Q&A：OpenChain (ISO/IEC 5230:2020) OSSコンプライアンス国際基準の徹底解説

2021 年10月6日に開催したオンラインセミナー、「OpenChain (ISO/IEC 5230:2020) OSSコンプライアンス国際基準の徹底解説」では、参加された皆様から多くのご質問をいただきました。その中で、ぜひ皆様にもご紹介したいQ＆Aについて本記事にまとめました。

Q1: ISO 5230が要求しているのは、会社（組織）としてのルールを決め、個々の開発プロジェクトへの要求を明確にすることと考えて構わないでしょうか？
A1: はい、ISO 5230は、組織のオープンソースライセンスのコンプライアンスを規定する規格で、開発プロジェクトの要件を明確にしています。

Q2: 3.6.1章のチェック対象は上記の組織のルールとプロジェクトの要求で、各開発プロジェクトがルールや要求事項に対応したことを示すエビデンス等はチェック対象にならないのでしょうか？
A2：対応したエビデンスもチェック対象となり得ます。3.6.1 章の検証資料は、「指定されたプログラム」を確定するための文書です。プロジェクト、組織、そして場合によってはビジネス・ユニットも、オープンソース・プログラムのサブコンポーネントとなります。

Q3: 3.6.1のチェックは自己認証でも、第三者認証でもどちらでもよいのでしょうか？顧客要求を踏まえて決めてかまいませんか？
A3: はい、どちらでも大丈夫です。

Q4: ISO 5230の3.3.2章に列挙されているAttribution Requirementsとは、例えば４条項BSDライセンスが要求する謝辞条項のようなものと考えればよいですか？
A4: はい、3.3.2の帰属要件では、「帰属表示」または「オープンソースの告知」を参照していますが、これには、4条項BSDライセンスの謝辞条項が含まれます。

Q5：OpenChainはOSSが対象ですが、商用ソフトウェアについてもSBOMに入れるなど対応は必要になりますか？
A5：いいえ、OpenChainはOSSのみが対象になります。ただ、SBOMの管理としては、商用ソフトウェアを含めるとより包括的な管理が可能になります。

Q6: Black DuckはバイナリスキャンによるSBOM作成に対応していますか？
A6: はい、対応しています。バイナリスキャンからSBOMを作成することができます。

Q7: OpenChainでは全社で一つの体制をとることを要求しているので、事業部ごとに別々の体制を取りたい場合にはOpenChainの認証を得ることはできない、という人がいたのですが、正しいでしょうか？3.1.4のプログラムの範囲を適切に設ければ大丈夫のように感じたのですがいかがですか？
A7: 事業部ごとの認証は可能と考えます。 OpenChainのコンプライアンスは、サプライチェーンの信頼性を確保する目的でプログラムレベルで設定される為です。

Q8: シノプシスからOpenChainの認証を発行してもらうことは可能でしょうか？
A8. シノプシスは、ISO規格に準拠した適合性の認証を提供する第三者認証機関です。シノプシスが発行する証明書は、ANSIやDAkkSの認定を受けた証明書ではありません。

これらのご質問をいただいたオンラインセミナーはオンデマンドでご覧いただけます。まだご覧になっていない方は、ぜひこちらからご参加ください。講演資料・関連資料もオンラインセミナーのページよりダウンロードできます。

関連ブログ記事：「シノプシスがOpenChainプロジェクトの第三者認証機関の認定取得を発表」