Le directeur de la rédaction de la Fondation Linux, Jason Perlow, a eu l’occasion de s’entretenir avec Masato Endo, président du projet OpenChain Automotive et responsable du sous-groupe de promotion du groupe de travail du projet OpenChain au Japon, à propos de l’étude récente du ministère japonais de l’Économie, du Commerce et de l’Industrie (METI) sur l’open source gestion de logiciels.

JP: Salutations, Endo-san! J’ai le plaisir de vous parler aujourd’hui. Pouvez-vous me parler un peu de vous et de la manière dont vous vous êtes engagé avec le ministère japonais de l’Économie, du Commerce et de l’Industrie?

遠藤 さ ん 、 こ ん に ち は！ 本 日 は お 話 し で き る こ と を う れ し く 思 い ま す。 あ な た 自身 に つ い て 、 ま

MOI: Salut Jason-san! Merci pour cette opportunité si précieuse. Je suis manager et scrum master dans le département de planification et de développement de nouveaux services dans une entreprise automobile japonaise. Nous travaillions également à la construction de la structure de gouvernance OSS de l’entreprise, y compris l’obtention de la certification OpenChain.

En tant que membre de la communauté open source, j’ai participé au projet OpenChain et participé à la création du groupe de travail OpenChain Japan et du groupe de travail automobile. Récemment, en tant que leader du groupe de travail Promotion SG du Japon, je me concentre sur la promotion de la conformité des licences OSS au Japon.

Dans ce projet, j’y contribue en tant que pont entre le ministère de l’Économie, du Commerce et de l’Industrie et les membres de projets communautaires OSS tels qu’OpenChain.

Par exemple, j’ai récemment fait une présentation d’OpenChain lors de la réunion et présenté les entreprises qui coopèrent avec l’étude de cas.

Jason さ ん 、 こ ん に ち は。 こ の よ う な 貴重 な 機会 を あ り が と う ご ざ い ま す。

私 は, 自動 車 メ ー カ ー の 新 サ ー ビ ス の 企 画 · 開 発 部署 で ​​マ ネ ー ジ ャ ー や ス ク ラ ム マ ス タ ー を 務 め て い ま す. ま た, OpenChain 認証 取得 等 の 会 社 の オ ー プ ン ソ ー ス ガ バ ナ ン ス 体制 構築 に つ い て も 取 り 組 ん で い ま し た.

一方, コ ミ ュ ニ テ ィ メ ン バ ー と し て も OpenChain プ ロ ジ ェ ク ト に 参加 し, OpenChain Japon WG や Automotive WG の 設立 に 関 わ り ま し た. 最近 で は, Japon GT の Promotion SG の リ ー ダ ー と し て 日本 に お け る OSS ラ イ セ ン ス コ ン プ ラ イ ア ン ス の 啓 発 活動 に 注 力 し て い ま す.

今 回 の プ ロ ジ ェ ク ト に お い て は, 経 済 産業 省 の タ ス ク フ ォ ー ス と OpenChain と の 懸 け 橋 と し て, ミ ー テ ィ ン グ に て OpenChain の 活動 を 紹 介 さ せ て 頂 い た り, ケ ー ス ス タ デ ィ へ の 協力 企業 を 紹 介 さ せ て 頂 い た り す る こ と で, コ ン ト リ ビ ュ ーシ ョ ン さ せ て 頂 き ま し た。

JP: Que fait le ministère de l’Économie, du Commerce et de l’Industrie (METI)?

経 済 産業 省 （METI） は ど の よ う な 役 割 の 役 所 で す か？

MOI: Le METI a compétence sur l’administration de l’économie et de l’industrie japonaises. Cette étude de cas a été menée par un groupe de travail qui examine les méthodes de gestion des logiciels pour assurer la sécurité cyber-physique de la Division de la cybersécurité du Bureau de la politique du commerce et de l’information.

経 済 産業 省 は 経 済 や 産業 に 関 す る 行政 を 所 管 し て い ま す. 今 回 の ケ ー ス ス タ デ ィ は 商務 情報 政策 局 サ イ バ ー セ キ ュ リ テ ィ 課 に よ る サ イ バ ー · フ ィ ジ カ ル · セ キ ュ リ テ ィ 確保 に 向 け た ソ フ ト ウ ェ ア 管理 手法 等 検 討 タ ス ク フ ォ ー ス に よ り 実 施 さ れ た も の ​​で す。

JP: Pourquoi METI a-t-il commandé une étude sur la gestion des bureaux de programmes open source et la gestion des logiciels open source dans les entreprises japonaises?

