update webinar

content/ko/resource/AI_study_group/2024-11-05/_index.md

@@ -1,5 +1,5 @@
 ---
-title: "OpenChain AI 스터디 그룹: AI BOM 관리와 워킹그룹 전환 논의"
+title: "AI BOM 관리와 워킹그룹 전환 논의"
 linkTitle: "AI BOM 관리와 워킹그룹 전환 논의"
 # weight: 10
 date: 2024-11-05
@@ -30,7 +30,7 @@ OpenChain AI 스터디 그룹: 북미 및 유럽을 위한 월간 워크샵 - 20
 
 ### 웨비나 소개와 목적
 이 워크샵은 OpenChain AI 스터디 그룹의 정기 모임으로, 2024년 11월 5일에 개최되었습니다. 주요 목적은 두 가지였습니다:
-1. [AI BOM](https://www.linuxfoundation.org/blog/blog/ai-bill-of-materials-aibom-managing-ai-supply-chain-risk) (Bill of Materials) 관리를 위한 초안 스크래치패드에 대한 논의
+1. [AI BOM](https://www.linuxfoundation.org/research/ai-bom) (Bill of Materials) 관리를 위한 초안 스크래치패드에 대한 논의
 2. 현재의 스터디 그룹을 정식 워킹그룹으로 전환하는 방안 검토
 
 ## 2. AI BOM 관리를 위한 스크래치패드 논의
@@ -60,7 +60,7 @@ OpenChain AI 스터디 그룹: 북미 및 유럽을 위한 월간 워크샵 - 20
 ## 5. 향후 계획
 
 ### 스터디 그룹 활동 참여 방법
-- [OpenChain AI 스터디 그룹 메일링 리스트](https://lists.openchainproject.org/g/ai-study-group)를 통해 지속적으로 논의에 참여할 수 있습니다. 이는 산업 분야나 전문성에 관계없이 모든 사람에게 열려 있습니다.
+- [OpenChain AI 스터디 그룹 메일링 리스트](https://lists.openchainproject.org/g/ai)를 통해 지속적으로 논의에 참여할 수 있습니다. 이는 산업 분야나 전문성에 관계없이 모든 사람에게 열려 있습니다.
 
 ### 향후 미팅 참석
 - 모든 향후 AI 스터디 그룹 미팅의 일정과 참여 방법은 [OpenChain 참여 페이지](https://www.openchainproject.org/participate)에서 확인할 수 있습니다.

content/ko/resource/AI_study_group/2024-12-03/_index.md

@@ -1,5 +1,5 @@
 ---
-title: "OpenChain AI Work Group: AI Compliance BOM 가이드 웨비나"
+title: "AI Compliance BOM 가이드 웨비나"
 linkTitle: "AI Compliance BOM 가이드"
 # weight: 10
 date: 2024-12-03
@@ -95,9 +95,9 @@ A: 클로즈드 소스 모델의 경우 상세 정보를 얻기 어려울 수 
 Q: AI 시스템 전체에 대한 BOM이 필요하지 않을까요?
 A: 네, SPDX 3.0은 시스템 전체를 기술할 수 있는 능력을 갖추고 있습니다. 모델과 다른 소프트웨어 컴포넌트 간의 관계도 캡처할 수 있습니다.
 
-# 요약 보고서
+## 요약 보고서
 
-## 기업의 오픈소스 관리 담당자에게 주는 의미
+### 기업의 오픈소스 관리 담당자에게 주는 의미
 
 1. AI 시스템 도입 증가: AI와 머신러닝 기술의 도입이 늘어남에 따라, 기존 SBOM을 넘어서는 AI BOM의 필요성이 커지고 있습니다.
 
@@ -109,7 +109,7 @@ A: 네, SPDX 3.0은 시스템 전체를 기술할 수 있는 능력을 갖추고
 
 5. 규제 대응 필요성: EU AI Act 등 새로운 AI 규제에 대응하기 위해 AI BOM이 중요한 도구가 될 수 있습니다.
 
