- 1. OSSコンプライアンスに関連するプロジェクトやツールの紹介
- 2. GORMでSQLインジェクションされるコードを書いてしまったので公式ドキュメントcontributeした
- 3. 社内でOSSコードリーディング会を始めました
- 4. OpenChain Japan workgroup FAQ subgroup 最新状況のご紹介/Latest Status Update
- 5. 2021年にOSS界隈で話題になったニュース10選
- 6. デベロッパーアドボケイトを募集しています
- 7. OpenChain Security Assurance Reference Guideの翻訳について
- 8. コンテナイメージを使ったLambdaのローカル検証用ツールを作った
- 9. LaravelリポジトリのDiscussionされてるアイデアを読んでみる
- 10. ホリデープロジェクトの安全性を確保する
- 11. OpenChain Security Assurance Reference Guide
- 12. 続OSSスキル標準について Open Source Skill Standard
- 13. プルリクレビュー時に使用している自作GitHub Actionsの紹介
- 14. 経産省のOSS管理手法事例集について About METI’s Case Study of Open Source Management Methods
- 15. TCE で Gatekeeper をサクッとやってみる
- 16. 2021年のオープンソース界隈の話題がわかる!OSSコンプラニュース一気振り返り
- 17. iOS アプリで使ってる OSS の情報をいい感じにとる
- 18. 東京都オープンソース公開ガイドラインについて About Tokyo OSS Guideline
- 19. コードの見方・関わり方が少し変わった一年でした、という話
- 20. OSSライセンスが怖かったので、GPL系のライセンスを調べてみた
OSSコンプライアンスに関連するプロジェクトやツールの紹介
こんにちは。OpenChain JWGで活動している安倍です。
コンプライアンスやセキュリティなどに対応するために、OSS管理の重要性が増しています。
それに伴い、OSS管理の手助けになるプロジェクトやツールがたくさん登場しています。なので今回はOSSコンプライアンスに関連するプロジェクトやツールの概要を紹介したいと思います。
– CHAOSS
– Clearly Defined
– fosslight
– OpenHub
– OSS Review Toolkit (ORT)
– Software Heritage# CHAOSS
https://chaoss.community/
Community Health Analytics Open Source Softwareの略称
Linux Foundationが2017年9月「CHAOSS Project」を立ち上げCHAOSS Projectの目標は
– オープンソースコミュニティの健全性を測定する指標を確立する
– ソフトウェアコミュニティ開発を分析するための統合オープンソースソフトウェアを作成する
–
GORMでSQLインジェクションされるコードを書いてしまったので公式ドキュメントcontributeした
どうも、社会人歴2年目のオチラルです。
初ブログ記事です。
この記事は、[フューチャー Advent Calendar 2021](https://qiita.com/advent-calendar/2021/future)の17日目の記事で、昨日は@hichikaさんの[Goで多段のファイル変換処理をしてみた](https://qiita.com/hichika/items/25b0fceea4761214b6e9)でした。##はじめに
タイトルの通り、GORMでSQLインジェクションが起こりうるコードを書いてしまいました。
幸いテスト期間中に発覚したので大事にはなりませんでしたが、原因究明中に公式ドキュメントがいけてないなと思ったので同じミスを他の人が侵さないように世のため人のため、~~OSSコントリビュート実績解除チャンスだとウキウキで、~~公式ドキュメントにコントリビュートした話をします。##GORMとは
[GORM](https://gorm.io/ja_JP/docs/index.html)は公式ドキュメントによると、“`text
デベロッパーフレンドリーを
社内でOSSコードリーディング会を始めました
### はじめに
この記事は[GLOBISのカレンダー | Advent Calendar 2021](https://qiita.com/advent-calendar/2021/globis)の16日目です。
こんにちは、グロービス基盤チームエンジニアの[@shifumin](https://twitter.com/shifumin)です。最近の趣味は自宅筋トレとポケモンユナイトです。
昨日の記事は、@masaibarさんのAndroidの動作再生画面の回転仕様を再現するべく奮闘した[AndroidでYouTubeの再生画面の回転仕様を再現する](https://qiita.com/masaibar/items/e0d58e84b3102c57a88b)でした。
今日のこの記事では試行錯誤しながら社内でOSSコードリーディング会を始めた話を紹介したいと思います。### きっかけ
開発を進めていると必要に応じて利用しているオープンソースのライブラリの実装を読むことがあるかと思います。その際に「ライブラリのコードリーディングの速度が遅い気がする」「皆どうやって読んでいる
OpenChain Japan workgroup FAQ subgroup 最新状況のご紹介/Latest Status Update
*Please scroll down for the English version.
