|
| 1 | +日時: 2026/1/29(水) 13:30~15:00 |
| 2 | +場所: オンライン(Teams) |
| 3 | +(以下敬称略) |
| 4 | +参加者: 三菱電機 大内、ソニー 島、富士通 山城、富士ソフト 越野、オリンパス 出口、小泉 |
| 5 | + |
| 6 | + |
| 7 | +■概要 |
| 8 | +「今後の活動のネタを考えてくる」が宿題になりました |
| 9 | +新規参加者に次回以降の会議通知を転送する(★小泉 済) |
| 10 | + |
| 11 | +■詳細 |
| 12 | +【OSS教育資料応用編】 |
| 13 | +- https://docs.google.com/document/d/1tHRudCC7QFiPObBkTa6ta5phlbgNiybcb9BKWTMCTVo/edit?usp=sharing |
| 14 | +- 先月から進捗はない |
| 15 | +- 次回(2月)までにGoogleドライブ版をfix、次々回(3月)までにWord版をfix、年度内に完成版がGitHubに載る感じで進めたい |
| 16 | +- 細かい進捗については随時Slackで展開する |
| 17 | + |
| 18 | +【Education SGのサブリード募集】 |
| 19 | +- 先月から進捗はない |
| 20 | + |
| 21 | +【今後の活動について】 |
| 22 | +ここから先は会議終了後私が考えたことも入り込んでます。議論そのままではありません。皆さんの宿題の参考になれば。 |
| 23 | + |
| 24 | +- SBOM |
| 25 | +-- SPDXはLinux Foundationの活動、CycloneDXはOWASPの活動 |
| 26 | +-- SPDXとCycloneDXで対立しているとは思わないが、それぞれの団体がうまく連携できているようには見えない |
| 27 | +-- 今のままだともし品質保証部門がSPDXを作成することをプロセス化したとしても、現場でうまく回るとは思えない |
| 28 | +--- おそらくそれはCycloneDXでも同じ問題を抱えることになるのではないか |
| 29 | +-- JSON形式は読めなくはないが、見るのは大変 |
| 30 | +--- AIで試してみたが、AIがいい感じに補完や要約してしまうので、それを見たことで「確認した」と言っていいものかどうか、、、 |
| 31 | +--- JSON形式をスプレッドシートに変換するツールを作れればいいが、、、 |
| 32 | +---- そもそもスプレッドシートだと(最新バージョンのSBOMを)完全には表現できないからJSON形式を使うようになったはず |
| 33 | +---- 「完全」にこだわらなければ不可能ではない |
| 34 | +-- SBOM Quality Guideの読み合わせというのもありかもしれない |
| 35 | +--- 教育資料をアウトプットするSGとしてではなく、勉強する場を提供するSGとするというのもありだろう |
| 36 | +--- だが、まだSBOM Quality Guideは確定版ではない |
| 37 | +--- (教育SGで作ったものではないが)SPDX Lite-Guideline(https://github.com/OpenChain-Project/OpenChain-JWG/blob/master/subgroups/sbom-sg/outcomes/SPDX-Lite/Guideline/SPDX-Lite-Guideline_jp.md)というものがある |
| 38 | +---- これから読み合わせを始めるのもいいかもしれない |
| 39 | +--- そもそもOpenChain JWGとしてさまざまな資料はすでに作ってあるのに知られていないことが多い |
| 40 | +---- どういう資料があるのか情報を整理するだけでも有意義な活動になるのでは |
| 41 | +----- 広報はそれを専門とするPromotion SGがある。そちらとの役割分担は課題だが、教育SGとして「整理」に参加するのはありと思う |
| 42 | + |
| 43 | +とここまで書いて思いましたが、SBOMに関する会話で終わってしまいましたね。ただ、そこから出てきたいくつかのアイディアはSBOM限定ではないと思います。 |
0 commit comments