 오픈소스 컴플라이언스 활동 이력 관리 방법 Best Practice 공유 (개발자와 이메일로 소통? Jira 등 도구 활용?)

Attendees

  • ETRI
  • 현대자동차
  • 현대오토에버
  • 현대모비스
  • 카카오
  • LG전자
  • 라인플러스
  • 엔씨소프트
  • 삼성전자
  • SK텔레콤
  • Linux Foundation

Video

OpenChain Update

OpenChain KWG Update

오픈소스 라이선스 변화의 흐름

최근 주요 동향

Minutes

OpenChain Update (Shane Coughlan / Linux Foundation)

  1. SK Telecom OpenChain ISO 인증 획득, Telecommunication 업계 중 최초
  2. Global Case Study: 10월~12월 내 운영 중 [https://www.openchainproject.org/featured/2021/09/22/automation-case-study]
    • 주제: Open Source Compliance Automation and Interoperability
  3. SPDX Specification 2.2.1 버전이 ISO 등재되었음 [https://www.iso.org/standard/81870.html]
  4. OpenChain Security Assurance Guide 준비 중
  5. OpenChain Supplier Education Pack 배포

OpenChain KWG Update (장학성/SK텔레콤)

  1. KWG 멤버 조건에 “기업/기관"으로 변경
  2. 삼성전자 & SK Telecom OpenChain ISO 인증 획득
  3. Tooling Subgorup에서 OSS Based Compliance Tooling Group에서 소개된 오픈소스 도구들에 대해 소개 예정
  4. OpenChain KWG Charter
    • 거버넌스 문서화 진행 중
    • 초안을 작성하고 있으나 많은 분들의 의견이 필요합니다.
  5. Blog Update : [https://openchain-project.github.io/OpenChain-KWG/blog/]
    • SK 텔레콤 개발자 소통 커뮤니티 DEVOCEON 론칭 뉴스
    • LG전자의 Fosslight 공개 뉴스
    • 카카오의 OLIVE 출시 뉴스
    • GPL v2.0의 설치 정보 요구 건에 대한 뉴스

오픈소스 라이선스 변화의 흐름 (Sean(김영환)/카카오)

  1. 라이선스 변경 이력
    • 2018년 10월, MongoDB : AGPL 3.0 → SSPL 1.0
    • 2019년 11월, Sentry : BSD 3-Clause → BUSL 1.1
    • 2021년 1월, ElasticSearch : Apache 2.0 → EL 2.0 or SSPL 1.0
    • 2021년 4월, Grafana : Apache 2.0 → AGPL 3.0
  2. Grafana : Apache 2.0 → AGPL 3.0
    • 변경 목적은 오픈소스 커뮤니티의 자유를 유지하면서, 오픈소스를 수정한 경우 기여 문화를 장려하기 위함
    • AGPL 특징
      • 네트워크로 서비스하더라도 소스코드 공개 필요
      • GPL 소프트웨어를 사용해서 SaaS로 서비스를 제공하면 공개 의무 없으나, AGPL은 소스코드 공개 의무 발생
    • Grafana 사용 가이드
      • Apache 2.0 적용 버전은 사용해도 이슈 없고, AGPL 3.0이 적용된 버전부터 사용 시 코드 공개 의무 있음
  3. MongoDB : AGPL 3.0 → SSPL 1.0
    • 변경 목적은 AGPL은 클라우드에서 제공이 배포인지, 아닌지에 대한 논란의 소지가 있어서 명확하게 라이선스를 SSPL로 변경한 것
    • 클라우드 서비스 업체가 커뮤니티에 기여하지 않고 대부분의 이익을 창출하고 있다고 비판
    • 클라우드 서비스에서 Strip-Mining을 하고 있다고 비판함 (Strip Mining: 산이라는 생태계는 파괴하고 필요한 자원만 캐는 행위)
    • SSPL v1.0 특징
      • 클라우드 서비스의 경우에 대해서도 소스코드 공개 의무사항을 요구 (13조항)
      • 서비스 소스코드: 프로그램 및 관리 소프트웨어 (API, 모니터링, 백업, 저장 S/W 등)
    • MongoDB 사용 가이드
      • MongoDB를 외부에 서비스로 제공하는 경우, 서비스 소스코드를 전부 공개해야 함
  4. ElasticSearch : Apache 2.0 → Elastic License 또는 SSPL 1.0
    • 변경 목적은 MongoDB와 사례와 동일
    • Elastic License 2.0 특징
      • 거의 모든 자유를 허용하지만 아래 2가지 제한사항만 있음
        1. 호스팅 등의 서비스로 제 3자에게 제공할 수 없음
        1. S/W 라이선스키에 대한 변경 및 라이선스키로 보호되는 S/W 기능 변경 금지
    • ElasticSearch v7.10까지는 Apache 2.0 적용, v7.11 이후부터는 SSPL 1.0 또는 EL 2.0 적용
    • Elastic Search 사용 가이드
      • 7.11 이후부터 ElasticSearch를 외부에 서비스하는 경우 적용된 라이선스에 따라 서비스 소스코드를 전부 공개하거나 Elastic과 계약 필요함
      • X-pack 디렉토리 하위는 Elastic 라이선스 적용
  5. Sentry : BSD 3-Clause → BUSL 1.1
    • 변경 목적은 Sentry 초기 개발 때 1인 개발로 시작했으나, 프로젝트가 커지면서 수익 창출이 필요했고 Sentry를 판매하는 다른 회사로부터 보호하기 위해 라이선스 변경
    • BUSL 1.1 특징
      • 2016년 MariaDB에 적용된 라이선스
      • 사용자는 소스코드를 수정하고 컴파일 가능
      • 상용 서비스 목적으로 사용을 금지하며, 배포 후 특정 시점이 지나면 Apache License 2.0으로 변경됨
    • Sentry 사용 가이드
      • 9.1.2 버전까지는 BSD가 적용되며 상용 서비스에 사용 가능함
      • 10.0.0 버전부터는 BUSL가 적용되며 상용 서비스에 사용 불가, 3년 지난 후부터 상용 서비스 가능
  6. 최근 AWS와 오픈소스 프로젝트들의 협력 사례들
    • Amazon Managed Grafana 정식 출시
      • Grafana Labs와 협력을 통해 개발 진행
    • Amazon OpenSearch Service 정식 출시
      • Elastic Search의 Apache 버전을 포크하여 OpenSearch 작업
  7. Shared Source Software 등장
    • 지적재산권은 보호하면서, 소스코드는 제공하는 소프트웨어
    • 클라우드 등 상용 서비스로 제공 금지

삼성전자 오픈소스 정책 및 프로세스 현황 소개 (정윤환/삼성전자)