こんにちは。富士通株式会社の大内です
本日は、OpenChain Japan workgroupのFAQサブグループについて、今年の取り組みから最新状況までを紹介します。##FAQサブグループの活動
FAQサブグループでは、OSSのライセンスについて、あまり詳しくない技術者を対象にFAQを作成して公開しています。法律や契約の専門家向けではないので、読み疲れないようにYes/Noで答えられる簡単な質問と、一言解説を加えた形式にしています。
質問は、会社やインターネットなどで見られる疑問や、参加者が疑問に思ったことを出し合い、毎月、オンライン会議で内容を検討しています。内容がFIXしたら、弁護士のレビューを経た後、公開しています。##スキルアップ
FAQサブグループでは、チャタムハウスルール(会議の内容は自由利用できるが、誰が言ったかは口外しない)を採用して、心理的安全性を保つことに配慮しています。なので、「こんなこと言ったらヘンかな?」、「もしかして見当違いのこと
2021年にOSS界隈で話題になったニュース10選
この記事は、[日立ソリューションズ OSS Advent Calendar 2021](https://qiita.com/advent-calendar/2021/hitachi-solutions-oss) の記事になります。
# はじめに
こんにちは。日立ソリューションズの森下です。
早いもので2021年も終わりですね。皆さま、いかがお過ごしでしょうか。
今回は年末ということで、この1年OSS界隈で話題になった出来事を10選としてまとめてみたいと思います。
個人的には10月に[OSS管理ブログ](https://www.hitachi-solutions.co.jp/oms/sp/blog/)をスタートしたことが最大のニュースなのですが、この記事ではOSS界隈全体で話題になったニュースを取り上げたいと思います。参考までに、2019年版、2020年版のリンクも載せておきます。よければご覧ください。
– [2019年にOSS界隈で話題になったニュース10選](https://qiita.com/d-morishita/items/bfa1a0d8c7ec7f01093d
デベロッパーアドボケイトを募集しています
デベロッパーの支持者となるために、ぜひチームに参加してください。グローバルに成長するデベロッパーリレーションズチームに参加して、たくさんの楽しい活動をしましょう。
Snykユーザーとそれ以外の開発者コミュニティを構築し、成長させるために、経験豊富で実践的かつ自己管理能力の高いコミュニティマネージャーおよびアドボケイトを募集しています。 教育、関与、ネットワークプログラムを通じて、コミュニティマネージャー/アドボケートは、日本地域全体でDevSecOpsプラクティスおよびSnykの開発者優先のセキュリティプラットフォームの認識と採用を推進します。
何か質問があれば、メッセージをください。
[求人情報へのリンク](https://snyk.io/jobs/developer-advocate-japan-2/)
OpenChain Security Assurance Reference Guideの翻訳について
### 挨拶
こんにちは。
木田と申します。
今日は昨日に引き続きOpenChain Security Assurance Reference Guideについての話題です。
今回は翻訳プロジェクトについて紹介します。
### セキュリティ関係ドキュメント翻訳プロジェクトについて
2021年夏に[OpenChain Security Assurance Reference Guide](https://www.openchainproject.org/featured/2021/08/12/openchain-iso-5230-security-assurance-reference-guide-now-available)が公開されました。
また、[JPWGが策定したSPDX Liteを含むSPDX2.2がISO化](https://prtimes.jp/main/html/rd/p/000000154.000042042.html)されました。
これらはOSSのサプライチェーンマネジメントがコンプライアンスだけではなくセキュリティ等、様々な面で重要になってきていることの証左です。
コンテナイメージを使ったLambdaのローカル検証用ツールを作った
:::note info
この記事は、AWS Lambda と Serverless Advent Calendar 2021 15日目の投稿です。
:::https://qiita.com/advent-calendar/2021/lambda
