From 70f08193a6afcc21cc5cd333b5de132274e621d6 Mon Sep 17 00:00:00 2001 From: Han Dasom <30710021+dasomhan@users.noreply.github.com> Date: Thu, 31 Mar 2022 18:27:30 +0900 Subject: [PATCH] Update _index.md update 13th meeting notes. --- content/ko/meeting/13th/_index.md | 158 ++++++++++++++++++++++++++++++ 1 file changed, 158 insertions(+) diff --git a/content/ko/meeting/13th/_index.md b/content/ko/meeting/13th/_index.md index ed755e60b..330556d41 100644 --- a/content/ko/meeting/13th/_index.md +++ b/content/ko/meeting/13th/_index.md @@ -51,6 +51,164 @@ description: > +## Minutes +### OpenChain Update (Shane Coughlan / Linux Foundation) +1. OpenChain ISO/IEC 5230 Conformance 신규 인증 기업 + - BlackBerry + - SAP +2. OpenChain Governing Board 신규 가입 기업 + - NEC + - Block +3. 오픈소스 보안 취약점에 대한 표준안 제정 + - Security Specification Draft 버전 작성 + - 글로벌 커뮤니티에서 다양한 시각으로 피드백 요청 +4. OpenChain 커뮤니티 활성화 방안 모색 + - 한국, 일본 OpenChain 커뮤니티처럼 유럽의 커뮤니티도 활성화될 수 있도록 방안이 모색되어야 함 + + +## OpenChain KWG Update (장학성 / SK Telecom) +1. Planning Group 22년 1분기 모임 진행 + - Agenda + - 1분기 KWG 모임 준비 + - 2022년 Linux Foundation 지원 예산 활용 방안 +2. Tooling Group 1st 모임 진행 + - Agenda + - SCANOSS 소개 + - 사전검증/실시간검증도구 소개 +3. 새해 선물 from 현대 모비스 (Thanks to 전미진님,이영준님 :) ) +4. OpenChain 국제 표준 인증 획득 + - 카카오 + - 카카오뱅크 +5. OpenChain KWG Charter 초안 작성 + - 주요 내용으로는 Membership, Organization, 선거 등의 내용으로 정관 문서 작성 중 + - 2분기 모임에서 확정 후 시행 예정 + - [https://openchain-project.github.io/OpenChain-KWG/about/charter/](https://openchain-project.github.io/OpenChain-KWG/about/charter/) +6. Blog Update + - [상용 AI 서비스에 공개 Dataset을 사용해도 되나요?](https://openchain-project.github.io/OpenChain-KWG/blog/2022/20220214_ai_dataset_copyright/) + + +## 오픈소스 최신 동향 (Robin(황민호) / Kakao) +1. 러시아의 우크라이나 침공을 대하는 오픈소스 생태계 + - 최근 글로벌 IT 업계 흐름 + - 아마존, MS, 구글, 오라클 등 글로벌 IT 기업들이 러시아 보이콧에 합류하고 있음 + - 러시아는 IT기업들이 보이콧을 하자 불법복제 SW를 합법화를 추진하였다고 보도함 + - 오픈소스 생태계에서의 흐름 + 1. OpenBLAS는 러시아산 프로세서 지원을 제거하겠다고 함 + - 관련 GitHub 이슈 링크: https://github.com/xianyi/OpenBLAS/issues/3551 + - 하지만, 커뮤니티 상에서 이슈가 제기된 것이고 실제 지원을 제거하는 계획은 없는 것으로 