  1. 정책의 필요성
    • 오픈소스 사용 정책은 2009년 BusyBox 사건으로 인해 오픈소스 소프트웨어 사용에 대한 정책의 중요성이 대두되었음
    • 오픈소스 기여 정책은 2011년 Tizen 오픈소스를 출범하면서 기여에 대한 정책이 필요해짐
  2. 오픈소스 서비스(사이트, 검증도구) 구축
    • 2018년 이전
      • 사내: Protex, BSI, AVAS 등의 검증 도구 사용, 사업부 별로 관리 시스템 별도 구축
      • 사외: OSRC, GitHub
    • 2021년 현재
      • 사내: 오픈소스포털(SOSHUB) 구축
        • 검증도구, 사업부별 관리 시스템, 오픈소스 정책 통합
        • 오픈소스 프로세스 자동화
        • 오픈소스 DB 구축
        • 오픈소스 검증체계 강화: 사전/실시간 검증 추가
      • 사외: SamSung Open Soure 구축

최근 주요 동향 (Robin(황민호)/카카오)

  1. 미 정부의 SBOM 의무화
    • 미국에서 최근 대형 보안 사고가 있었음 (SolarWinds 사태, Exchange 사태, Colonial PiPeline 사태)
    • 지난 5월 행정명령을 통해 SBOM 위상을 격상하였음
    • 주요 내용 중 오픈소스와 관련된 부분은 “소프트웨어 공급망을 개선"해야 한다는 내용이 있었음
    • 관련하여 Supplier Name, Component Name 등 SBOM 최소 필수 요소를 지정하였음
  2. GitHub Copilot 오픈소스 라이선스 논쟁
    • Copilot은 GitHub에서 내놓은 서비스이며, AI 머신 러닝 기술을 이용해 코드를 자동 완성해주는 기능
    • Sentry의 한 개발자는 GiGhub에 있는 본인의 GPL 코드가 AI 학습에 포함되었음을 영상으로 제작하여 공개함
    • Copilot이 저작권 침해를 저지르고 있는가? 라는 논쟁이 있었으나 GitHub 측에서는 GitHub에 공개된 코드는 트레이닝(학습)에 쓰여질 수 있고, 라이선스 타입을 구분하지 않는다고 답변하였음
    • Fossa의 법적 해석에 따르면, 사용자는 Copilot이 제안하는 코드를 참고만 하고 그대로 사용하지 않는 것이 좋다는 의견

photo

OpenChain News

12 - 12nd Meeting

Online Meeting, December 2021

일정

  • 일정: 2021-12-20 (월) 오후2시~
  • 장소
    • Gather Town (접속 방법은 별도 메일 공지 참고)

Agenda

NoAgendaSpeakerSlide
1OpenChain UpdateShane Coughlan, Linux Foundation-
2OpenChain KWG Update장학성, SK텔레콤pdf
3중국 GPL 소송 사례장학성, SK텔레콤pdf
4최근 소송 사례 : Stockfish v. ChessBase, SFC v. Vizio박원재, LG전자pdf
5Shift-left and Automate Compliance ChecksArlo (하헌관), 카카오뱅크pdf
6소그룹 모임 (Case Study)All-
7오징어게임All-
8오픈소스 보안취약점 공격 유형Robin (황민호), 카카오pdf

소그룹 모임 주제

  1. (개인, 회사) 올 한해 어땠는지? 내년 계획이 있다면?
  2. KWG에 바라는 점이 있다면 (한분이 취합하여 공유)

Video

OpenChain Update

OpenChain KWG Update

중국 GPL 소송 사례

최근 소송 사례 : Stockfish v. ChessBase, SFC v. Vizio

Shift-left and Automate Compliance Checks

오픈소스 보안취약점 공격 유형

Minutes

OpenChain Update (Shane Coughlan / Linux Foundation)

  1. OpenSource License Compliance Management Training course 개설
    • 무료로 이용 가능하며, Certification도 획득 가능
  2. 첫번째 Playbook 발간
    • 중소 규모의 기업에서 어떻게 OpenChain을 도입할 수 있는지 가이드

위 두 자료는 [https://www.openchainproject.org/]에서 확인할 수 있음

중국 GPL 소송 사례 (장학성 / SK Telecom)

  1. VirtualApp 소송 사례
  • 원고: Jining Luohe Network Technology Co., Ltd (VirtualApp 저작권자)
  • 피고: 세 곳의 회사
    • Fujian Fengling Chuangjing Technology Co., Ltd. (Dim Sum Desktop 저작권 소유자)
    • Beijing Fengling Chuangjing Technology Co., Ltd. (1번 회사의 모회사이며, Dim Sum Desktop 개발사)
    • Shenzhen Tencent Computer System Co., Ltd. (Dim Sum Desktop을 운영하기 위한 서비스인 Application Bao 운영)
  1. VitualApp이란?
    • VirtualApp은 가상 Android 환경을 제공하는 소프트웨어이며, GPL 3.0이 적용됨
    • 그러나 2017년 1월 24일에 “당신은 이 프로젝트를 무료로 사용할 수 있는 권한이 없다” 라는 안내가 추가됨
    • 2017년 8월에 VirtualApp을 설립하고 상용 비즈니스 시작
    • 2017년 10월에 오픈소스 라이선스 제거
  2. Dim Sum Desktop
    • VirtualApp과 마찬가지로 가상 Android 환경을 제공하는 소프트웨어
    • Dim Sum Desktop은 GitHub에 공개된 VirtualApp의 2018년 8월 16일자 버전을 받아서 개발됨 (GPL 3.0이 적용된 버전이지만, 상업적 사용을 금지한다는 문구도 포함되어 있음)
  3. 소송 제기
    • 원고는 소프트웨어 저작권 침해를 중단할 것을 요구하였음 (즉, Dim Sum Desktop 소프트웨어의 다운로드, 설치, 운영 중단 요구)
    • 경제적 손실 배상과 합리 비용을 배상할 것을 요구
  4. 법원 판결
    • 중국은 영문을 기반으로 한 오픈소스 라이선스의 법적 효력을 인정하고, 라이선스 위반을 저작권 침해로 판결

상세한 내용은 링크에서 확인할 수 있음

최근 소송 사례: Stockfish vs ChessBase, SFC vs Vizio (박원재 / LG전자)

  1. Stockfish vs ChessBase
    • 원고: Stockfish 개발자들
    • 피고: ChessBase GmbH
    • 사건
      • Stockfish는 Glaurung Engine을 기반으로 개발되었으며, GPL 3.0이 적용됨
      • ChessBase에서 판매하는 Fat Fritz는 Neural Network 기술이 사용되었고, Fat Fritz 2에서는 Stockfish 가 사용됨
      • ChessBase는 Fat Fritz 2 SE를 판매하고 Source code 공개하고 있으나, Neural Network의 weight를 공개하지 않아 논란이 됨
    • 쟁점
      • Weight 값이 파생 저작물 범주에 포함되는가? 코드와 데이터의 경계이므로 애매하고, 법원 판결을 기다려야 함
      • Licensor가 License의 GPL 3.0을 일방적으로 종료할 수 있는가? Weight가 파생저작물 범주에 포함되지 않는다고 판단하면 현 시점에는 ChessBase가 위반한 것으로 판단
  2. SFC vs Vizio
    • 원고: SFC (오픈소스 프로젝트에 법률 서비스를 제공하기 위한 회사
    • 피고: Vizio (전자기기 제조 회사)
    • 사건
      • Vizio는 SmartCast 라는 자체 OS를 바탕으로 TV 제조/판매
      • SFC에 Vizio가 리눅스 기반으로 만들었으나 GPL, LGPL 소스코드의 제공 또는 Written Offer 제공에 대한 의무사항을 이행하지 않는다는 제보를 받음
      • 알고 보니, 2018년~2020년에 여러 차례에 걸처 소스코드를 제공했으나 컴파일 가능한 형태가 아니였고, 지속적인 보완을 요구함
      • 2020년 1월 이후부터는 커뮤니케이션이 단절됨
      • 2021년 10월에 SFC에서 소송 제기
    • 쟁점
      • 보통은 비영리 단체가 오픈소스 저작권자를 대신하여 소송을 제기하는데, 이번 건은 소비자가 고소를 한 것이므로 주목을 받게 됨

