Table of contents
オープンソースベンダーとの関わり方
アクティビティ ID: GGI-A-33 (EN)
説明
組織にとって重要なソフトウェアを提供するオープンソースベンダーと契約を締結しましょう。オープンソースソフトウェアを開発する企業や団体は、新機能の保守と開発を継続的に提供していく必要があります。プロジェクトには彼らの専門知識が不可欠であり、ユーザーコミュニティは彼らの継続的なビジネスと貢献に依存しています。
ソフトウェアサプライ チェーン (オープンまたはプロプライエタリ) のすべてのコンポーネントと同様に、脆弱性報告やセキュリティ修正の取り組みに対してサプライヤーをチェック/評価する必要もあります。サイバーセキュリティ規制がドメインまたは市場に適用される場合は、ベンダーが規制を遵守しているかどうかを確認してください。
オープンソースベンダーとの連携には、いくつかの形態があります。
- サポートプランへの加入
- 現地のサービス企業との契約
- 開発へのスポンサーシップ
- 商用ライセンスの購入
このアクティビティは、オープンソースプロジェクトを、プロプライエタリ製品と同様に、(通常ははるかに安価ではあるものの)購入する価値のあるフル機能製品と見なすことを意味します。
機会評価
このアクティビティの目的は、組織で使用されるオープンソースソフトウェアに対する専門的なサポートを確保することです。これにはいくつかのメリットがあります。
- タイムリーなバグ修正、脆弱性レポート、セキュリティ修正によるサービスの継続性
- 最適化されたインストールによるサービスパフォーマンス
- 使用するソフトウェアの法的/商業的ステータスの明確化
- 早期情報へのアクセス
- 安定した予算見通し
コストは、当然のことながら、選択したサポートプランのコストです。もう一つのコストとしては、大手システムインテグレーターへの一括アウトソーシングをやめ、専門性の高い中小企業とのきめ細かな契約に切り替えることが挙げられます。
進捗評価
以下の検証ポイントは、このアクティビティの進捗状況を示しています。
- 組織で使用されているオープンソースは、商用サポートによって裏付けられています。
- 一部のオープンソースプロジェクトのサポートプランを契約済みです。
- オープンソースサポートプランのコストは、IT 予算に計上する正当な手段です。
推奨事項
- 可能な限り、地元の専門性の高い中小企業を探してください。
- 大手システムインテグレーターがサードパーティの専門知識を再販しているケース(専門性の高いオープンソース中小企業が実際に提供しているサポートプランを再販しているケース)には注意してください。
リソース
オープンソースソフトウェアの商業的実態を示すリンクをいくつかご紹介します。
- 商用オープンソースを理解するためのクイックガイド (EN)
- CRA に関するガイド (EU): CNLL/Inno3 ガイド (EN)
- CRA に関するガイドとリソース (EU): ORCWG ガイド (EN)
- EO14028 に関するガイド (米国): ソフトウェア サプライ チェーン セキュリティ ガイダンス (EN)
次のアクティビティの提案
- GGI-A-23 ソフトウェアの依存関係の管理 (EN) ソフトウェア部品表 (SBOM) の影響と更新を評価、予測します。