な ぜ 経 済 産業 省 は 、 日本 企業 の オ ー プ ン ソ ー ス プ ロ グ ラ ム オ フ ィ ス の 管理 と オ ー プ ン ソ ー ス ソ フ ト ウ に 関

MOI: Le METI a lui-même mené cette enquête. L’Équipe spéciale a examiné les méthodes appropriées de gestion des logiciels, les contre-mesures de vulnérabilité, les contre-mesures de licence, etc.

Parallèlement, comme l’importance de l’utilisation des logiciels libres a augmenté ces dernières années, il a conclu que le partage des connaissances de chaque entreprise concernant les méthodes de gestion des logiciels libres permet de résoudre les problèmes de chaque entreprise.

今 回 の 調査 は 、 METI が 主体 的 に 行 っ た も の ​​で す。 タ ス ク フ ォ ー ス は 適 切 な ソ フ ト ウ ェ ア の 管理 手法 、 脆弱 ラ 、 ラ

そ ん な 中 、 昨 今 の OSS 利 活用 の 重要性 が 高 ま る 中 、 OSS の 管理 手法 に 関 す る 各 企業 の 知 見 の 共有 が 各 社 の 課題 解決 に 有効 だ と い う 結論 解決 結論 結論

JP: En quoi les entreprises japonaises diffèrent-elles des homologues occidentaux dans la culture open source?

日本 の 企業 は 、 オ ー プ ン ソ ー ス 文化 に お い て 欧米 の 企業 と ど の よ う に 違 い ま す か？

MOI: À l’instar des entreprises occidentales, les entreprises japonaises utilisent également l’OSS dans divers domaines techniques, et l’OSS est devenu indispensable. En outre, plus de 80 entreprises ont participé au groupe de travail japonais du projet OpenChain. En conséquence, la dynamique de promotion de l’utilisation des logiciels libres s’accroît au Japon.

D’un autre côté, certains résultats d’enquêtes montrent que le processus de contribution et le système de soutien des entreprises japonaises sont retardés par rapport aux entreprises occidentales. Il est donc nécessaire de promouvoir les activités communautaires au Japon.

欧米 の 企業 と 同 様 、 日本 の 企業 で も OSS は 様 々 な 技術 領域 で 使 わ れ て お り 、 欠 か せ な い も の に な っ て い ま す ま 、 OpenChain 、 OSS の 利 活用 を 推進 す る 機 運 も 高 ま っ て き て い ま す。

一方 で, 欧米 企業 と 比較 す る と コ ン ト リ ビ ュ ー シ ョ ン の プ ロ セ ス や サ ポ ー ト 体制 の 整 備 が 遅 れ て い る と い う 調査 結果 も 出 て い る た め, コ ミ ュ ニ テ ィ 活動 を 促進 す る 仕 組 み を よ り 強化 し て い く 必要 が あ る と 考 え ら れ ま す。

JP: Quels sont les défis que la communauté open source et METI ont identifiés en raison de l’étude que les entreprises japonaises doivent affronter lors de l’adoption de logiciels open source au sein de leurs organisations?

日本 企業 が 組織 内 で オ ー プ ン ソ ー ス ソ フ ト ウ ェ ア を 採用 す る 際 に 直面 す る 調査 の 結果 、 オ ー プ ン ソ ー ス コ ミ

MOI: Dans cette étude de cas, de nombreuses entreprises ont mentionné la conformité des licences. Il a été constaté que chaque entreprise a établi un système et des règles à l’échelle de l’entreprise pour se conformer à la licence et fournit une formation aux ingénieurs. La meilleure façon d’y parvenir dépend de l’industrie et de la taille de l’entreprise, mais je pense que les informations de cette étude de cas sont très utiles pour chaque entreprise du monde entier.