Shift-left and Automate Compliance Checks (Arlo(하헌관) / 카카오뱅크)

  1. Shift-left 테스트가 무엇인가?
    • 요구사항, 설계, 테스트, 배포까지의 개발 라이프사이클에서 품질에 대한 검증을 초기 단계부터 집중하자라는 것
    • 릴리즈 단계로 갈수록 리스크 대응 비용이 커지기 때문
  2. FossID를 통한 자동화 구성
    • Rest API 문서들이 잘 작성되어 있어서 자동화 구현에 용이하였음
    • 전반적인 구성
      1. Gitlab 에서 코드 다운로드
      2. FOSSID API 통해 스캔, 결과 취득, 보고서 생성
      3. Jenkins 통해 칸반에 이슈 등록 (FossID 스캔 링크와 html 리포트 첨부)
  3. 추후 Plan
    • DevSecOps 구축
      • 개발과 보안을 함께 챙길 수 있도록 프로세스 운영
  4. Q&A 세션
    1. 어느 시점에 검증 리포트 요청을 하는게 좋은가?
      • (SKT) 첫 빌드가 되면
      • (LG전자) 형상관리 생서되면
      • (카카오뱅크) 개발자가 커밋을 하는 시점
      • (LINE) 기업의 개발문화에 따라 정하는게 좋을 것
      • (현대모비스) 개발하면서 부분적인 코드를 fossID 통해서 검증해보는 기능도 있다고 함
      • (카카오) IdE 플러그인 설치하고 코드 작성 전에 체크하는 추세가 많은 듯
    2. 카카오에서 개발한 OLIVE를 사용하지 않는 이유는?
      • (카카오) 웹 서비스로만 제공하고 있어서 카카오 뱅크와 같은 금융권에서는 보안상 사용이 어려움. CLI를 준비하고 있음.

사례로 보는 오픈소스 보안 취약점 공격 유형 (Robin(황민호) / Kakao)

  1. Log4shell
    • JNDI를 통한 원격 코드 실행이 가능했음
    • 2.15.0 버전이 배포된 후에도 DDoS 공격 취약점이 발견되어 패치 버전이 계속 배포되고 있음

    CVE란 공개적으로 알려진 컴퓨터 보안 결함 목록
    CVE - 4자리 연동 – 순차 식별자로 구성됨
    NVD 사이트에서 별도 데이터베이스로 관리되고 있음

  2. Dependency Confusion
    • Dependency Hijacking
      • 패키지 매니저가 비공개 저장소에서 서드 파티 패키지를 끌어오는 기본 방식에서 발견된 결함
      • Private repository에서 가져와야 하는데, 악성 코드가 심어진 public repository에서 설치하게 만듬
      • MS 백서의 가이드
        1. 여러 개가 아닌 하나의 private feed를 참조
        2. 제어된 범위를 명시적으로 지정하여 패키지 보호
        3. Client 측에서 검증 기능을 활용
    • Typosquatting
      • 오픈소스를 검색할 때 단순한 오타를 유도하는 공격 방식
      • 주로 Pypi, NPM, Ruby gem 에서 발견
      • 예시) Jellyfish > jeIlyfish, Lodash > lodahs
    • Malware
      • 오픈소스에 악성 소프트웨어를 포함하여 배포
      • 예시
        • Event stream : 꽤 인기있던 npm 라이브러리의 하위 종속성인 flatmap-stream 에 비트코인 지갑을 훔치는 멀웨어가 포함되어 배포됨
        • Rest-client : 1.6.13에 특정 사이트에서 원격 코드를 가져오고 외부 서버로 보내도록 악성 코드를 포함시킴
        • Octopus scanner : netbean 저장소를 감염시켜 jar 바이너리, 프로젝트 파일 및 종속성 내 악성 페이로드를 배포, 감염된 저장소가 개발 환경에 복제 또는 fork 될 경우 악성코드에 감염됨
    • Stealing administrator privileges
      • 비밀번호 유출이나 무차별 대입시도로 인해 오픈소스 관리자의 계정을 탈취하여 악성코드가 포함된 오픈소스가 배포되는 케이스
      • 예시
        • Bootstrap-sass : bootstrap의 saas 버전에 악성코드가 심어져서 쿠키 파일을 로드하고 내용을 실행 시킴
        • Ua-parser-js : 클린 버전을 패치 버전으로 설치할 때 활성화되는 악성코드를 포함시킴, 암호화폐 채굴 소프트웨어를 다운로드하고 실행시키는 코드
    • Next-gen attack
      • Software supply chain 이나 IDE 플러그인 등을 대상으로 하는 차세대 공격
      • 예시
        • Codecov : 도커 이미지 생성할 때 프로세스의 버그를 악용하여 자격 증명을 취득, CDN 버킷에 access 하여 bash 스크립트를 악의적으로 변경
        • Vs-extension : visual studio 확장 프로그램을 통해 공격자는 RSA 키 등 중요한 정보를 훔쳐 VCS에 접근하거나 Production 서버에 연결하여 시스템을 손상시킴
  3. 보안취약점을 피하는 실무 팁 4가지
    1. 내 소프트웨어가 어떤 구성으로 되어 있는지 파악하기
    2. 종속성 문제 해결
    3. 코드 스캔 자동화를 통해 알려지지 않은 불확실한 요소를 찾기
    4. 라이선싱 위험에 주의하기
    5. 구글에서도 프레임워크를 제안하고 있음
      • 구글과 OSSF에서 오픈소스 위험 점수를 생성하는 자동화 도구인 SCORECARD V2 출시함

photo photo

후원

13 - 13th Meeting

Online Meeting, March 2022

일정

  • 일정: 2022-03-16 (수) 오후2시~4시
  • 장소: Zoom (접속 방법은 별도 메일 공지)