-## 고려해야 할 Action Item
+### 고려해야 할 Action Item
 
 1. AI BOM 도입 준비: SPDX 3.0 등 AI BOM 표준을 학습하고, 조직 내 도입 계획을 수립합니다.
 

content/ko/resource/SBOM_study_group/2024-07-30/_index.md

@@ -1,6 +1,6 @@
 ---
-title: "OpenChain SBOM Study Group Kickoff Meeting"
-linkTitle: "Kickoff meeting"
+title: "킥오프 웨비나: SBOM의 실제 활용 방안 모색"
+linkTitle: "SBOM의 실제 활용 방안 모색"
 # weight: 10
 date: 2024-07-30
 type: docs
@@ -11,150 +11,108 @@ description: 2024-07-30 OpenChain SBOM Study Group Kickoff Meeting
 
 source: https://www.slideshare.net/slideshow/openchain-sbom-study-group-kick-off-call-2024-07-30/270623321
 
-## 발표자 소개:
-
-- Shane Coughlan, OpenChain Project의 General Manager
-- Kobota San (Sony), 2024년 SBOM Study Group의 Chair
-
-## 웨비나 소개와 목적:
-
-OpenChain Project는 production, large-scale, complex supply chain에서 SBOM을 어떻게 사용할 것인가에 대한 질문에 답하기 위해 이 SBOM Study Group을 시작했습니다. 이 kick-off meeting은 향후 논의를 위한 구조를 설정하고 supply chain에서의 SBOM 사용에 대한 주요 고려사항을 소개하는 것을 목적으로 합니다.
-
 ## 목차
+1. 웨비나 소개
+2. SBOM의 중요성과 OpenChain 프로젝트의 역할
+3. SBOM 활용의 실제적 고려사항
+4. SPDX Lite: SBOM 생성을 위한 간소화된 접근
+5. 향후 계획 및 참여 방법
 
-1. 소개 및 아젠다
-2. Supply Chain에서의 SBOM 실용적 고려사항
-3. SPDX Lite 사례 연구
-4. 오픈 토론 및 다음 단계
+## 1. 웨비나 소개
 
-## 1. 소개 및 아젠다
+### 제목
+OpenChain SBOM Study Group 킥오프 웨비나
 
-OpenChain Project의 General Manager인 Shane Coughlan이 회의를 시작하며 자신을 소개하고 study group의 목적을 설명했습니다. 그는 kick-off meeting의 아젠다를 다음과 같이 설명했습니다:
+### 발표자 소개
+- Shane Coughlan: OpenChain 프로젝트 총괄 매니저
+- Kate Stewart: Linux Foundation의 오픈소스 기술 부사장
+- Kobota San: Sony에서 근무하며, 2024년 SBOM Study Group의 의장
 
-1. Supply chain에서 SBOM 사용의 실용적 고려사항 소개
-2. 이러한 고려사항이 누구에게 적용되는지 논의
-3. SPDX Lite에 대한 사례 연구를 통해 기존 market solution에 대해 논의
-4. 다음 단계에 대한 오픈 토론
+### 웨비나 소개와 목적
+이 웨비나는 OpenChain 프로젝트의 새로운 SBOM Study Group의 킥오프 미팅입니다. 주요 목적은 대규모 및 복잡한 공급망에서 SBOM(Software Bill of Materials)을 실제로 어떻게 활용할 수 있는지에 대한 논의를 시작하는 것입니다. 이를 통해 SBOM의 실용적인 적용 방안과 공급망 내에서의 신뢰 구축 방법을 모색하고자 합니다.
 
-Shane은 OpenChain project가 community 내에서 효과적인 communication을 촉진하고 OpenChain community 및 그 이상에서 다양한 대화, 아이디어, 생각을 모으는 것을 목표로 한다고 강조했습니다.
+## 2. SBOM의 중요성과 OpenChain 프로젝트의 역할
 
-## 2. Supply Chain에서의 SBOM 실용적 고려사항
+[OpenChain 프로젝트](https://www.openchainproject.org/)는 2026년 설립 이후 지속적으로 컴플라이언스 및 보안 표준의 일환으로 SBOM을 요구해왔습니다. 프로젝트는 SBOM 분야에 다양한 방식으로 기여해왔으며, 특히 공급업체를 위한 간단한 SBOM 형식인 [SPDX Lite](https://spdx.dev/learn/areas-of-interest/lite/)의 개발과 SBOM 품질 평가 가이드 제작 등을 수행했습니다.
 
-Shane은 supply chain에서의 SBOM 사용에 대한 세 가지 주요 측면을 논의했습니다:
+Shane Coughlan은 SBOM의 중요성을 강조하며, 이는 단순한 기술적 도구가 아닌 비즈니스 프로세스의 핵심 요소라고 설명합니다. SBOM은 소프트웨어 구성 요소의 투명성을 제공하여 보안, 라이선스 준수, 품질 관리 등 다양한 영역에서 중요한 역할을 합니다.
 