확인됨 + 2. GitHub 공개 피드백 토론 + - GitHub은 러시아 개발자 접근을 제한해야 한다는 공개 토론이 열렸음 + - 러시아의 GitHub 사용자들을 제재하는 것은 올바른 방법은 아니라는 부정적 의견이 대부분이었음 + - GitHub 담당자가 GitHub 정책에 대해 토론 후 종료시킴 + - 참고) 2019년 미-중 무역 전쟁 중에도 GitHub이 무역제재 대상 국가의 접속을 차단하자 중국은 자체적으로 Gitee 라는 사이트를 구축하였음 + 3. Scarf 러시아 오픈소스 패키지 엑세스 제한 + - 오픈소스 패키지 배포 제한을 두는 방식으로 보이콧을 표현하였고, 타 패키지 매니저도 참여하기를 희망함 + 4. Libreplanet 토론 + - 러시아에 우리 소프트웨어 access를 제한해야 하는가 라는 토론이 있었고, + 리차드 스톨만은 FSF의 4가지 자유에 의해 프로그램 실행의 자유를 제한해서는 안된다고 주장함 + - 리차드 스톨만과 다른 입장을 가진 여러 의견도 등장하였음 + 5. MeetingBar 오픈소스 프로젝트의 기금 마련 운동 + - MacOS 메뉴바 오픈소스 라이브러리인 MeetingBar 프로젝트에서 우크라이나 군대를 위한 기금 마련 운동 참여 + +## 카카오와 카카오뱅크의 ISO/IEC 5230 인증사례 공유 (Violet(황은경) / Kakao, Arlo(하헌관), May(이민애) / KakaoBank) +1. 카카오의 인증사례 + - OpenChain Study + - 2019년부터 스터디는 시작하였고, OpenChain 2.1이 발간된 후부터 본격적으로 스터디 시작 + - 이슈 할당 + - 각 Spec 항목별로 Jira 이슈를 할당하였음 + - 기존 정책을 보완해야 할 점들을 정리하였음 + - 프로젝트 홀딩 + - OpenChain Specification은 각 항목이 연결되어 있는데, 각 항목별로 담당자를 지정한 것이 문제였음 + - 전체 스펙에서 필요한 것들을 리스트업하고 주제 별로 일을 나누었어야 함 + - OpenChain 인증 자료 정리 + - https://haksungjang.github.io/docs/governance_iso5230/를 참고하여 정책 문구나 프로세스를 정리할 수 있었음 + - 보완이 필요한 내용을 따로 정리해서 논의 (OSRB 구성, 문서화된 절차 등) + - 정책 및 프로세스 정리 + - SKT의 자료를 참고하여 Kakao의 내부 규정에 맞게 변경하였음 + - OpenChain KWG Conformance Group 리뷰 + - Self Certification 순서대로 내용을 설명하면서 Q&A 진행 + - 주요 Q&A + - 책임자가 의사결정자로 지정해야 하는가? 조직의 내부 상황에 맞게 지정하면 됨 + - 보안취약점 도구 구축이 필수는 아닌 것 같은데 책임과 역할을 어떻게 정리해야 하는가? ISO 인증 기준에 보안과 관련해 정해진 내용은 없음 + - 오픈소스 전사 가이드를 Wiki에 정리하였는데, 그 외 경로도 필요한지? 구성원이 1년에 한 번 정도는 반드시 열어보게 하는 절차가 있으면 좋을 것임 + - 오픈소스 교육 평가 데이터가 인증서에 필요한가? 자료를 요구하는 경우는 거의 ㅇ벗기도 하지만, 평가 후 기준에 도달하도록 해야 함 + - OSPO는 교육 과정이 따로 필요한가? 필수로 요구되지는 않음 + - OpenChain 인증 + - Self Certification 체크 후 OpenChain General Manager인 Shane에게 인증을 알리고 어나운스 해달라는 메일 발송 + - Shane에게 로고와 인용문을 전달 + - PR 담당자와 보도자료 준비하는 과정이 필요하고, OpenChain 웹사이트에 등록할 영문 인용문을 준비해야 함 + +2. 