Agenda

NoAgendaSpeakerSlide
1OpenChain UpdateShane Coughlan, Linux Foundation-
2OpenChain KWG Update장학성, SK텔레콤pdf
3오픈소스 최신 동향
- 러시아의 우크라이나 침공을 대하는 오픈소스 생태계의 움직임
황민호(Robin), 카카오pdf
4카카오와 카카오뱅크의 ISO/IEC 5230 인증 사례 공유황은경(violet), 카카오
하헌관(arlo), 이민애(may) 카카오뱅크
pdf
pdf
5현대모비스 오픈소스 관리체계 및 현안전미진, 현대모비스pdf
6오픈소스 라이선스 사전/실시간 검증도구 오픈소스화 추진계획정윤환/홍문기, 삼성전자pdf
7소그룹 모임 (Case Study)All-

Video

OpenChain Update

OpenChain KWG Update

오픈소스 최신 동향

카카오와 카카오뱅크의 ISO/IEC 5230 인증 사례 공유

현대모비스 오픈소스 관리체계 및 현안

오픈소스 라이선스 사전/실시간 검증도구 오픈소스화 추진계획

Minutes

OpenChain Update (Shane Coughlan / Linux Foundation)

  1. OpenChain ISO/IEC 5230 Conformance 신규 인증 기업
    • BlackBerry
    • SAP
  2. OpenChain Governing Board 신규 가입 기업
    • NEC
    • Block
  3. 오픈소스 보안 취약점에 대한 표준안 제정
    • Security Specification Draft 버전 작성
    • 글로벌 커뮤니티에서 다양한 시각으로 피드백 요청
  4. OpenChain 커뮤니티 활성화 방안 모색
    • 한국, 일본 OpenChain 커뮤니티처럼 유럽의 커뮤니티도 활성화될 수 있도록 방안이 모색되어야 함

OpenChain KWG Update (장학성 / SK Telecom)

  1. Planning Group 22년 1분기 모임 진행
    • Agenda
      • 1분기 KWG 모임 준비
      • 2022년 Linux Foundation 지원 예산 활용 방안
  2. Tooling Group 1st 모임 진행
    • Agenda
      • SCANOSS 소개
      • 사전검증/실시간검증도구 소개
  3. 새해 선물 from 현대 모비스 (Thanks to 전미진님,이영준님 :) )
  4. OpenChain 국제 표준 인증 획득
    • 카카오
    • 카카오뱅크
  5. OpenChain KWG Charter 초안 작성
  6. Blog Update

오픈소스 최신 동향 (Robin(황민호) / Kakao)

  1. 러시아의 우크라이나 침공을 대하는 오픈소스 생태계
    • 최근 글로벌 IT 업계 흐름
      • 아마존, MS, 구글, 오라클 등 글로벌 IT 기업들이 러시아 보이콧에 합류하고 있음
      • 러시아는 IT기업들이 보이콧을 하자 불법복제 SW를 합법화를 추진하였다고 보도함
    • 오픈소스 생태계에서의 흐름
      1. OpenBLAS는 러시아산 프로세서 지원을 제거하겠다고 함
      2. GitHub 공개 피드백 토론
        • GitHub은 러시아 개발자 접근을 제한해야 한다는 공개 토론이 열렸음
        • 러시아의 GitHub 사용자들을 제재하는 것은 올바른 방법은 아니라는 부정적 의견이 대부분이었음
        • GitHub 담당자가 GitHub 정책에 대해 토론 후 종료시킴
        • 참고) 2019년 미-중 무역 전쟁 중에도 GitHub이 무역제재 대상 국가의 접속을 차단하자 중국은 자체적으로 Gitee 라는 사이트를 구축하였음
      3. Scarf 러시아 오픈소스 패키지 엑세스 제한
        • 오픈소스 패키지 배포 제한을 두는 방식으로 보이콧을 표현하였고, 타 패키지 매니저도 참여하기를 희망함
      4. Libreplanet 토론
        • 러시아에 우리 소프트웨어 access를 제한해야 하는가 라는 토론이 있었고, 리차드 스톨만은 FSF의 4가지 자유에 의해 프로그램 실행의 자유를 제한해서는 안된다고 주장함
        • 리차드 스톨만과 다른 입장을 가진 여러 의견도 등장하였음
      5. MeetingBar 오픈소스 프로젝트의 기금 마련 운동
        • MacOS 메뉴바 오픈소스 라이브러리인 MeetingBar 프로젝트에서 우크라이나 군대를 위한 기금 마련 운동 참여

카카오와 카카오뱅크의 ISO/IEC 5230 인증사례 공유 (Violet(황은경) / Kakao, Arlo(하헌관), May(이민애) / KakaoBank)

  1. 카카오의 인증사례

    • OpenChain Study
      • 2019년부터 스터디는 시작하였고, OpenChain 2.1이 발간된 후부터 본격적으로 스터디 시작
    • 이슈 할당
      • 각 Spec 항목별로 Jira 이슈를 할당하였음
      • 기존 정책을 보완해야 할 점들을 정리하였음
    • 프로젝트 홀딩
      • OpenChain Specification은 각 항목이 연결되어 있는데, 각 항목별로 담당자를 지정한 것이 문제였음
      • 전체 스펙에서 필요한 것들을 리스트업하고 주제 별로 일을 나누었어야 함
    • OpenChain 인증 자료 정리
    • 정책 및 프로세스 정리
      • SKT의 자료를 참고하여 Kakao의 내부 규정에 맞게 변경하였음
    • OpenChain KWG Conformance Group 리뷰
      • Self Certification 순서대로 내용을 설명하면서 Q&A 진행
      • 주요 Q&A
        • 책임자가 의사결정자로 지정해야 하는가? 조직의 내부 상황에 맞게 지정하면 됨
        • 보안취약점 도구 구축이 필수는 아닌 것 같은데 책임과 역할을 어떻게 정리해야 하는가? ISO 인증 기준에 보안과 관련해 정해진 내용은 없음
        • 오픈소스 전사 가이드를 Wiki에 정리하였는데, 그 외 경로도 필요한지? 구성원이 1년에 한 번 정도는 반드시 열어보게 하는 절차가 있으면 좋을 것임
        • 오픈소스 교육 평가 데이터가 인증서에 필요한가? 자료를 요구하는 경우는 거의 ㅇ벗기도 하지만, 평가 후 기준에 도달하도록 해야 함
        • OSPO는 교육 과정이 따로 필요한가? 필수로 요구되지는 않음
    • OpenChain 인증
      • Self Certification 체크 후 OpenChain General Manager인 Shane에게 인증을 알리고 어나운스 해달라는 메일 발송
      • Shane에게 로고와 인용문을 전달
      • PR 담당자와 보도자료 준비하는 과정이 필요하고, OpenChain 웹사이트에 등록할 영문 인용문을 준비해야 함
  2. 카카오뱅크의 인증사례