-### 2.1 Compliance 문제
+## 3. SBOM 활용의 실제적 고려사항
 
-- Corporate license compliance
-- Corporate security assurance
-- 기타 compliance 관련 주제
+Kate Stewart는 SBOM 활용에 있어 실제적인 고려사항들을 제시합니다:
 
-### 2.2 규제
+### SBOM 생성 및 소비의 주체
+- 소프트웨어 개발자
+- 제품 관리자
+- 보안 전문가
+- 법무 및 컴플라이언스 팀
+- 구매 담당자
+- 고객
 
-- United States Executive Order
-- [NTIA](https://www.ntia.doc.gov/) minimum requirements
-- European Union의 [Cyber Resilience Act](https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act)
+### SBOM의 주요 활용 사례
+- 취약점 관리
+- 라이선스 컴플라이언스
+- 소프트웨어 구성 요소 추적
+- 공급망 리스크 관리
 
-### 2.3 효율성
+### SBOM 구현 시 고려사항
+- 데이터 형식 (예: [SPDX](https://spdx.dev/), [CycloneDX](https://cyclonedx.org/))
+- 생성 도구 및 프로세스
+- 저장 및 배포 방식
+- 업데이트 주기 및 버전 관리
 
-- Overhead를 낮게 유지하면서 compliance와 규제 해결
-- Supplier가 현실적으로 SBOM 요구사항을 충족할 수 있도록 보장
+## 4. SPDX Lite: SBOM 생성을 위한 간소화된 접근
 
-Shane은 이러한 고려사항이 사용하는 SBOM format, 회사 규모, supply chain에서의 역할에 관계없이 open-source supply chain의 모든 사람에게 적용된다고 강조했습니다.
+Kate Stewart는 SPDX Lite에 대해 상세히 설명합니다. SPDX Lite는 전체 [SPDX](https://spdx.dev/) 규격의 간소화된 버전으로, SBOM 생성의 진입 장벽을 낮추고자 개발되었습니다.
 
-## 3. SPDX Lite 사례 연구
+### SPDX Lite의 주요 특징
+- 필수 필드 수를 줄여 간편한 SBOM 생성 가능
+- 기본적인 소프트웨어 구성 요소 정보 제공
+- 확장 가능성을 통해 필요에 따라 더 상세한 정보 추가 가능
 
-Sony의 Kobota San이 제한된 resource, deployment process에 대한 최소한의 조정, 제한된 시간이라는 과제를 해결하기 위해 설계된 SBOM format인 [SPDX](https://spdx.dev/) Lite에 대한 사례 연구를 발표했습니다.
+### SPDX Lite 활용 사례
+- 소규모 프로젝트나 간단한 소프트웨어 패키지에 적합
+- 대규모 SBOM 구현의 첫 단계로 활용 가능
+- 공급업체와 고객 간의 기본적인 소프트웨어 구성 정보 교환에 유용
 
-### 3.1 배경 및 개발
+## 5. 향후 계획 및 참여 방법
 
-- SPDX Lite는 OpenChain Japan community 내의 논의를 통해 개발되었습니다
-- 복잡한 software supply chain 전반에 걸쳐 software 정보를 효과적으로 전달하는 것을 목표로 합니다
-- 개발 과정에는 SPDX project와의 협력이 포함되었습니다
+Shane Coughlan은 SBOM Study Group의 향후 계획과 참여 방법에 대해 안내합니다:
 
-### 3.2 SPDX Lite의 주요 특징
+- 정기적인 미팅을 통해 SBOM 관련 실제 사례와 도전 과제 논의
+- 다양한 산업 분야의 전문가들과 협력하여 SBOM 활용 방안 개발
+- OpenChain 커뮤니티를 통한 지식 공유 및 네트워킹 기회 제공
 
-- 전체 SPDX spec을 준수하면서 license compliance를 위해 설계되었습니다
-- Package 수준 정보에 중점을 둔 단순화된 data structure
-- Mandatory property에는 package name, version, creator, origin이 포함됩니다
-- License 정보는 필수입니다 (전체 SPDX와 달리)
-- 일부 property는 노력을 줄이기 위해 권장되지만 필수는 아닙니다
+SBOM, 공급망에서의 SBOM 활용, 그리고 공급망 신뢰 증진에 관심 있는 모든 분들의 참여를 환영합니다. 특히 Sony의 Kobota San이 2024년 study group의 의장을 맡아 활동을 이끌어갈 예정입니다.
 