# 記事の要約
1. Lambdaではコンテナイメージを利用した処理実行ができる。
2. Lambdaにデプロイする前にローカルでも検証できる。
3. 2.をサクッと出来るようにラップしたツールを簡単につくった。
4. 使ってみてね!# 経緯
Lambdaではコンテナイメージを利用して、任意のコンテナ環境での処理実行を行うことができます。
(今回ここの詳細な実装方法は本質でないので割愛します。)https://docs.aws.amazon.com/ja_jp/lambda/latest/dg/images-create.html
一度使用する機会があり構築してみたのですが、実装したコンテナイメージをローカルで検証する方法が分からず彷徨っていると、[公式](https://docs.aws.amazon.com/
LaravelリポジトリのDiscussionされてるアイデアを読んでみる
この記事は[Laravel Advent Calendar 2021](https://qiita.com/advent-calendar/2021/laravel) 14日の記事です。
13日のokdyyさんの記事[細かすぎて伝わらないLaravel選手権8(laravel8)](https://qiita.com/okdyy75/items/0f3566597a8f7e0107b0)では、
Laravel8のアップデート情報について知ることができましたね!私もLaravelについて何を書こうかネタにこまって過去のアドベントカレンダー記事を見ていたところ、cocoeyes02さんの[改めて Laravel/framework のコントリビュートガイドを読んでみた](https://cocoeyes02.hatenadiary.jp/entry/2019/12/23/181031)を発見しました。
Laravelは現在も追加開発が行われているOSSプロジェクトです。
世界中のLaravelユーザーが、今後のLaravelについて盛んに議論・開発している様子を、誰でも見て参加する
ホリデープロジェクトの安全性を確保する
今年もまた、一年間待っていたプロジェクトを中断することなく進められる季節がやってきました。新しいコンテンツ管理システムの構築でも、お気に入りのオープンソースプロジェクトのプラグインでも、ホリデーシーズンは開発者が1年中待っていた特別なプロジェクトを作り上げることができる時期です。
ただし、プロジェクトの安全性を確保すること、特にオープンソースのライブラリやコンポーネントに可能な限り脆弱性がないことを確認することが重要であることを忘れないでください。脆弱性の可能性がないかコードをスキャンするだけでなく、プロジェクトを安全に保ち、エンドユーザーを可能な限り安全にすることが非常に重要なのです。
この記事では、Snyk CLIを使ってSCAとSASTのスキャンを行うことで、プロジェクトの安全性を保つ方法を見ていきたいと思います。このツールを使うと、パッケージマニフェストをスキャンしてオープンソースの脆弱性を探したり、コードをチェックして安全性を確認したりすることができます。
## いくつかのコードで遊んでみましょう
休暇中の最大の問題は、どのプロジェクトを行うかを選ぶことです。アイデ
OpenChain Security Assurance Reference Guide
こんにちは!
3日連続で登場のENDOです。今週はセキュリティやツールに関するトピックスをご紹介していますが、
本日はOpenChainが今年の夏に[リリース](https://www.openchainproject.org/featured/2021/08/12/openchain-iso-5230-security-assurance-reference-guide-now-available)したSecurity Assurance Reference Guideについて紹介させて頂きます。#Security Assurance Reference Guideって?
2021年8月にOpenchainのSpecification WGが[リリース](https://github.com/OpenChain-Project/SecurityAssuranceGuide/tree/main/Guide/1.0)した組織がOSSのセキュリティを確保するためのガイドラインです。
このガイドラインはISOとなっているOpenChainの標準そのものに含まれるものではありませんが、
続OSSスキル標準について Open Source Skill Standard
こんにちは!