    • 오픈소스 도구 검토
      • FOSSID 검토 및 오픈
    • 오픈소스 컴플라이언스 프로세스 마련
      • FOSSID API를 활용하여 자동화
      • 고지문 발급 자동화
      • 고지문 웹/앱 테스트 환경
    • 오픈소스 조직, 정책, 교육 준비
      • NCSOFT의 OpenChain 인증 사례 발표를 본 후 작년 11월 중순부터 OpenChain 준비
      • Specification의 조직, 정책, 도구, 교육, 프로세스에 대한 항목을 나열하고, 요구사항 충족을 위한 준비
      • 법무 및 보안팀, 기술 전략팀 담당자들과 협의하여 조직 셋업
      • Wiki에 프로세스나 가이드 공개
    • KWG 리뷰 및 PR팀 협의, 기타 인터뷰
      • OpenChain KWG 그룹 리뷰 후 PR팀과 협의하여 인증 선언
      • 이후 카카오 내 DevCon에서 발표와 인터뷰도 진행하였음
    • Lessons Learned
      • 잘한점: KWG 그룹에 참여하여 빠른 인증 준비가 가능했고, 자동화 환경을 잘 구축하였음
      • 아쉬운점: 사내 교육 시스템이 없어서 직접 교육자료를 만들어서 세미나 형태로 개발자 교육을 했었는데 체계화된 교육이 필요하고, 금융업이다 보니 기여나 공개에 소극적이었음
      • 인증 이후 반응: 국제표준을 획득함으로써 신뢰도가 높아지고 인터뷰를 진행하면서 오픈소스 컴플라이언스에 대해 홍보가 되었음
      • 계획: Olive CLI 도입 및 망분리 금융망 도입

현대모비스 오픈소스 관리 체계 및 현안 (전미진 / 현대모비스)

  1. History
    • 2012년에 타 용도로 구축된 서버로 오픈소스 관리를 2018년까지 하고 있었음
    • 2018년까지는 오픈소스 관리, 규정 개정과 보고 정도만 진행하고 있었음
    • 2019년에 OpenSource Summit을 참여한 후 오픈소스 관리 업무를 확장하게 되었음
    • 최근에는 현대모비스에서 고객사에게 제품을 공급하듯, 현대모비스로 소프트웨어가 임베디드된 제품이 공급어서 공급망 관리가 필요하다는 것을 인지하였고, 자동화에 대한 니즈도 있음
  2. Scope
    • 오픈소스 뿐만 아니라 보안에 대한 검토도 요청하기도 하는데, 사내에 오픈소스와 보안 조직이 분리되어 있음
    • 하지만 보안 조직과도 협업을 해야 원활한 오픈소스 컴플라이언스가 될 것으로 생각함
  3. 프로세스
    • 설계자가 소스코드를 업로드
    • 오픈소스 관리팀에서 툴 DB와 자동 분석
    • 별도의 검증 기관에서 식별 완료 및 보고서 생성
    • 오픈소스 관리팀에서 검증 보고서 확인 후 규정 준수 여부 검토
    • 설계자는 시정 조치 및 수행
    • 오픈소스 관리팀에서 고지 정보 공개
  4. 21년 추진 과제
    • 자동차에 들어가는 부품이 무수히 많고 공급망이 많이 얽혀 있어서 공급망 관리에 중점을 두고 진행함
  5. 22년 추진 과제
    • OpenChain 인증 준비
    • 소스코드 및 바이너리 자동 검증 자동화 시스템 구축

오픈소스 라이선스 검증도구 오픈소스화 추진계획 (정윤환, 홍문기 / 삼성전자)

  1. 배경
    • 기존 사후 검증에 이슈 발생 시 재개발 및 상품화 지연 이슈 발생
    • 사전/실시간 검증 절차를 도입하여 라이선스 검증 시점 shift-left
    • 사전/실시간 검증의 효율화, 안정성 강화 추진하고자 함
  2. 방법
    • 자유로운 사용과 기여가 가능한 거버넌스 체제 구축
    • 오픈소스 기반 협력을 통해 검증 기능 강화하고 DB 확대
  3. 목표
    • 검증 도구 협력 개발 및 공동 DB 구축
    • 오픈소스 컴플라이언스 표준 정책 수립
    • 중소기업, 기관, 개인의 오픈소스 검증 지원
  4. 오픈소스화 대상
    • 오픈소스 및 라이선스 DB
    • 라이선스별 사용 정책 관리 도구
    • 실시간 검증 도구 및 가이드 문서
    • 사후 검증 도구 및 가이드 문서
  5. 아키텍처
    • 마이크로 서비스 구조로 사용 정책과 오픈소스, 라이선스 데이터 베이스 별도 구성
  6. 오픈소스 추진 계획
    • 4월: Founder 모집 (운영/기술파트)
    • 5월: 오픈소스 추진 협의
    • 6월: 프로젝트 릴리즈 준비
    • 9월: v1.0 릴리즈
  7. 요청사항
    • 오픈소스 추진 협의에 참석을 원하시거나 정보를 받고 싶은 분들은 삼성전자 오픈소스 사무국 (oss.ofice@samsung.com) 으로 요청 (~4/15)
      • 이름/소속/전화번호/이메일/참여 목적/관심 분야/하고 싶은말

Platinum

14 - 14th Meeting

Online Meeting, June 2022

일정

  • 일정: 2022-06-21 (화) 오후2시~4시
  • 장소: Zoom (접속 방법은 별도 메일 공지)

Agenda

NoAgendaSpeakerSlide
1OpenChain UpdateShane Coughlan, Linux Foundation-
2OpenChain KWG Update장학성, SK텔레콤pdf
3SFC vs. Vizio, GPL 소송 판결 겉핥기장학성, SK텔레콤Link
3.5Quick session : FOSSID 사용팁김영환(Sean), 카카오pdf
4소그룹 모임 (Case Study)All-

소그룹 모임 : 2개 세션으로 구성

Session 1. 주제 토론

  • 주제 1: 오픈소스 라이선스 이슈
  • 주제 2: ISO5230 인증 준비
  • 주제 3: 사내 개발 문화
    • 기술 블로그 운영/활성화 방안
    • 자발적인 오픈소스 개발 문화 형성
  • and others

Session 2. Just small talk

nipa

photo

Video

OpenChain Update

OpenChain KWG Update

SFC vs. Vizio, GPL 소송 판결 겉핥기

Quick session : FOSSID 사용팁

Minutes

OpenChain Update (Shane Coughlan / Linux Foundation)

  1. Open Source Safety Foundation (OpenSSF)
    • 현재까지 1,100만 달러가 넘는 투자를 받았음
    • 중국과 일본의 기업에서도 활발하게 논의되고 있음
    • 6월말에 이사회에서 보안에 대해서도 Specification으로 지정할 것인지에 대한 사안이 결정될 예정
  2. 소기업에서 OpenChain에 접근하기 위한 아이디어 요청
    • 최근에 OpenChain ISO 기준에 많은 기업들이 관심을 갖고 있음 (특히 독일)
    • 그러나 작은 기업에서 어떻게 OpenChain을 접근할 수 있는지 고민이 필요함
    • 전세계 여러 기업에서 자유로운 의견을 주시면 좋을 것
  3. Markdown 문서 작성 도입
    • 쉽게 제출하고, 편집할 수 있는 문서 작성 방법으로 Markdown 검토
    • 점진적으로 Markdown 형식으로 변환하려 함

OpenChain KWG Update (장학성 / SK Telecom)

  1. 2분기 정기 모임을 준비하기 위한 운영진 모임 있었음(5/20)

