デジタル時代において、オープンソースはソフトウェアのイテレーションとアップグレードを推進する重要な原動力となり、業界とアプリケーションの協業によるイノベーションを促進し、産業エコシステムの改善に寄与し、企業のITインフラ開発に不可欠な柱となっています。しかし、オープンソースエコシステムの急速な発展に伴い、オープンソースに潜むセキュリティとコンプライアンスのリスクがますます顕著になり、企業にとって無視できない重大な課題となっています。そのため、オープンソースガバナンスシステムを構築し、オープンソース技術の適用リスクを軽減し、その有効性を最大化する方法がどのように、あらゆる業界の企業にとって重要な課題となっています。

中国情報通信研究院（CAICT）は2012年からオープンソース分野の研究に取り組んでおり、オープンソース標準、試験・評価、業界研究、エコシステム、イネーブリングサービスにおいて、数多くの中核的な成果を上げてきました。CAICTの観察と研究によると、企業が効果的なオープンソース利用ガバナンスを実現するために、包括的かつ体系的なガバナンスシステムを構築するには、以下の側面から着手する必要があります。

包括的なオープンソースガバナンス戦略を策定する

企業が利用するオープンソースソフトウェアを効果的に管理するには、包括的なオープンソースガバナンス戦略を策定することが不可欠です。この戦略は、企業のビジネスニーズやテクノロジースタックと密接に連携し、開発効率の向上、セキュリティリスクの軽減、コンプライアンスの確保といったガバナンス目標を明確に定義する必要があります。同時に、専任のオープンソースガバナンスチームを設置し、選定・評価から利用・監視・保守に至るまで、管理のあらゆる側面を担当する必要があります。さらに、企業は、オープンソースソフトウェアの選択基準、利用手順、セキュリティ要件、コンプライアンスチェックなどを含む詳細なガバナンスポリシーを策定し、オープンソースソフトウェアの利用が企業の規制に厳密に準拠していることを保証する必要があります。

オープンソースソフトウェアの使用プロセスを標準化する

企業内でオープンソースソフトウェアを安全かつ効果的に活用するには、その利用プロセスを確立し、標準化することが不可欠です。導入段階では、厳格な審査基準と評価プロセスを導入し、選定したオープンソースソフトウェアがビジネスニーズと技術要件の両方を満たしていることを確認する必要があります。オープンソースソフトウェアのライセンスコンプライアンス、セキュリティ上の脆弱性、品質について包括的な評価を実施し、既存のシステムとの互換性を確保するために必要なテストと検証を実施する必要があります。利用段階では、使用方法とアクセス制御を標準化し、ソフトウェアの使用状況を定期的に監査し、重要な情報を記録するための登録システムを確立する必要があります。保守段階では、セキュリティ問題やアップデートのニーズに対応するための効果的なメカニズムを構築し、ソフトウェアのアップデートとバージョンアップを継続的に監視することで、ソフトウェアの安定性とセキュリティを確保する必要があります。

セキュリティ管理とコンプライアンス検査の強化

セキュリティ管理とコンプライアンスチェックは、オープンソースガバナンスに不可欠な要素です。セキュリティリスクを軽減するためには、オープンソースソフトウェアのセキュリティを徹底的にテストするための専門ツールを活用し、定期的な脆弱性スキャンとコードレビューを実施する必要があります。同時に、潜在的なセキュリティインシデントに対処するための緊急対応メカニズムを構築する必要があります。コンプライアンスに関しては、企業は関連する法律、規制、オープンソースライセンス要件を徹底的に理解し、遵守するとともに、法令遵守レビューメカニズムを構築し、ライセンス条項を徹底的に調査して製品のコンプライアンスを確保する必要があります。さらに、使用されているすべてのオープンソースソフトウェアライセンスを明確に把握するために、統一されたライセンス管理を実装する必要があります。

ガバナンスの効率性を向上させるツールとテクノロジーの活用

オープンソースガバナンスの効率性を向上させるには、企業は高度なツールとテクノロジーを積極的に導入する必要があります。ソフトウェアプロジェクトの詳細な分析にソフトウェアコンポジション分析（SCA）ツールを活用することで、オープンソースソフトウェアのコンポーネントを迅速に特定・管理できます。脆弱性スキャンツールと組み合わせることで、オープンソースソフトウェアのセキュリティ脆弱性を同時にスキャンし、ソフトウェアのセキュリティを確保できます。SCAツールによって生成されたレポートは、社内のオープンソースナレッジベース構築にも活用でき、オープンソースソフトウェアの管理・活用能力を強化します。さらに、オープンソースガバナンスプロセスをDevOpsやDevSecOpsといった最新のソフトウェア開発プロセスと統合することで、自動化・統合された管理が可能になります。CI/CDプロセスを用いたオープンソースソフトウェアの継続的な監視とテストは、ソフトウェアの品質とセキュリティを確保します。

研修と知識共有を強化する

チームのオープンソースガバナンス能力を向上させるには、継続的なトレーニングと知識の共有が不可欠です。企業は、開発者のリスク認識と管理スキルを向上させるため、オープンソースガバナンスに関するトレーニングを定期的に実施する必要があります。同時に、外部の専門家を招いて講義や意見交換を行うことで、最新のオープンソースガバナンスの経験とベストプラクティスを導入することができます。オープンソースガバナンスに関するナレッジベースを構築し、関連ドキュメント、ケーススタディ、ツールを収集・整理することで、チームメンバーが容易にアクセスし、学習できるようになります。開発者に経験や教訓を共有するよう促すことで、知識共有の文化が醸成され、オープンソースガバナンスにおける企業の継続的な進歩を総合的に推進することができます。

「OSGMM 2.0 - 2024 中国企業におけるオープンソースガバナンスの総合的観察」レポートが近日公開されます。

中国企業におけるオープンソース ガバナンスの最新の進展、課題、将来の動向を包括的かつ深く理解し、企業と政府に的を絞った実用的なソリューションと科学的かつ権威ある意思決定の根拠を提供するため、中国は再び中国企業のオープンソース ガバナンスの現状に関する調査を実施し、中国企業におけるオープンソース ガバナンスの新たな展開と動向を把握しました。

「OSGMM2.0 - 2024年の中国企業におけるオープンソースガバナンスの展望」というレポートは、2024年OSCARオープンソース業界カンファレンスで正式に発表される予定です。どうぞご期待ください！

中国通信標準化協会は、オープンソースと産業の深化を促進するため、2024年10月16日に北京で「2024 OSCARオープンソース産業カンファレンス」を開催する予定です。このカンファレンスでは、オープンソースの最新の開発動向、最新の信頼できるオープンソース標準システムの発表、オープンソースエコシステムの最新の開発状況、デジタルパブリック製品に関する洞察に焦点を当てます。また、金融業界におけるオープンソース、通信業界におけるオープンソース、自動車インテリジェント製造業界におけるオープンソース、オープンソースのセキュリティとコンプライアンス、オープンソースプロジェクトコミュニティの商業化などの分野で、業界の専門家と技術と産業の発展の方向性について議論します。

カンファレンスへの登録受付を開始しました。下記のQRコードをスキャンするか、「続きを読む」をクリックしてご登録ください。