オープンソース コンプライアンス改善のために、The Linux Foundationが新規プロジェクトを発足

VMwareならびに Endocodeが、それぞれTernとQMSTRを新プロジェクトに提供

2018年12月6日横浜発 (Open Compliance Summit) – オープンソースを通じた大規模イノベーションの実現に取り組む非営利団体であるThe Linux Foundationは、新規プロジェクトであるACT(Automated Compliance Tooling、自動化コンプライアンス ツーリング)の発足を発表しました。オープンソース コードの活用においては、それぞれのコードのライセンスに定義される諸条項を遵守する責任が発生しますが、各ユーザーや団体におけるそれらの管理は時として困難な作業となります。ACTでは、オープンソースにおけるコンプライアンス ツーリングに関連する投資を集約し、その相互運用性や有用性を向上させることで、各団体がコンプライアンスに関連する義務をより履行しやすくなることを目標としています。

またACTでは、本施策の一環として、The Linux Foundationにおける二つの既存プロジェクトに加え、新たに二つのプロジェクトを本新規プロジェクトに迎えます。この二つの新たなプロジェクトは、オープンソース ライセンスに関するコンプライアンス遵守をより簡潔で首尾一貫したものとするために重要となる推奨プロセスを発見するOpenChainや、開発者や企業がライセンスの必要条件、もしくはコンプライアンス遵守をサポートするための効率的かつフリクションレスなプロセスの構築に関する教育や理解を助けるOpen Compliance Programなどの、既存のLinux Foundationにおけるコンプライアンス プロジェクトを補完するものとなります。

EndocodeのCEOでありQMSTRプロジェクトのイニシエイターであるMiro Boehm氏は、「ライセンスに関するコンプライアンスはオープンソース エコシステムにおける重要な精神的衛生要因であり、我々はQMSTRを用いて、すべてのソフトウェア ビルドにおける事実の解明ならびに正確かつ完全でアップデートされたコンプライアンス情報の書面化に注力するツールチェーンの開発に着手しました。EndocodeはACTにQMSTRを提供し、The Linux Foundationや他のパートナーとともに本プロジェクトを次のステージに進められることを非常に喜ばしく思っております。」とコメントしています。

また、VMware Open Source Technology Centerのオープンソース エンジニアである Nisha Kumar氏も、「OSSコンプライアンスのためにコンテナ イメージを検査することを目的としたオープンソース プロジェクトであるTernを、The Linux FoundationのACTプロジェクト群に受け入れて頂き大変嬉しく思っています。2017年6月におけるリリース以来、Ternのコミュニティや機能は広がり続けており、最新のリリースであるバージョン0.2.0では、ユーザーや協力者に対してプロジェクトをよりアクセスしやすくする為の機能が追加されています。このプロジェクトをACTに組み込むことは、コンテナ戦略の一環としてOSSコンプライアンス要求を満たそうとする方々の間でより広範なコラボレーションを促すための大きなステップとなります。この目標に向けて、広義のコミュニティの皆様と協業できることを楽しみにしています。」とコメントしています。

今後ACTを構成する四つのプロジェクトは、以下の通りとなります:

  • FOSSology:オープンソースのライセンス コンプライアンス用ソフトウェアシステムならびにツールキットであり、ユーザーにライセンスならびに著作権、エクスポート コントロールのスキャンをコマンドラインから実行することを可能とします。システムとしては、コンプライアンス ワークフローのためのデータベースとウェブUIが提供されています。またコンプライアンス関連活動をサポートするために、ライセンスならびに著作権、エクスポート コントロールのスキャナーも用意されています。FOSSology はThe Linux Foundationの既存プロジェクトであり、今後はACTの一部となります。
  • QMSTR:Quartermasterとしても知られる本ツールは、ライセンスコンプライアンス管理における業界のベスト プラクティスを導入するための統合されたオープンソース ツール チェーンを作成するツールです。QMSTRは、ビルド システムに統合されることによりソフトウェア製品ならびにそのソースや依存先などを学習します。デベロッパーは、QMSTRをローカル環境で運用することで、結果の検証、問題のレビュー、コンプライアンス レポートの作成などが実行できます。またDevOps CI/CDサイクルに統合されることにより、ライセンス コンプライアンスをソフトウェア開発における品質基準とすることも可能になります。本プロジェクトは、EndocodeによりACTに提供されます。
  • SPDX Tools:SPDX(Software Package Data Exchange、ソフトウェア パッケージ データ交換)は、コンポーネントならびにライセンス、著作権、セキュリティの参照情報を含むソフトウェアの部品表情報を交換するためのオープン スタンダードです。 SPDXの主要な仕様は引き続きACTから独立したものとなりますが補完性は保たれ、また同仕様に準拠しユーザーやSPDX文書作成者をサポートするSPDXのツールは、今後ACTの一部となります。SPDXは、The Linux Foundation における既存プロジェクトです。
  • Tern:Ternは、コンテナ イメージにインストールされたパッケージのメタデータを発見するための検査ツールです。コンテナ ベースのインフラ・統合・デプロイの各戦略の策定においてより良い判断を行うために、コンテナに関する部品表情報のより深い理解を促します。Ternはデベロッパーのコンテナに関するオープンソース コンプライアンスへの準拠をサポートするために、開発者であるVMwareからACTに提供されます。

The Linux Foundation における戦略プログラムのシニア ディレクターであるKate Stewartは、「オープンソース コンプライアンスのツーリング プロジェクトは多数存在しますが、その大半は予算が不足しており、しっかりとした有用性や高度な機能を実現するための活動範囲が確保されていません。また多くの団体から、既存のツールが現状のニーズに対応できていないとの声も届いています。この問題に対応するための中立的なプロジェクトをThe Linux Foundationの下で立ち上げることで、コンプライアンスツーリング開発コミュニティに対してより多くの予算とサポートを提供することが可能となります。」とコメントしています。

ACTでは、新規のメンバーやコミュニティー パートナー、そして新規のツーリング プロジェクトを募集しております。ご参加をご希望される場合は、act@linuxfoundation.org までご連絡下さい。

The Linux Foundationについて

The Linux Foundationは、オープン テクノロジの開発や企業展開を加速するエコシステム構築のための組織として、世界のトップクラスの開発者や企業から選ばれています。The Linux Foundationは世界中のオープンソース コミュニティと協力して、史上最大の共有技術投資を作り出すことにより、難解な技術問題を解決しています。2000年に創設されたThe Linux Foundationは、ツール、トレーニング、イベントなどを提供することでさまざまなオープンソース プロジェクトの成長を助け、企業単体では実現できない経済効果の創出に寄与しています。詳細については、www.linuxfoundation.org を参照してください。

###

The Linux Foundationはさまざまな商標を登録および使用しています。The Linux Foundationの商標一覧はこちらのページでご確認いただけます。LinuxはLinus Torvaldsの登録商標です。