  2. Tooling Group 모임이 2회 진행됨 (4월/5월)

    • 4월 세미나
      • FOSSID 리뷰 (카카오)
      • 오픈소스 검증 도구 오픈소스화 계획 현황 (삼성전자)
      • 개방형 오픈소스 컴플라이언스 서비스 플랫폼 개발 및 확산 계획 (ETRI)
    • 5월 세미나
      • LINE의 FossLight 도입 경험 (LINE Plus)
      • OLIVE CLI 소개 (카카오)
      • 오픈소스 라이선스 사전/실시간 검증도구 데모 (삼성전자)
  3. Conformance Group 모임 예정 (7/19)

    • ISO/IEC 5230에 적합한 프로그램 구축을 위한 Community 차원의 협업
    • 비정기 미팅이며, 1~2시간 가량 온/오프라인 미팅이 있을 예정
    • 질의응답 형태의 이슈 논의 & 협업 방식으로 진행 예정
    • 현재 가입 멤버는 SK Telecom, LG전자, 카카오, 현대오토에버 등이 있으며, 가입을 희망하신다면 장학성(haksung@sk.com)으로 문의 바람
  4. 글로벌 OpenChain 굿즈 제작 (designed by Soim)

  5. OpenChain Korea Work Group Charter 확정

    • 주요 내용: Membership, Organization, 선거
    • Membership
    • 기업/기관 담당자에 한하여 참여
    • Subgroup Member는 기업/기관 담당자가 아니더라도 누구나 참여 가능
    • Organization
    • 운영 위원회: 그룹을 운영하는 운영진 역할 (7명으로 제한)
    • 선거
    • 운영위원회 선출
    • 상세 내용은 링크에서 확인 가능
  6. 운영위원회 선출

    • 역할: 정책 수립, Charter 작성, 정기 미팅 운영, 주요 의사결정 수행, 예산 집행 등
    • 기존 Planning Group 멤버 5인 + 카카오, 삼성전자 두분 추천 (황은경님, 정윤환님)

SFC vs Vizio 판결 겉핥기 (장학성 / SK Telecom)

법률 전문가의 견해가 아니므로 용어나 해석에 오류가 있을 수 있음

  1. 기초 배경 지식
    • 저작권법과 계약법의 차이
    • 저작권법: 이용권자는 저작권법이 허락하는 이용 방법 및 조건에 대해서 저작물 이용 가능
    • 계약법: 라이선서와 라이선시 간의 합의에 의해 계약이 됨 (오픈소스가 이에 해당됨)
    • 미국 연방법원과 주법원
    • 주법원: 주마다 있고, 주민의 개인적인 삶에 영향을 미치는 사건을 다룸
    • 연방법원: 제한된 사건만 다루고, 헌법, 연방범죄, 군법, 지적재산권, 저작권법 등을 다룸
  2. SFC vs Vizio 판결
    • SFC: 계약 위반 + 선언적 판결을 요청함
    • Vizio: GPL 위반은 저작권법 침해이고, 주 법원에서 다룰 사안이 아니라고 반박함
    • 미국 법원은 Motion to Remand를 승인하여 주 법원으로 환송함
  3. 주목할만한 점
    • 이번 소송은 저작권법이 아닌 계약법으로 논의
    • 주법원에서 논의됨
    • 저작자가 아닌 제품의 구매자가 소송을 제기함
    • SFC = Third Party Beneficiary (“SFC가 GPL 계약의 제삼자 수혜자"라는 논리로 소송이 제기됨)
  4. 연방 법원 판결
    • 이 소송이 연방 저작권법에서 다루는 일반적인 범위에 해당된다면 연방 관할권을 생성하지만,
      연방 저작권법에 의해 선점되지 않는다고 주장하려면 소송 원인이 저작권이 보호하는 권리 이외의 권리를 보호해야 한다.
    • 연방법원 판결 결과, 주 법원으로 환송 승인하였으며 아직 소송 진행 중

FOSSID Ignore Rule 적용하기 (Sean / Kakao)

  1. Ignore Rule 적용의 진실
    • API문서나 가이드에 디렉토리/파일에는 정규식이 지원되고 확장자는 정규식이 지원되지 않는다고 나와있음
  2. 디렉토리 규칙
    • 정규식을 고려하지 않고 규칙을 적용하면 잘못된 경로가 제외될 수 있음
    • 정규식을 고려해서 규칙을 적용해야 함 (예) ^[.]git($1/)
  3. 파일 규칙
    • . 을 임의의 문자로 알 수 있어서 잘못된 파일이 제외될 수 있음
    • 정규식을 고려해서 규칙을 적용해야 함 (예) build[.]gradle
  4. 확장자 규칙
    • 정규식이 지원되지 않음
    • 확장자 이름만 작성하면 됨 (예) gradle 이라고 적용하면 build.gradle 파일이 제외됨

Photo

15 - 15th Meeting

2022년 9월, 온라인 미팅

일정

  • 일정: 2022-09-21 (수) 오후2시~4시
  • 장소: Zoom (접속 방법은 별도 메일 공지)

Agenda

NoAgendaSpeakerSlide
1OpenChain UpdateShane Coughlan, Linux Foundation-
2OpenChain KWG Update장학성, SK텔레콤pdf
3자동차 분야의 SW 자산관리체계 및 현대차그룹 ISO/IEC 인증현대자동차 백송하 책임
현대오토에버 류창한 책임
pdf
4중국 오픈소스 소송 사례: 숫자천당 v. 유자ETRI 박정숙사례분석, 판결문번역
5SFC vs. Vizio 소송 파헤치기삼성전자 정윤환pdf
6소그룹 모임 (Case Study)All-

nipa

Video

16 - 16th Meeting

2022년 12월, 온라인 미팅

일정

  • 일정: 2022-12-02 (금) 오후2시~4시
  • 장소: Zoom (접속 방법은 별도 메일 공지)

Agenda

NoAgendaSpeakerSlide
1OpenChain UpdateShane Coughlan, Linux Foundation-
2OpenChain KWG UpdateSK텔레콤 장학성pdf
3GitHub Copilot이 집단소송을 당했다고?라인플러스 김동혁pdf
4OLIVE Platform Code Snippet 분석 기능 소개카카오 이기문pdf
5오픈소스 라이선스가 요구하는 고지 의무와 SBOM 표준(SPDX)에 기반한 오픈소스 고지문 자동 생성 방안SK텔레콤 장학성pdf
62022 Awards라인플러스 이서연-
7소그룹 모임 (Case Study)all-

sponsor

Minutes

발표 요약 : GitHub Copilot이 집단소송을 당했다고?