카카오뱅크의 인증사례 + - 오픈소스 도구 검토 + - FOSSID 검토 및 오픈 + - 오픈소스 컴플라이언스 프로세스 마련 + - FOSSID API를 활용하여 자동화 + - 고지문 발급 자동화 + - 고지문 웹/앱 테스트 환경 + - 오픈소스 조직, 정책, 교육 준비 + - NCSOFT의 OpenChain 인증 사례 발표를 본 후 작년 11월 중순부터 OpenChain 준비 + - Specification의 조직, 정책, 도구, 교육, 프로세스에 대한 항목을 나열하고, 요구사항 충족을 위한 준비 + - 법무 및 보안팀, 기술 전략팀 담당자들과 협의하여 조직 셋업 + - Wiki에 프로세스나 가이드 공개 + - KWG 리뷰 및 PR팀 협의, 기타 인터뷰 + - OpenChain KWG 그룹 리뷰 후 PR팀과 협의하여 인증 선언 + - 이후 카카오 내 DevCon에서 발표와 인터뷰도 진행하였음 + - Lessons Learned + - 잘한점: KWG 그룹에 참여하여 빠른 인증 준비가 가능했고, 자동화 환경을 잘 구축하였음 + - 아쉬운점: 사내 교육 시스템이 없어서 직접 교육자료를 만들어서 세미나 형태로 개발자 교육을 했었는데 체계화된 교육이 필요하고, 금융업이다 보니 기여나 공개에 소극적이었음 + - 인증 이후 반응: 국제표준을 획득함으로써 신뢰도가 높아지고 인터뷰를 진행하면서 오픈소스 컴플라이언스에 대해 홍보가 되었음 + - 계획: Olive CLI 도입 및 망분리 금융망 도입 + +## 현대모비스 오픈소스 관리 체계 및 현안 (전미진 / 현대모비스) +1. History + - 2012년에 타 용도로 구축된 서버로 오픈소스 관리를 2018년까지 하고 있었음 + - 2018년까지는 오픈소스 관리, 규정 개정과 보고 정도만 진행하고 있었음 + - 2019년에 OpenSource Summit을 참여한 후 오픈소스 관리 업무를 확장하게 되었음 + - 최근에는 현대모비스에서 고객사에게 제품을 공급하듯, 현대모비스로 소프트웨어가 임베디드된 제품이 공급어서 공급망 관리가 필요하다는 것을 인지하였고, 자동화에 대한 니즈도 있음 +2. Scope + - 오픈소스 뿐만 아니라 보안에 대한 검토도 요청하기도 하는데, 사내에 오픈소스와 보안 조직이 분리되어 있음 + - 하지만 보안 조직과도 협업을 해야 원활한 오픈소스 컴플라이언스가 될 것으로 생각함 +3. 프로세스 + - 설계자가 소스코드를 업로드 + - 오픈소스 관리팀에서 툴 DB와 자동 분석 + - 별도의 검증 기관에서 식별 완료 및 보고서 생성 + - 오픈소스 관리팀에서 검증 보고서 확인 후 규정 준수 여부 검토 + - 설계자는 시정 조치 및 수행 + - 오픈소스 관리팀에서 고지 정보 공개 +4. 21년 추진 과제 + - 자동차에 들어가는 부품이 무수히 많고 공급망이 많이 얽혀 있어서 공급망 관리에 중점을 두고 진행함 +5. 22년 추진 과제 + - OpenChain 인증 준비 + - 소스코드 및 바이너리 자동 검증 자동화 시스템 구축 + +## 오픈소스 라이선스 검증도구 오픈소스화 추진계획 (정윤환, 홍문기 / 삼성전자) +1. 배경 + - 기존 사후 검증에 이슈 발생 시 재개발 및 상품화 지연 이슈 발생 + - 사전/실시간 검증 절차를 도입하여 라이선스 검증 시점 shift-left + - 사전/실시간 검증의 효율화, 안정성 강화 추진하고자 함 +2. 방법 + - 자유로운 사용과 기여가 가능한 거버넌스 체제 구축 + - 오픈소스 기반 협력을 통해 검증 기능 강화하고 DB 확대 +3. 목표 + - 검증 도구 협력 개발 및 공동 DB 구축 + - 오픈소스 컴플라이언스 표준 정책 수립 + - 중소기업, 기관, 개인의 오픈소스 검증 지원 +4. 오픈소스화 대상 + - 오픈소스 및 라이선스 DB + - 라이선스별 사용 정책 관리 도구 + - 실시간 검증 도구 및 가이드 문서 + - 사후 검증 도구 및 가이드 문서 +5. 아키텍처 + - 마이크로 서비스 구조로 사용 정책과 오픈소스, 라이선스 데이터 베이스 별도 구성 +6. 오픈소스 추진 계획 + - 4월: Founder 모집 (운영/기술파트) + - 5월: 오픈소스 추진 협의 + - 6월: 프로젝트 릴리즈 준비 + - 9월: v1.0 릴리즈 +7. 요청사항 + - 오픈소스 추진 협의에 참석을 원하시거나 정보를 받고 싶은 분들은 삼성전자 오픈소스 사무국 (oss.ofice@samsung.com) 으로 요청 (~4/15) + - 이름/소속/전화번호/이메일/참여 목적/관심 분야/하고 싶은말 + ## Sponsor ### Platinum ![](./line_logo.png)