GGI Activity: 法的コンプライアンスの管理

Table of contents

法的コンプライアンスの管理

アクティビティ ID: GGI-A-21 (EN)

説明

組織は、オープンソースプロジェクトの使用と参加を保護するために、法的コンプライアンスプロセスを実装する必要があります。

組織内およびサプライチェーン全体での法的コンプライアンスの成熟した専門的な管理とは、次のことです。

• ライセンスの識別と互換性チェックを含む知的財産の徹底的な分析を実行する。
• 組織が製品またはサービスの一部としてオープンソースコンポーネントを安全に使用、統合、変更、再配布できることを保証する。
• 従業員と請負業者に、オープンソースソフトウェアの作成方法と貢献方法に関する透明なプロセスを提供する。

ソフトウェアコンポジション分析 (SCA): 法的問題と知的財産問題の大部分は、ライセンス間で互換性がないか、組織がコンポーネントを使用および再配布したい方法と互換性がないライセンスの下でリリースされたコンポーネントの使用に起因します。 SCAは、「問題を解決するには、問題を知る必要があります。」と言われるように、これらの問題を整理する最初のステップです。このプロセスでは、ビルドとテストの依存関係を含む、プロジェクトに関係するすべてのコンポーネントを部品表ドキュメントの中で特定します。

ライセンスチェック: ライセンスチェックプロセスでは、ツールを使用してコードベースを自動的に分析し、その中のライセンスと著作権を特定します。定期的に実行し、理想的には継続的なビルドと統合チェーンに統合すると、知的財産の問題を早期に把握できます。

ソフトウェア部品表 (SBOM): ソフトウェアサプライチェーンのセキュリティを向上させ、市場規制に準拠するため、確実で正確で更新された SBOM を管理することは、法的コンプライアンス準拠 (EU CRA、US EO14028) にもなり得ます。

機会評価

組織の情報システムにおける OSS の使用がますます増えているため、潜在的な法的リスクを評価して管理することが不可欠です。ただし、ライセンスと著作権の確認は難しく、コストがかかる場合があります。開発者は、知的財産や法的な質問をすぐに確認できる必要があります。

組織はまた、統合および配布されたソフトウェアのセキュリティリスクを評価する必要があり、設定されたプロセスでは、脆弱性の報告や管理、部品表 (SBOM) を維持するメカニズムを備え、開発プロセス全体を通じたセキュリティを考慮する必要があります。

セキュリティと同様に、知的財産や法務の問題に専念するチームと執行役員を置くことで、法的問題を積極的かつ一貫して管理できるようになり、オープンソースコンポーネントの使用と貢献が保護され、明確な戦略的ビジョンが得られます。

進捗評価

次の検証ポイントは、このアクティビティの進捗状況を示しています:

• プロジェクトで使用できる使いやすいライセンスチェックプロセスがあります。
• プロジェクトで使用できる使いやすい知的財産チェックプロセスがあります。
• 組織内に法令遵守を担当するチームまたは担当者がいます。
• 法令遵守を評価するための定期的な監査がスケジュールされています。

検証ポイントを設定するその他の方法:

• 問い合わせしやすい法務/知的財産チームがあります。
• すべてのプロジェクトは、人々がプロジェクトを使用し、貢献するために必要な情報を提供します。
• 知的財産とライセンスに関する質問に対する連絡先がチーム内にあります。
• 知的財産とライセンスを専門とする役員がいます。
• 知的財産とライセンスに関する質問に対応する専用のチームがあります。

ツール

• ScanCode (EN)
• Fossology (EN)
• SW360 (EN)
• Fossa (EN)
• OSS Review Toolkit (EN)

推奨事項

• ビジネス目標と矛盾するライセンスに関連するリスクについて人々に知らせます。
• プロジェクトがコードベースでライセンスチェックを設定するための簡単なソリューションを提案します。
• その重要性を伝え、プロジェクトの CI システムに追加できるように支援します。
• プロジェクト構造のテンプレートまたは公式ガイドラインを提供します。
• すべてのプロジェクトがガイドラインに準拠していることを確認するために、自動チェックを設定します。
• 社内インフラストラクチャのライセンスを特定するために、内部監査の実施を検討します。
• チームごとに少なくとも 1 人に基本的な知的財産およびライセンスのトレーニングを提供します。
• 役員に完全な知的財産およびライセンスのトレーニングを提供します。
• 知的財産およびライセンスの問題を役員にエスカレーションするプロセスを設定します。

コンプライアンスは法的なことだけではなく、知的財産に関することも忘れないでください。そこで、法的なコンプライアンスの結果を理解するのに役立ついくつかの質問を示します。

• オープンソースコンポーネントを配布し、ライセンス条件を遵守しない場合、ライセンスを侵害することになります –> 法的影響。
• 配布/公開したいプロジェクト内でオープンソースコンポーネントを使用する場合、そのライセンスでは、オープンソースにしたくないコード要素の可視性が義務付けられる場合があります –> 会社の戦略的な優位性と第三者に対する機密性への影響 (法的影響)。
• 公開したいプロジェクトにオープンソースライセンスを使用すると、関連する知的財産が付与されるかどうかについては、オープンな議論が行われています –> 知的財産の影響。
• 特許プロセスの前にプロジェクトをオープンソースにすると、プロジェクトに関する特許の作成がおそらく除外されます –> 知的財産の影響。
• 特許プロセスの後にプロジェクトをオープンソースにすると、そのプロジェクトに関する (防御的) 特許の作成がおそらく許可されます –> 知的財産の可能性。
• 多くの依存関係を持つ多くのコンポーネントを導入する複雑なプロジェクトでは、多数のオープンソースライセンスによってライセンス間の非互換性が生じる可能性があります –> 法的影響 (アクティビティ GGI-A-23 - ソフトウェア依存関係の管理を参照)。

リソース

• 既存の OSS コンプライアンスグループページ (EN)には、ツールの広範なリストがあります。
• Recommended Open Source Compliance Practices for the enterprise (EN)。Linux Foundation の Ibrahim Haddad による、企業向けのオープンソースコンプライアンスプラクティスに関する書籍。

• OpenChain Project (EN)
• CRA に関するガイド (EU): CNLL/Inno3 ガイド (EN)
• CRA に関するガイドとリソース (EU): ORCWG ガイド (EN)
• EO14028 に関するガイド (米国): ソフトウェア サプライ チェーン セキュリティ ガイダンス (EN)

次のアクティビティの提案

• GGI-A-24 - 主要指標の管理 (EN) 法的コンプライアンスの懸念、プロセス、結果を可視化して測定可能にします。これにより、プロセスの早い段階でその重要性を認識できるようになります。