  • GitHub인수부터 Copilot 출시까지 MS의 전략
  • Copilot 이란?
  • Copilot 집단 소송
    • 원고 : GitHub 저작권 소유자 집단 vs 피고 : Microsoft, GitHub, OpenAI 등
    • 원고측이 주장하는 피고측의 위반 사항들 법적근거 리뷰

발표 요약 : OLIVE Platform Code Snippet 분석 기능 소개

발표 요약 : 오픈소스 라이선스가 요구하는 고지 의무와 SBOM 표준(SPDX)에 기반한 오픈소스 고지문 자동 생성 방안

  • 주요 오픈소스 라이선스의 고지 의무 : 저작권 표시, 라이선스 사본 첨부, (GPL 계열 오픈소스 라이선스의 경우) Written Offer
  • SBOM 표준 : SPDX
  • SPDX 기반 오픈소스 자동 생성 도구 : onot (https://github.com/sktelecom/onot)

Video

Photo

17 - 17th Meeting

2023년 3월 28일 at 라인플러스 (분당구 서현동)

일정

  • 일정: 2023-03-28 (화) 오후2시~4시
  • 장소: 라인플러스 (경기도 성남시 분당구 서현1동)

Agenda

1부 발표 세션

NoAgendaSpeakerSlide
0Welcome & OpenChain KWG Update라인플러스 이서연pdf
1OpenChain Global UpdateShane Coughlan, Linux Foundationpdf
2OpenChain 보안 규격 소개SK텔레콤 장학성pdf
3Legal Issues of AI Technologies / Case Study: Getty Images v. Stability AIETRI 박정숙pdf
4네트워킹 시간all-

2부 Mini Summit - “오픈소스 관리 자동화 도구”

NoAgendaSpeakerSlide
5도구 별 의존성 분석 방식카카오 Rain(임현지)pdf
6소리소리 오소리LG전자 김소임 책임pdf
7FOSSLight 슈퍼 대변신LG전자 김경애pdf
8요즘 OLIVE 써봤니?카카오 Violet(황은경)pdf
9onot, 이제 제법 쓸만해졌어요!카카오 Rogers(한현민)pdf

sponsor

Photo









18 - 18th Meeting

2023년 6월 22일 at 카카오 (판교아지트)

일정

  • 일정: 2023-06-22 (목) 오후2시~5시
  • 장소: 카카오 판교아지트 (경기도 성남시 분당구 판교역로 166)

아젠다

NoTimeAgendaSpeakerSlide
014:00Welcome & Intro황은경, 카카오-
114:10OpenChain Global UpdateShane Coughlan, Linux Foundationslide
214:20OpenChain KWG Update장학성, SK텔레콤 / 이서연, 라인플러스slide
314:30(전산학 박사 출신 특허 법무 대학원생이 파헤치는) Copilot 소송 진행 현황박정숙, ETRIslide
415:00Break & Networkingall-
515:15FOSSLight + Security Release석지영, LG전자slide
615:30오소리 프로젝트, 웅장한 계획을 밝히다정윤환, 삼성전자slide
716:00그룹 토의all-


참석 기업/기관

  • 국민은행
  • 금융결제원
  • 라인플러스
  • 삼성전자
  • 안랩
  • 엔씨소프트
  • 카카오
  • 카카오뱅크
  • 한글과컴퓨터
  • 현대오토에버
  • 현대모비스
  • 현대자동차
  • CJ
  • ETRI
  • KT
  • KTDS
  • LG전자
  • NIPA
  • SK텔레콤
  • SK하이닉스

Photo

















Full Album

[2023 June] OpenChain Korea Work Group in Kakao

19 - 19th Meeting

2023년 9월 19일 at 현대오토에버 (삼성동)

일정

  • 일정: 2023-09-19 (화) 오후1시30분~5시
  • 장소: 현대오토에버 (서울특별시 강남구 테헤란로 510)

아젠다

세션 0. Intro & Update

TimeAgendaSpeakerSlide
13:30~13:40Welcome & Intro민석기/류창한, 현대오토에버-
13:40~13:50OpenChain Global UpdateShane Coughlan, Linux Foundation-
13:50~14:00OpenChain KWG Update
Legal subgroup 소개
장학성, SK텔레콤 / 이서연, 라인플러스
박정숙, ETRI
slide
slide

세션 1. 현대차그룹과 오픈소스

TimeAgendaSpeakerSlide
14:00~14:10현대차그룹 오픈소스 리스트 공개를 통한 중소/중견기업 지원 방안류창한, 현대오토에버slide
14:10~14:40현대차그룹 오픈소스 관리시스템 구축 사례
- 현대자동차
- 현대모비스
- 현대오토에버

이창우, 현대자동차
이영준, 현대모비스
이지현, 현대오토에버

slide
slide
slide
14:40~15:00네트워킹ALL-

세션 2. Best Practice

TimeAgendaSpeakerSlide
15:00~15:20LG전자 제품 보안 관리 체계 기반 오픈소스 보안 보증 표준 준수 사례 소개정재욱, LG전자slide
15:20~15:40우당탕탕 LINE의 OpenChain 인증 여정이서연/김동혁, 라인플러스slide
15:40~16:00혼돈의 AI 오픈 소스 라이선스최혜성, LG전자slide
16:00~16:20네트워킹ALL-

세션 3. 그룹 토의

TimeAgendaSpeakerSlide
16:20~17:00그룹 토의ALL (진행 : 이서연, 라인플러스)-




참석 기업/기관

  • AhnLab
  • CJ올리브네트웍스
  • ETRI
  • KB데이타시스템
  • KT ds
  • LG전자
  • NHN
  • SK주식회사
  • SK텔레콤
  • 국민은행
  • 금융결제원
  • 네이버
  • 라인플러스
  • 삼성SDS
  • 삼성전자
  • 에스코어
  • 오픈업
  • 정보통신산업진흥원
  • 지니언스
  • 카카오
  • 카카오뱅크
  • 한글과컴퓨터
  • 현대모비스
  • 현대오토에버
  • 현대자동차

Review

Photo













Full Album

[2023 Sep] OpenChain Korea Work Group in Hyundae Autoever

20 - 20th Meeting

2023년 11월 15일 / 삼성전자 서초사옥

일정

  • 일정: 2023-11-15 (수) 오후2시~4시30분
  • 장소: 삼성전자 서초사옥

아젠다

TimeAgendaSpeakerSlide
14:00~14:10Welcome & Intro박수홍 그룹장 / 정윤환, 삼성전자-
14:10~14:20OpenChain Global UpdateShane Coughlan, Linux Foundationpptx
14:20~14:30OpenChain KWG Update장학성, SK텔레콤pdf
14:30~14:40연말 시상사회 : 이서연, LINE+-
14:40~15:10세션발표 : 카카오뱅크 오픈소스 보안 보증 준비 사례 공유하헌관(Arlo) / 이민애(May), 카카오뱅크pdf
15:10~15:30네트워킹 (음료/다과)All-
15:30~16:30그룹 토의사회 : 이서연, LINE+-

Video

OpenChain Global Update, Shane Coughlan

Group Discussion




참석 기업/기관

  • 국민은행
  • 금융결제원
  • 기아
  • 네이버
  • 라인플러스
  • 삼성전자
  • 삼성SDS
  • 안랩
  • 에스코어
  • 엔씨소프트
  • 정보통신산업진흥원
  • 카카오
  • 카카오뱅크
  • 티맵모빌리티
  • 한국전자통신연구원
  • 한글과컴퓨터
  • 현대모비스
  • 현대오토에버
  • 현대자동차
  • KT
  • KTDS
  • LG AI연구원
  • LG전자
  • NHN
  • SK텔레콤

