製品開発における実務的なOSS管理の基本

製品やサービスを開発する際に、多くの OSS が利用されています。このとき、製品内にどのようなOSSが含まれているかを把握、管理しておくことは非常に重要です。ライセンスコンプライアンスの観点では、個々のOSSのライセンスを把握しないと、ライセンスに従ってOSSを利用することはできませんし、また、セキュリティの観点では、OSSのバージョンや入手元を把握していないと、脆弱性の有無を確認することができません。ソフトウェア内のOSSを含むコンポーネントの構成情報は SBOM (Software Bill of Materials) とも呼ばれ、最近ではSBOMが規制当局や顧客から要求されるケースも増えています。こうした背景から、OSS管理の重要性がますます高まっています。

OSSの管理は、開発の初期段階からポリシー（方針）を決めて、計画的に行う必要があります。場当たり的にOSSを利用したり、製品の開発が完了した後に含まれているOSSを調査を始めると、必要な情報が残されていなかったり、ツールが利用できなくなったりで、効率が悪くなってしまうといったことが起きてしまいがちです。さらに、万が一、ライセンスやセキュリティ上、利用できないOSSが見つかった場合、OSSを差し替えて作り直すといった開発の後戻りが発生します。そうならないためにも、OSSの管理や特定方法、利用ツールなどを決めてから開発を開始し、開発の節目で利用しているOSSを確認することが大切です。

本セミナーでは、OSS管理のプロセス、決めておくべきポリシー、OSS管理やライセンスコンプライアンスに役立つツールの紹介など、OSS管理の実務的な観点からの基本について説明します。

この分野は現時点では、教科書的があるわけではありませんし、製品の特性によって最適な方法も異なります。セミナーを通して、皆さんの質問や経験の共有も歓迎です。