「헬스케어 분야」 오픈소스SW 매니지먼트 아카데미 전문과정 교육 1일차
「헬스케어 분야」 오픈소스SW 매니지먼트 아카데미 전문과정 교육을 들었다.
기억 나는 것을 나열한다.
SBOM
SBOM 관리함으로서 소프트웨어 위협, 라이센스 관리를 할 수 있다
이미 영국은 이를 필수로 하고 있으며, 앞으로 미국, 한국도 이를 의무화 할 것이다.
SBOM 제출하라는 것은 감지된 위협이 없게끔해서 제출하라는 소리인데,
의료기기 등에서 위협이 존재하는 버전을 사용하지 않으면 안되는 것을 소명할 수 있다면 그나마 허용해줄 수도 있다.
간과하게 쉬운 것 중 하나가 OS인데, 가격을 낮추려 싼 부품을 사고, 그 성능 제한으로 인해서 낮은 버전의 OS를 사용한다면 그 버전 이후에서 갖고 있는 모든 위협을 갖고 있는 것이므로 유의해야 한다.
밑에 라이센스에서도 해당되는 이야기지만, 인허가를 받을 때 모든 것을 다 완료해두고서, 인허가를 받거나 컨설팅을 받는다면, 이미 모든 것이 종속되어 해결할 수 없을 확률이 높다.
아마 초반 혹은 조금 안정적인 상황에서 한 번 미리 컨설팅을 받아보는 것 좋을 것이라는 소리.
이 SBOM 프로그램은 다들 비싼데, 인터넷 진흥원에서 신청한다면 체험 가능하다고 한다.
앞으로 국정원과 과기부 등에서 이를 의무화해서 소프트웨어 안정성, 회복성을 높이려 한다 들었다.
라이센스
여러 오픈 소스 라이센스가 있는데 많이들 쓰는건 20가지 내외
Permissive(허용적인) 약한 copyleft 강한 copyleft
이렇게 나눠져있는데, GPL 계열 같이 강력한 copyleft를 비롯해서 대부분의 copyleft는 애초에 조심해서 써야하니 그려러니 하는데,
유의할 것은 Permissive에 포함되어 있는 아파치 라이센스.
여기서 보호권이라는 것이 있는데, 누군가 특허권자, 저작권자에게 소송 걸면 그 사람에게 부여되었던 특허권 취소하고, 상용 라이센스 값을 청구할 수 있는 일종의 방어권이라한다.
또한 멀티플 라이센스 GPL2와 아파치는 불가능한데 GPL3에서는 이를 해결해서 아파치와 멀티플 라이센스가 가능하다고하며, 이 선택은 유저가 한다고 한다.
마지막으로 라이센스를 아파치를 선택할 것이라면, 미리 특허권을 취득하고 아파치 라이센스로 코드를 공개하는 것이 개발자 및 회사 보호에 유리할 것이라고 한다.
오픈소스
1일차의 마지막 시간은 오픈소스인데, 그 이유는 나중에 글로 따로 작성하겠지만 굉장히 흥미로운 시간이었다.
특히나 오픈소스를 하든, 받든 그 준비가 되어 있어야 하는데, 잘 작성된 README, 라이센스, Code of conduct가 없다면 그 준비가 되어 있지 않는 것과 다름없다 봐야한다 했다.
추천 받은 것은 awesome-readme, make a README, Contributor Covenant
개발자 개인의 역량 강화와 회사의 이미지 향상이 목적이지만 그 외 많은 이유가 있을 것이라 했다.