-### 3.3 채택 및 사용
+---
 
-- 여러 일본 기업이 version 2.2부터 SPDX Lite를 사용해 왔습니다
-- 단순성으로 인해 법률 및 지적 재산 전문가들 사이에서 인기가 있습니다
-- Version 3.0에서의 spreadsheet 처리 과제는 현재 해결 중입니다
+## 요약 보고서
 
-## 4. 오픈 토론 및 다음 단계
+### 기업의 오픈소스 관리 담당자에게 주는 의미
 
-회의는 study group의 향후 방향에 대한 오픈 토론과 참가자들의 질문에 대한 답변으로 마무리되었습니다.
+1. **SBOM의 전략적 중요성 인식**: SBOM은 단순한 기술적 도구를 넘어 비즈니스 프로세스의 핵심 요소로 자리잡고 있습니다. 오픈소스 관리 담당자는 SBOM을 통해 소프트웨어 공급망의 투명성을 확보하고, 보안 및 컴플라이언스 리스크를 효과적으로 관리할 수 있습니다.
 
-### 4.1 Study Group의 범위
+2. **다양한 이해관계자와의 협업**: SBOM은 개발자, 보안 전문가, 법무팀, 구매 담당자 등 다양한 부서와의 협업을 필요로 합니다. 오픈소스 관리자는 이러한 협업을 주도하여 조직 전체의 SBOM 활용을 촉진할 수 있습니다.
 
-- 참가자들은 특정 format보다는 SBOM의 content와 use case에 초점을 맞추어야 한다는 데 동의했습니다
-- 그룹은 기업의 실무를 탐구하고 SBOM 관리에 대한 합의를 구축할 것입니다
+3. **SBOM 표준 및 도구에 대한 이해**: SPDX, CycloneDX 등 다양한 SBOM 표준과 관련 도구에 대한 이해가 필요합니다. 특히 SPDX Lite와 같은 간소화된 접근 방식은 SBOM 도입의 진입 장벽을 낮출 수 있습니다.
 
-### 4.2 Meeting 일정 및 형식
+4. **공급망 관리 강화**: SBOM을 통해 소프트웨어 구성 요소의 출처와 라이선스 정보를 명확히 파악할 수 있어, 공급망 리스크 관리와 라이선스 컴플라이언스를 강화할 수 있습니다.
 
-- 월 1회 meeting과 session당 하나의 사례 연구를 제안했습니다
-- 1-2시간 길이의 meeting 제안
-- 현재 시간대 유지에 동의 (유럽 오전, 아시아 오후)
+### 고려해야 할 Action Item
 
-### 4.3 Communication 채널
+1. **SBOM 생성 및 관리 프로세스 수립**: 조직 내 SBOM 생성, 유지보수, 공유를 위한 표준화된 프로세스를 개발하고 구현합니다.
 
-- 비동기 토론을 위한 전용 mailing list
-- 실시간 communication을 위한 Slack channel
-- 사례 연구 및 기타 자료 저장을 위한 GitHub repository
+2. **SBOM 도구 선정 및 도입**: 조직의 needs에 맞는 SBOM 생성 및 분석 도구를 선정하고 도입합니다. SPDX Lite와 같은 간소화된 접근부터 시작할 수 있습니다.
 
-### 4.4 주요 토론 포인트
+3. **교육 및 인식 제고**: 개발자, 관리자, 법무팀 등 관련 부서 직원들을 대상으로 SBOM의 중요성과 활용 방법에 대한 교육을 실시합니다.
 
-- 다양한 tool에서 생성된 SBOM의 품질과 상호 운용성
-- 특히 자동차 산업과 같이 빈번한 update가 있는 산업에서 여러 SBOM 관리의 과제
-- Supply chain에서 누락되거나 부정확한 metadata 해결의 중요성
-- 다른 SBOM 관련 이니셔티브(예: OpenSSF, CISA)와의 잠재적 협력
+4. **공급업체 관리 정책 수립**: 외부 공급업체로부터 SBOM을 요구하고 평가하는 정책을 수립합니다. 이를 통해 전체 소프트웨어 공급망의 투명성을 확보합니다.
 
-이 kick-off meeting은 실제 과제와 해결책에 중점을 두고 supply chain에서의 실용적인 SBOM 사용에 대한 향후 논의의 기반을 성공적으로 마련했습니다.
+5. **SBOM 데이터 통합 및 분석**: SBOM 데이터를 기존의 보안 및 컴플라이언스 도구와 통합하여 종합적인 리스크 분석을 수행합니다.
 