En outre, il a été confirmé que la nomenclature logicielle (SBOM) devient de plus en plus critique pour les entreprises du point de vue à la fois de la réponse aux vulnérabilités et de la conformité des licences. Que les entreprises utilisent OSS en interne ou échangent des logiciels avec un partenaire externe, il est important de préciser quel OSS elles utilisent. Je reconnais que cette question est également un sujet brûlant en tant que «transparence des logiciels» dans les entreprises occidentales.

Dans cette étude de cas, plusieurs entreprises ont également mentionné la gestion de la chaîne d’approvisionnement des logiciels libres. En plus de clarifier les règles entre les entreprises, il se caractérise par un travail visant à élever le niveau de toute la chaîne d’approvisionnement grâce à des activités communautaires telles que OpenChain.

今 回 の ケ ー ス ス タ デ ィ で は, 多 く の 企業 が ラ イ セ ン ス コ ン プ ラ イ ア ン ス に 言及 し て い ま し た. 各 企業 は ラ イ セ ン ス を 遵守 す る た め に, 全 社 的 な 体制 や ル ー ル を 整 え, エ ン ジ ニ ア に 対 し て ラ イ セ ン ス 教育 を 実 施 し て い る こ とが わ か り ま し た. ベ ス ト な 方法 は 産業 や 企業 の 規模 に よ っ て も 異 な り ま す が, 各 社 の 情報 は こ れ か ら ラ イ セ ン ス コ ン プ ラ イ ア ン ス に 取 り 組 も う と し て い る 企業 や プ ロ セ ス の 改善 を 進 め て い る 企業 に と っ て 非常 に 有益 な も の で あ ると 私 は 考 え ま す。

ま た, 脆弱 性 へ の 対 応, ラ イ セ ン ス コ ン プ ラ イ ア ン ス の 両 面 か ら, 企業 に と っ て nomenclature de service の 重要性 が 高 ま っ て い る こ と が 確認 で き ま し た. 社 内 で OSS を 利用 す る 場合 で あ っ て も, 社 外 の パ ー ト ナ ー と ソ フ ト ウ エ ア をOSS認識 し て い ま す。

こ の ケ ー ス ス タ デ ィ の 中 ​​で 複数 の 企業 が OSS の サ プ ラ イ チ ェ ー ン マ ネ ジ メ ン ト に つ い て も 言及 し て い ま し た. 企業 間 で の ル ー ル を 明確 化 す る 他, OpenChain な ど の コ ミ ュ ニ テ ィ 活動 に よ っ て, サ プ ラ イ チ ェ ー ン 全体 の レ ベ ル ア ッ プ に 取 り 組 む こ とが 特 徴 に な っ て い ま す。

Défi 1: conformité des licences

Lors du développement de logiciels utilisant OSS, il est nécessaire de se conformer à la licence déclarée par chaque OSS. Si les entreprises ne mènent pas correctement la formation et la gestion des licences en interne, des violations de licence OSS se produiront.

Défi 2: Assistance à long terme

Étant donné que la durée de développement de l’OSS dépend des activités de la communauté, la durée du support peut être plus courte que le cycle de vie du produit dans certains cas.

Défi 3: gestion de la chaîne d’approvisionnement des logiciels libres

Récemment, l’échelle de la chaîne d’approvisionnement des logiciels s’est étendue et il y a des cas fréquents où le logiciel libre est inclus dans les livraisons des fournisseurs. Le partage d’informations sur les logiciels libres dans la chaîne d’approvisionnement est devenu important pour mettre en œuvre des contre-mesures de vulnérabilité appropriées et des contre-mesures de licence.

Défi 1: ラ イ セ ン ス コ ン プ ラ イ ア ン ス

OSS を 利用 し て ソ フ ト ウ エ ア を 開 発 す る 場合 は, 各 OSS が 宣言 し て い る ラ イ セ ン ス を 遵守 す る 必要 が あ り ま す. 社 内 に お け る ラ イ セ ン ス に 関 す る 教育 や 管理 体制 が 不 十分 な 場合, OSS ラ イ セ ン ス に 違反 し て し ま う 可能性 が あ り ま す。