昨日に続いて登場の遠藤です。本日は、[昨年](https://qiita.com/tech_nomad_/items/b0a6a0606067dd4137e9)も紹介したOSSスキル標準に関する紹介を再度させてください。
昨日も紹介した通り、コンプライアンスやセキュリティの観点からもOSS管理の重要性が日増しに増大しており、企業の取り組み内容を共有しようという動きもひろがっています。
また、OpenChainにおいても企業が適切にOSSを管理するためのプロセスの標準の普及や、
教育資料の作成、プラクティスの共有なども進んでいます。#OSSスキル標準の必要性と新たな展開
一方で、OSS管理の業務はソフトウエア開発部門、セキュリティ部門、法務・知財部門など様々な部門が
関わる複雑な業務であり、比較的新しい業務であるため、
各業務を誰(またはどの部署)が担当するべきか、各担当者をどのように育成していくべきかの指針が
必要とされていました。もう一つのトレンドとして、ここでも「セキュリティ・ツールWeek」が開催されているように、
コンプライアンス業務やセキュリティ業
プルリクレビュー時に使用している自作GitHub Actionsの紹介
私がプルリクレビュー時に使用している自作のGitHub Actions[「action-repository-permission」](https://github.com/sushichop/action-repository-permission)について紹介します。利用シーンは限定されるActionsですが、[GitHub Marketplaceにも公開](https://github.com/marketplace/actions/repository-permission)していますので、OSSをメンテされている方をはじめ、本機能を必要と感じた方、興味がわいた方は試してみてもらえればと思います。
# 本Actionsが提供する機能
リポジトリに対するCollaboratorとしてのユーザ権限をチェックします。主に、writeまたはadminの権限を持っているかどうかをチェックするために使うケースを想定しています。
# 使い方
## 基本
下記はIssue書き込みしたユーザについて、Collaboratorとしてwrite以上の権限を持っているかどうかをチェックする例
経産省のOSS管理手法事例集について About METI’s Case Study of Open Source Management Methods
こんにちは!
2回目の登場の遠藤です。#本日からセキュリティ・ツールWeekです!
本日から「セキュリティ・ツールWeek」と称して7日間、OpenChainのセキュリティ関連の取組の紹介や、
OSSコンプラのツール関係トピックを取り上げていきます。OpenChainは元々、ライセンスコンプライアンスにフォーカスを当てたプロジェクトですが、
サプライチェーン内でのソフトウエア透過性の向上や自社が使用しているOSSの見える化などの課題は
セキュリティ対応の課題と共通することから、セキュリティ関連の取組も拡大してきています。#事例集策定の経緯と内容について
本日は、2021年4月21日に経済産業省からリリースされた
「[オープンソースソフトウェアの利活用及びそのセキュリティ確保に向けた管理手法に関する事例集](https://www.meti.go.jp/press/2021/04/20210421001/20210421001.html)」について紹介させてください。
この事例集は[サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理手法等検討タスクフォース](ht
TCE で Gatekeeper をサクッとやってみる
どうも! @hirosat です。
本日は、[TUNA-JP Advent Calendar 2021](https://qiita.com/advent-calendar/2021/tuna-jp) の中で、まだ紹介されてない、[Gatekeeper](https://github.com/open-policy-agent/gatekeeper) をやろうかなと思って、エントリしました。# Gatekeeper とは?
Gatekeeper を語るためには、その前にいくつか紹介しなければ行けない背景があります。## K8s のアクセス制御の仕組みを知ってる?
(参考: [Kubernetes Documentation](https://kubernetes.io/docs/concepts/security/controlling-access/))の8日目は、
[昨年](https://qiita.com/MasatoENDO/items/5e3e8b45945a25e84632)に続いての登場のENDOです。
2日連続名古屋からの発信ですね♪#自己紹介と本日のテーマについて
今年も本業は新サービスの企画やシステム開発のマネジメントでしたが、
引き続きソフトウエアプロジェクトの98%が使用しているというオープンソースソフトウエア(OSS)周りの知財関連活動にも取り組み、
[昨年の記事](https://qiita.com/MasatoENDO/items/5e3e8b45945a25e84632)で紹介したLinux FoundationのOpenChainプロジェクトにおける標準化や
オープンソースの啓発活動の他、日本知的財産協会の講習会の講師やパネラー、[知財管理誌への寄稿]
(http://www.jipa.or.jp/kikansi/chizaikanri/mokuji/
iOS アプリで使ってる OSS の情報をいい感じにとる
CocoaPods で OSS を管理している iOS アプリで使っている OSS のリストを “いい感じ” に作ります。
# お題
開発中の iOS アプリ内で使っている OSS を次の情報を含めてリストアップしたい。– OSS 名
– バージョン
– ライセンス
– 公開サイト
– 作者変なのが混入してないかとか、なんやかんやあるんです、はい。
# 解答
[こうする](https://github.com/shinyaishida/podeps)。
# 解法
なんかいい感じのコマンドとかツールとかないか探した結果、スクリプトをちょこっと書くだけで済みそうだったのでそうしました。以下はその辺の説明です。
## LicensePlist
OSS のリストと言えば [LicensePlist](https://github.com/mono0926/LicensePlist) が思い浮かびます。アプリ上で OSS の表示義務を果たすのにとてもありがたいツールです。ただ、出力が、、、
“`xml
東京都オープンソース公開ガイドラインについて About Tokyo OSS Guideline
こんにちは!