Photo













Full Album

[2023 Sep] OpenChain Korea Work Group in Hyundae Autoever

21 - 21st Meeting

2024년 3월 26일 (화) / 카카오 판교아지트

일정

  • 일정: 2024-03-26 (화) 오후2시~5시
  • 장소: 카카오 판교아지트 지하1층 세미나실

아젠다

TimeAgendaSpeakerSlide
14:00~14:10Welcome & Intro장학성, SK텔레콤-
14:10~14:20OpenChain Global UpdateShane Coughlan, Linux Foundationpptx
14:20~14:30OpenChain KWG Update장학성, SK텔레콤pptx
14:30~14:50Tooling Subgroup 활동 및 주요 사례
- 오픈소스 통합관리 포털
- The AboutCode stack
- SW 공급망보안 XSCAN
박원재, LG전자-
14:50~15:10Legal Subgroup 활동 및 주요 사례
- Stability AI 집단소송 – Motion to Dismiss
- GPL-2.0: 라이선스 경계 문제와 컴플라이언스
- SFC v. Vizio 소송 사례
- 중국의 오픈소스 2차적저작물 소송 판결 결과
- LF의 오픈소스 라이선스 컴플라이언스 리포트
- GPL-violations.org는 어떤 사항들을 문제삼았나?
- GPL의 발전: GPL-3.0, AGPL-3.0
박정숙, ETRIpdf
15:10~15:30BreakAll-
15:30~17:00그룹 토의
- 컴플라이언스 실무
- 컴플라이언스 이슈/동향
- AI와 오픈소스&저작권 이슈
- 오픈소스 보안취약점
- 오픈소스 관리 조직
- 오픈소스 기여/공개
- OpenChain KWG 커뮤니티
사회 : 이서연, 라인플러스-

참석사

  • 국민은행
  • 금융결제원
  • 라인플러스
  • 삼성전자
  • 안랩
  • 카카오
  • 카카오뱅크
  • 티맵모빌리티
  • 한글과컴퓨터
  • 현대모비스
  • 현대오토에버
  • 현대자동차
  • CJ올리브네트웍스
  • CJ주식회사
  • ETRI
  • kt ds
  • LG전자
  • NAVER
  • NHN
  • SK주식회사
  • SK텔레콤

Photo

Full Album

[2024 Mar] OpenChain Korea Work Group in Kakao

22 - 22nd Meeting

2024년 6월 20일 (목) / CJ Talent Training Center

일정

  • 일정: 2024-06-20 (목) 오후2시~5시
  • 장소: CJ 인재원 4층 Auditorium

아젠다

TimeAgendaSpeakerSlide
14:00~14:10Welcome & OpeningCJ-
14:10~14:20OpenChain Global UpdateShane Coughlan, Linux Foundationpptx
14:20~14:40OpenChain Korea Update & Subgroup 운영 방안장학성, SK텔레콤
박정숙, ETRI
박원재, LG전자
pdf
14:40~15:10CJ 오픈소스 관리시스템 구축 사례성기영, CJpdf
15:10~15:40Entr’ouvert v. Orange 소송 사례조정년, SK주식회사ppt
15:40~16:00BreakAll-
16:00~16:30ISO/IEC 18974 오픈소스 보안 표준 준비 현황 공유채진영/김기륜, 삼성SDSpdf
16:30~17:00정부 발표, SBOM 기반 SW공급망 관리 가이드라인 소개박원재, LG전자pdf

참석사

  • 국민은행
  • 금융결제원
  • 네이버
  • 라인플러스
  • 삼성전자
  • 삼성SDS
  • 신한데이터시스템
  • 안랩
  • 카카오
  • 텔레칩스
  • 티맵모빌리티
  • 한컴
  • 현대모비스
  • 현대오토에버
  • 현대자동차
  • CJ주식회사
  • CJ올리브네트웍스
  • ETRI
  • KB데이타시스템
  • LG전자
  • NHN
  • SK텔레콤
  • SK주식회사

Photo

[2024 June] OpenChain Korea Work Group in CJ

23 - 23rd Meeting

2024년 9월 10일 (화) / ETRI 서울사무소

일정

  • 일정: 2024-09-10 (화) 오후2시~5시
  • 장소: ETRI 서울사무소

아젠다

TimeAgendaSpeakerSlide
14:00~14:10Welcome & OpeningETRI-
14:10~14:20OpenChain Global UpdateShane Coughlan, Linux FoundationLINK
14:20~14:40OpenChain Korea Update장학성, SK텔레콤pdf
14:40~15:10ETRI 오픈소스 거버넌스 소개박정숙, ETRIpdf
15:10~15:401. 글로벌 자동차 제조사가 요구하는 오픈소스 관련 요건
2. 소송 사례 공유
- Github Copilot
- Google v. Oracle
- Getty Images v. Stability AI
김문엽, 티맵모빌리티pdf
15:40~16:00BreakAll-
16:00~16:30오픈소스 라이선스 간 양립성 충돌 문제 조항과 판단 기준에 관한 연구(GPL 라이선스를 중심으로)연지영, 텔레칩스pdf
16:30~17:00온보딩 TF 운영 소개이서연, 라인플러스pdf

Video

OpenChain Global Update, Shane Coughlan

참석사

Photo

[2024 September] OpenChain Korea Work Group in ETRI

24 - 24th Meeting

2024년 11월 26일 (화) / LG AI 연구원

일정

  • 일정: 2024-11-26 (화) 오후2시~5시
  • 장소: LG AI 연구원

아젠다

TimeAgendaSpeakerSlide
14:00~14:10Welcome & OpeningLG AI 연구원-
14:10~14:20OpenChain Global UpdateShane Coughlan, Linux Foundationslideshare
14:20~14:40OpenChain Korea Update장학성, SK텔레콤pdf
14:40~15:20Open Compliance Summit 2024 ReviewLG전자 박원재
라인플러스 이서연
SK텔레콤 장학성
pdf
15:20~15:50NetworkingAll-
15:50~16:20오픈소스 담당자가 알아야 할 AI저작권 논점과 판례삼성전자 정윤환pdf
16:20~16:40LG AI Research의 Responsible AI 정책LG AI 연구원 안소영-
16:40~17:00한해를 마무리하며라인플러스 이서연pdf

참석사

  • 국민은행
  • 라인플러스
  • 삼성전자
  • 신한DS
  • 카카오
  • 티맵모빌리티
  • 한국디지털인증협회
  • 현대모비스
  • 현대자동차
  • AhnLab
  • Cj주식회사
  • ETRI
  • HANCOM
  • KTDS
  • LG AI Research
  • LG전자
  • NAVER
  • NHN
  • SK텔레콤

Photo

[2024 November] OpenChain Korea Work Group in LG AI Research

25 - 25th Meeting

2025년 3월 25일 (화)

일정