Défi 2: ロ ン グ タ ー ム サ ポ ー ト

OSS の 開 発 期間 は コ ミ ュ ニ テ ィ の 活性 度 に 依存 す る た め 、 場合 に よ っ て は 製的 の ラ イ フ サ イ ク ル よ り も が り も 期間 が 短 期間 が 短 ト 期間 が が ト 期間 が ト 期間 が 短 ト 期間 が ト 期間 が ト 期間 が

Défi 3: サ プ ラ イ チ ェ ー ン に お け る OSS の 使用

最近 は ソ フ ト ウ エ ア サ プ ラ イ チ ェ ー ン の 規模 が 拡 大 し て お り, サ プ ラ イ ヤ か ら の 納 品 物 に OSS が 含 ま れ る ケ ー ス も 頻繁 に 起 こ っ て い ま す. 適 切 な 脆弱 性 対 応, ラ イ セ ン ス 対 応 な ど を 実 施 す る た め, サ プ ラ イ チ ェ ー ン の 中で の OSS の 情報 共有 が 重要 に な っ て き て い ま す。

JP: Quels sont les avantages pour les entreprises japonaises d’adopter des normes telles que OpenChain et SPDX?

OpenChain や SPDX な ど の 標準 を 採用 し て い る 日本 企業 の メ リ ッ ト は 何 で す か？

MOI: Les entreprises doivent faire un large éventail de choses pour garantir la conformité des licences OSS, de sorte que des conseils sont nécessaires. La spécification OpenChain, qui est devenue une norme ISO comme guide pour cela, est particulièrement utile. En fait, plusieurs entreprises qui ont répondu à cette enquête ont élaboré un processus de conformité des licences OSS basé sur la spécification OpenChain.

En outre, du point de vue de la gestion de la chaîne d’approvisionnement, on pense que si chaque entreprise de la chaîne d’approvisionnement obtient la certification OpenChain, la transparence des logiciels augmentera et l’utilisation appropriée des logiciels libres sera encouragée.

De plus, en participant au groupe de travail japonais d’OpenChain, les entreprises peuvent partager les meilleures pratiques de chaque entreprise et travailler ensemble pour résoudre les problèmes.

Puisque SPDX est une norme internationale de premier plan pour SBOM, il est très utile de l’utiliser lors de l’échange d’informations sur l’OSS dans la chaîne d’approvisionnement du point de vue de la compatibilité.

Les entreprises japonaises utilisent la norme SPDX et contribuent activement à la formulation des spécifications SPDX telles que SPDX Lite.

企業 が OSS ラ イ セ ン ス コ ン プ ラ イ ア ン ス を 適 切 に 行 う た め に 行 う べ き こ と は 多 岐 に 渡 る た め に 何 か し ら の 指針 が 必要 で す. そ の た め の 指針 と し て ISO に な っ た OpenChain Spécification は 非常 に 有用 な も の で す. 実 際, 今 回 の 調査Spécification OpenChain

ま た, サ プ ラ イ チ ェ ー ン マ ネ ジ メ ン ト の 観 点 か ら も, サ プ ラ イ チ ェ ー ン 各 社 が OpenChain 認証 を 取得 す る こ と で, ソ フ ト ウ エ ア の 透過 性 が 高 ま り, 適 切 な OSS の 利 活用 を 促進 さ れ る と 考 え ら れ ま す.

更 に OpenChain の JPWG に 参加 す る こ と で 、 各 社 の ベ ス ト プ ラ ク テ ィ ス を 共有 し た り 、 協力 し て 課題 解決 を す る こ と も で き ま ま す。。

SPDX は 重要性 の 高 ま っ て い る SBOM の 有力 な 国際 標準 で あ る た め 、 サ プ ラ イ チ ェ ー ン 内 で OSS に 関 す る 情報 を 交換 す す す す す す

日本 企業 は SPDX の 標準 を 利用 す る だ け で は な く 、 SPDX Ｌite の よ う に SPDX の 使用 策 定 に も 積極 的 に コ ン ト リ ビ ュ ー シ ョ ン し て て。。 す ョ ン し て て。

JP: Merci, Endo-san! Ce fut formidable de parler avec vous aujourd’hui.

遠藤 さ ん 、 あ り が と う ご ざ い ま し た！ 本 日 は 素 晴 ら し い 議論 に な り ま し た。

La poste Entretien avec Masato Endo, OpenChain Project Japan est apparu en premier le Fondation Linux.