このOpenChain Japan Advent Calendarを企画しているPromotion SGの遠藤です。本日はオープンソースが企業だけではなく、よりパブリックな世界にも拡大していることや
OSSの管理だけでなく、組織がコミュニティの貢献を加速するための仕組み作りも進んでいることを示す事例を紹介させて頂きたいと思います。2021年10月東京都から「[東京都オープンソース公開ガイドライン](https://github.com/Tokyo-Metro-Gov/tokyo-oss-guideline)」のβ版が公開になりました。
OpenChain JWGからも小保田さん、大崎さん、私の3名でβ版の編集にご協力させて頂きました。#なぜ策定された?
本ガイドラインの作成の経緯の詳細は東京都のフェローとしてレビューに参加された
関さんの[note記事](https://note.com/hal_sk/n/n712e3781cdd0)をご参照頂ければと思いますが、
「[東京都新型コロナウイルス対策サイト](https://stopcovid19.metro.t
コードの見方・関わり方が少し変わった一年でした、という話
グロービスにバックエンドエンジニアとして参画している @ymstshinichiro です。
僕は今年の5月から本格的に[GLOPLA LMS](https://glopla.globis.co.jp/)の開発にジョインしました。
本記事では、そこから今日までの7ヶ月を通して自分に起こった変化について書いてみたいと思います。## 参画以前は
僕は約10年飲食の業界にいましたが、約4年前にキャリアチェンジで SIer > Web業界(社員) > Web業界(フリーランス) という流れで現在に至っており、新卒できちんと先輩から教わったとか、スクールで先生についてもらったみたいなことがありませんでした。なので、基本的に独学でプログラミングを学び現場のコードを見ながら/直しながら覚えていくという感じでやってきており、
– 「こうあるべき」みたいなのは書籍を読んで得たものが基本
– とはいえ現場では現場のルールや状況がある
– 結果、その時々で対応していくので、背骨のある設計/実装、綺麗で汎用性の高いコード みたいなのがあまり身についてこなかったという実感がありました。
一方で、急
OSSライセンスが怖かったので、GPL系のライセンスを調べてみた
# 背景
JPHACKS2021に出場した際に、最初から作業・提出リポジトリにMITライセンスなるものが設置されていた。
ライセンスよくわからないで使わされるのも怖いし、コピーレフト性のあるものは「改変の開示」が必要で怖いし、知っておかないとやばいよなーとなった。# この記事のゴール
コピーレフト性のあるGPL系ライセンスで、どのケースでコードを開示する必要があるのか理解する。# GPLライセンスのまとめ
## コピーレフト(Copyleft)
著作物の自由な利用・改変・再配布する権利を人々に提供し、その派生物についてもこれら行為の制限をしてはならないとする考え。
OSSライセンスが持つことのある概念。## GPLライセンスとは
GPL(GNU General Public License)はコピーレフト性を持つライセンスとして有名。
GPLライセンスは他のライセンスよりも、制限が強く、厳格にコピーレフトの概念を具現化したライセンスと言える。## GPL2.0ライセンスを持つソースの主な利用条件
GPLはいくつかのバージョンが存在するが、ここでは特にGPL2.0について
