본문 바로가기
기타

한빛N MSA - #6 Open Source 세미나 후기

by 검은도자기 2023. 10. 27.

 

평소 개발하다 가끔 생각나던 오픈소스에 대한 궁금증을 못 이기고 10월 26일에 진행한 LG전자 Open Source Task에서 책임연구원으로 근무하고 계시는 김소임께서 '현업 사례(LG전자)로 알아보는 안전한 오픈소스 사용법'이라는 주제로 발표하신 세미나를 다녀왔습니다.

 

LG 현직자분들이 알려주는 라이선스에 관한 여러 좋은 정보들을 얻을 수 있어서 정말 유익하다 느껴진 시간이었습니다.
각 세션별로 중요하다 생각 들었던 내용을 간략하게 정리해 보았습니다.

 

 

오픈소스 주의점

오픈소스는 다 무료가 아니며 다양한 라이선스(GPL, LGPL, MIT, Apache...)가 존재합니다.

 

오픈소스를 막 사용하면 안 됩니다. (여러 오픈소스 소송 사례를 참고)

 

실제로는 신고 비율은 많지는 않지만 매우 낮은 확률로 트롤 유저들이 신고를 한다고 하네요

 

 

오픈 소스 라이선스 의무사항

의무사항은 핵심적인 고지 의무, 소스 코드 공개 의무 두 가지 의무사항만 기억하면 됩니다. 

 

 

소스 코드의 공개 범위는 어떻게 알 수 있을까?

자세한 내용은 오픈소스 라이선스 종합정보시스템에 있는  라이선스 비교표 참고하면 됩니다.

 

 

소스 코드를 어떻게 공개할까?

오픈소스를 링크한 코드를 취합해서 배포하면 됩니다.

 

LG 회사의 경우 LG 오픈소스 닷컴에 오픈소스 공개의무가 필요한 거 올린다고 하니 소스 코드를 어떻게 공개할지? 고민하는 회사라면 참고할만한 거 같습니다.

 

 

오픈 소스 라이선스 확인

방법이 좀 더 있던 거 같았지만 기억나는 건 크게 3가지입니다. 자세한 내용은 추후에 올라오는 영상을 참고하시면 좋을듯합니다.

 

1. 소스 파일 상단 문구 확인

2. root 폴더 내 License 파일 확인

3. webpage의 라이선스 확인

 

여태 무지성으로 깃 레포에 있는 코드를 가져와 사용했었는데 이게 라이선스 표기 안되어 있다면 기본적으로는 쓸 수 없다는 걸 처음 알았습니다. 그래서 다른 분들도 이 점 주의하시면서 가져다 사용하시면 좋을듯합니다.

 

하지만 저작권자에게 허락을 받는다면? 사용가능하다고 하니 참고하시면 좋을 거 같네요.

 

 

내가 사용한 오픈 소스만 확인하면 어떻게 해야 하나?

오픈소스 라이선스 확인 자동화

Scanner를 사용하여 오픈 소스 라이선스 추출합니다.

FOSSLight Scanner 같은 종류가 많으니 궁금하신 분들은 찾아보시면 좋을 듯합니다.

 

 

오픈소스 라이선스 고지문 발행 및 소스 공개 오픈소스 확인

demo.fosslight.org 확인

FOSSLight  Hub 통해 고지문 확인

 

 

오픈소스 보안

오픈소스는 보안 이슈 발생(log4 j 이슈)하기에 모니터링이 필요합니다.

따라서 주기적인 모니터링을 위한 방법으로는 아래와 같습니다.

먼저 코드에 있는 오픈소스 목록 취합 그다음에 SBOM 관리를 통한 보안취약점 모니터링 대응합니다.



저작권 표기 방법

Copyright ©  [발행연도](저작권자)[Contract address]

 

 

QnA

이 부분은 대부분의 질문은 기억이 안 나기에 참고할만하겠다고 생각한 내용만 정리해 두었습니다.

 

  • 오픈소스 비슷하게 구현했다면 라이선스 침해입니다.
  • 오픈소스 판례를 참고하면 좋습니다.
  • 소스를 디컴파일 해도 라이선스는 준수해야 합니다
  • 사내 사용 목적으로 오픈소스를 사용하면 상관없습니다. 단 법인 분리 되어있으면 배포로 인정이 되어서 라이선스를 준수해야 합니다.
  • 처음에 무료여서 가져다가 사용하던 중 중간에 다른 라이선스로 바뀌었을 경우 가져간 시점의 라이선스만 준수하면 됩니다.
  • 폰트 라이선스 고지 어디에 하면 좋을지? 웹 사이트는 푸터에 라이선스 정보 링크 달아서 라이선스 정보 페이지로 이동하게 구현
  • 챗 지피티가 가져온 코드에 라이선스 위험 리스크가 있으니 참고 바랍니다.
  • mvd 데이터
  • 스택 오버 플로우에서 가져온 코드는 라이선스가 있을까? CC-BY-SA-2.5, CC-BY-SA-3.0 고지, 소스 공개 해야 합니다.
  • 회사 내부로 사용중일 경우에는 라이선스를 공개할 필요가 없으며 프로젝트 배포 시에 라이선스를 공개를 해야 합니다.
  • npm, gradle, pip 등으로 받은 라이브러리들만 체크하는 게 아니라 라이브러리 안에서 의존성이 존재하는 라이브러리도 체크를 해야 합니다 
  • Dual 라이선스(둘 중 하나만 선택) - 의무사항이 좀 더 적은 라이선스를 선택

 

 

마무리

다행히도 이 세미나 영상은 한빛 세미나 사이트에서 11월 까진 무료로 볼 수 있습니다.

나중에 유료가 될 수 있으니 빨리 보는 게 이득일듯하네요.

글을 올리는 시점에서 영상은 아직 안 올라왔지만 올라오기 전까지는 이전 영상들도 보면 좋지 않을까? 생각이 듭니다.

좋은 발표에 대한 보답?으로 깃 팔로우를 하며 후기 마무리 하겠습니다

감사합니다.

 

 

이벤트 출처

https://festa.io/events/4129

 

한빛N MSA - #6 Open Source | Festa!

Festa에서 당신이 찾는 이벤트를 만나보세요.

festa.io

 

'기타' 카테고리의 다른 글

구글 로그인 구현하기(React, FedCM)  (1) 2024.10.06

관련글

티스토리툴바