----
+6. **지속적인 모니터링 및 개선**: SBOM 관련 기술과 표준의 발전을 지속적으로 모니터링하고, 조직의 SBOM 프로세스를 지속적으로 개선합니다.
+
+7. **커뮤니티 참여**: OpenChain SBOM Study Group과 같은 커뮤니티에 참여하여 최신 동향을 파악하고 다른 조직의 best practices를 학습합니다.
 
-# OpenChain SBOM Study Group Kick-Off Meeting 요약 보고서
-
-## 주요 내용
-
-1. SBOM의 실용적 고려사항
-    - Compliance 문제 (license, security)
-    - 규제 요구사항 (US Executive Order, NTIA, EU Cyber Resilience Act)
-    - 효율성 (overhead 관리, supplier 요구사항 충족)
-2. SPDX Lite 소개
-    - 제한된 resource와 시간을 고려한 simplified SBOM format
-    - Package 수준 정보 중심의 data structure
-    - License 정보 필수 포함
-3. Study Group 방향성
-    - SBOM format보다 content와 use case에 초점
-    - 기업 실무 탐구 및 SBOM 관리 합의 구축
-    - 월 1회 meeting, 사례 연구 중심
-4. 주요 과제
-    - SBOM 품질 및 상호 운용성
-    - 다수의 SBOM 관리 (특히 빈번한 update가 있는 산업)
-    - Supply chain에서의 metadata 정확성
-
-## 기업 오픈소스 관리 담당자를 위한 시사점
-
-1. SBOM은 단순한 compliance tool을 넘어 supply chain 전체의 transparency와 security를 위한 핵심 요소로 부상하고 있습니다.
-2. 다양한 규제와 industry 요구사항을 충족하면서도 효율적인 SBOM 관리 방안이 필요합니다.
-3. SPDX Lite와 같은 simplified format은 SBOM 도입의 진입 장벽을 낮출 수 있습니다.
-4. SBOM의 품질과 정확성이 중요한 과제로 대두되고 있으며, 이는 전체 supply chain의 신뢰성에 직접적인 영향을 미칩니다.
-5. 빈번한 software update와 복잡한 supply chain 구조에서 SBOM을 효과적으로 관리하는 방안이 필요합니다.
-
-## 기업 오픈소스 관리 담당자가 고려해야 할 Action Item
-
-1. 현재 사용 중인 SBOM 생성 및 관리 process를 검토하고, 품질 향상을 위한 방안을 모색합니다.
-2. SPDX Lite와 같은 simplified SBOM format 도입을 검토하여, SBOM 생성 및 관리의 진입 장벽을 낮출 수 있는 방안을 모색합니다.
-3. Supply chain 전반에 걸친 SBOM 품질 관리 전략을 수립합니다. 특히 upstream 및 third-party component의 metadata 정확성 확보 방안을 마련합니다.
-4. 빈번한 software update에 대응할 수 있는 SBOM 관리 system을 구축합니다. 특히 automotive와 같이 OTA update가 빈번한 industry의 경우, 다수의 SBOM version을 효율적으로 관리할 수 있는 방안을 마련합니다.
-5. OpenChain SBOM Study Group과 같은 community 활동에 참여하여 industry best practice를 공유하고 습득합니다. 특히 월 1회 meeting과 case study 공유에 적극 참여합니다.
-6. SBOM 관련 규제 동향(US Executive Order, NTIA, EU Cyber Resilience Act 등)을 지속적으로 모니터링하고, 이에 대한 대응 전략을 수립합니다.
-7. SBOM의 interoperability 향상을 위해 표준화된 format(SPDX, CycloneDX 등) 사용을 검토하고, 필요시 내부 system을 이에 맞게 조정합니다.
-8. Legal 및 IP 전문가와 협력하여 SBOM 정보의 법적 의미와 영향을 평가하고, 이를 risk management 전략에 반영합니다.
-9. SBOM 생성 및 관리 tool의 품질을 평가하고, 필요시 개선 또는 대체 tool 도입을 검토합니다.
-10. SBOM Study Group의 communication channel(mailing list, Slack, GitHub repository 등)을 활용하여 지속적으로 정보를 교환하고, 업계 동향을 파악합니다.
+이러한 action item들을 체계적으로 실행함으로써, 기업의 오픈소스 관리 담당자는 SBOM을 효과적으로 활용하여 조직의 소프트웨어 관리 및 보안 체계를 강화할 수 있을 것입니다.