https://OpenChain-Project.github.io/OpenChain-KWG/tags/ai-sbom/Recent content in AI SBOM on OpenChain KWGHugokohttps://OpenChain-Project.github.io/OpenChain-KWG/guide/iso42001_guide/4-operation/2-ai-sbom/Mon, 01 Jan 0001 00:00:00 +0000https://OpenChain-Project.github.io/OpenChain-KWG/guide/iso42001_guide/4-operation/2-ai-sbom/<h2 id="1-ai-sbom이란">1. AI SBOM이란?</h2> <p>**AI SBOM(AI System Bill of Materials)**은 AI 시스템을 구성하는 모든 요소의 목록과 그 출처·라이선스를 문서화한 것이다. 소프트웨어 SBOM(ISO/IEC 5230 §3.3.1)의 개념을 AI 시스템으로 확장한 것으로, ISO/IEC 42001 §7.5(문서화된 정보) 요구사항의 핵심 산출물이다.</p> <h3 id="ai-sbom이-필요한-이유-투명성과-규제-대응">AI SBOM이 필요한 이유: 투명성과 규제 대응</h3> <p>AI SBOM은 <strong>AI 시스템의 투명성과 설명 가능성</strong>을 확보하는 핵심 수단이다. ISO/IEC 42001 Appendix C.2.11은 투명성과 설명 가능성을 AI 관리 시스템의 핵심 목표로 명시한다.</p> <table> <thead> <tr> <th>요구 주체</th> <th>근거</th> <th>AI SBOM 역할</th> </tr> </thead> <tbody> <tr> <td><strong>ISO/IEC 42001</strong></td> <td>Appendix C.2.11 (투명성·설명 가능성)</td> <td>AI 시스템 구성 투명성 확보</td> </tr> <tr> <td><strong>EU AI Act</strong></td> <td>고위험 AI 시스템 기술 문서 요건</td> <td>학습 데이터·모델 출처 명시</td> </tr> <tr> <td><strong>EU Cyber Resilience Act(CRA)</strong></td> <td>AI 제품의 투명성 의무</td> <td>컴포넌트 목록 및 취약점 추적</td> </tr> <tr> <td><strong>OpenChain AI Work Group</strong></td> <td>AI SBOM Compliance Guide</td> <td>공급망 내 AI SBOM 표준 절차</td> </tr> </tbody> </table> <div class="alert alert-info" role="alert"><div class="h4 alert-heading" role="heading">ISO/IEC 42003과 AI SBOM</div> <p>ISO/IEC 42001의 구현 가이드인 <strong>ISO/IEC 42003</strong>(개발 중)에 AI SBOM 관련 구체적 요구사항이 포함될 예정이다. OpenChain AI Work Group은 AI SBOM 가이드를 42003의 §6.2(AI 목표)와 Appendix C.2.11(투명성·설명 가능성)에 반영하는 것을 추진 중이다.</p>https://OpenChain-Project.github.io/OpenChain-KWG/guide/iso42001_guide/3-support/Mon, 01 Jan 0001 00:00:00 +0000https://OpenChain-Project.github.io/OpenChain-KWG/guide/iso42001_guide/3-support/<h2 id="1-개요">1. 개요</h2> <p>ISO/IEC 42001 §7은 AI 관리 시스템을 운영하는 데 필요한 <strong>역량, 인식, 커뮤니케이션, 문서화</strong>를 다룬다. 오픈소스 담당자 관점에서는 **§7.2(역량)**과 **§7.5(문서화된 정보)**가 핵심 교차점이다.</p> <hr> <h2 id="2-72-역량--ai-오픈소스-관리-역량-">2. §7.2 역량 — AI 오픈소스 관리 역량 ★</h2> <p>ISO/IEC 42001은 AI 관련 역할을 수행하는 인원이 필요한 역량을 갖추도록 요구한다. 오픈소스 컴플라이언스 관점에서 AI 개발·운영 인원에게 다음 역량이 포함되어야 한다.</p> <h3 id="ai-오픈소스-관리-역량-요소">AI 오픈소스 관리 역량 요소</h3> <table> <thead> <tr> <th>역량 영역</th> <th>내용</th> <th>관련 교육</th> </tr> </thead> <tbody> <tr> <td><strong>AI 프레임워크 라이선스 이해</strong></td> <td>PyTorch·TensorFlow 등 주요 라이선스 조건 파악</td> <td>오픈소스 라이선스 교육</td> </tr> <tr> <td><strong>AI 모델 라이선스 검토</strong></td> <td>커스텀 라이선스 조건(사용 제한, 파생물 처리) 분석</td> <td>법무팀 협업 교육</td> </tr> <tr> <td><strong>AI SBOM 작성</strong></td> <td>SPDX 3.0 AI 프로파일 기반 AI SBOM 구성 방법</td> <td>AI SBOM 실습</td> </tr> <tr> <td><strong>오픈소스 취약점 관리</strong></td> <td>AI 시스템 의존성 SCA 스캔 및 CVE 대응</td> <td>DevSecOps 교육</td> </tr> <tr> <td><strong>오픈 데이터 라이선스</strong></td> <td>CC 계열 라이선스 조건 및 데이터셋 사용 규칙</td> <td>데이터 라이선스 교육</td> </tr> </tbody> </table> <h3 id="기존-오픈소스-역량-체계와의-통합">기존 오픈소스 역량 체계와의 통합</h3> <div class="alert alert-success" role="alert"><div class="h4 alert-heading" role="heading">ISO/IEC 5230 역량 체계 확장</div> <p>기업이 ISO/IEC 5230 기반의 역량·교육 체계를 이미 운영 중이라면, 기존 오픈소스 교육 과정에 <strong>AI 특화 모듈</strong>을 추가하는 방식으로 확장한다.</p>https://OpenChain-Project.github.io/OpenChain-KWG/guide/opensource_for_enterprise/7-ai-compliance/Mon, 01 Jan 0001 00:00:00 +0000https://OpenChain-Project.github.io/OpenChain-KWG/guide/opensource_for_enterprise/7-ai-compliance/<p>AI 시스템은 오픈소스 프레임워크, 사전 훈련된 모델, 오픈 데이터셋을 광범위하게 활용한다. 오픈소스 관리 체계(ISO/IEC 5230 · 18974)를 운영하는 기업은 AI 시스템 개발 단계에서도 오픈소스 컴플라이언스 원칙을 적용해야 한다.</p> <p>ISO/IEC 42001(AI 관리 시스템)은 AI 거버넌스 전반을 다루며, 그 중 일부 조항이 오픈소스 관리와 직접 교차한다. 이 섹션은 그 교차점을 실무 관점에서 정리한다.</p> <hr> <h2 id="ai-시스템에서-오픈소스가-사용되는-세-가지-영역">AI 시스템에서 오픈소스가 사용되는 세 가지 영역</h2> <pre tabindex="0"><code>AI 시스템 ├── 1. AI 프레임워크 · 라이브러리 │ (PyTorch, TensorFlow, Hugging Face Transformers, LangChain 등) │ → 일반 오픈소스 라이선스 컴플라이언스 적용 │ ├── 2. 사전 훈련 모델 (Pre-trained Model) │ (Llama, Mistral, Falcon, BERT 등) │ → 모델별 커스텀 라이선스 확인 필요 │ └── 3. 학습 데이터셋 (Common Crawl, Wikipedia, CC-BY 데이터셋 등) → 오픈 데이터 라이선스 의무 이행 </code></pre><p>각 영역별로 기존 오픈소스 컴플라이언스 프로세스와 다른 지점이 있으므로 아래를 참고한다.</p>