自動車のオープンソースソフトウェア管理のためのソフトウェアコンポジション解析セキュアな車載ソフトウェア開発の在り方(3)(1/3 ページ)

今回は、ソフトウェアコンポジション解析に重点を置く。最初に自動車業界におけるオープンソースソフトウェア(OSS)の課題の背景を説明し、次に実用的な解決策について説明する。

» 2021年06月07日 06時00分 公開
[岡デニス健五MONOist]

 静的コード解析(関連記事:車載ソフトウェアのコーディングの課題と、実用的な解決策)、ソフトウェアコンポジション解析およびファズテストの使用など、車載ソフトウェア開発ライフサイクルのセキュリティを向上させる解決策の概要を説明した最初の記事(関連記事:避けて通れぬ自動車のセキュリティ、ソフトウェア開発は何をすべきか)に続き、今回は、ソフトウェアコンポジション解析に重点を置く。最初に自動車業界におけるオープンソースソフトウェア(OSS)の課題の背景を説明し、次に実用的な解決策について説明する。

→連載「セキュアな車載ソフトウェア開発の在り方」バックナンバー

自動車産業におけるオープンソースソフトウェア

 コネクティビティユニット、インフォテインメントシステム、自動運転システムなどのより高度なシステムが開発され、それに伴いより多くのソフトウェアが使用されている。ソフトウェアに対するニーズの高まりに応えるために、自動車業界でソフトウェア開発を行う組織はより多くのOSSコンポーネントを採用し、開発されたシステムに統合させてきている。OSSの使用には、幾つかの利点がある。

  • さまざまな機能に対応しすぐに利用できるコードが存在する。例えば、通信スタックと暗号化ライブラリなど
  • OSSの開発をサポートする大規模なコミュニティーが存在する
  • 多くの場合無料使用が可能である(ただしライセンスの種類によって条件がある)

 AGL(Automotive Grade Linux)は、車載インフォテインメントシステムに焦点を当てた自動車業界を対象としたOSSの代表的な例の1つである。AGLは2018年発売のトヨタ自動車「カムリ」に採用された(※1)。インフォテインメントシステム向けのOSSの他に、自動運転を実現するAutoware(※2)や機能安全を考慮したRTOS(リアルタイムOS)のZephyr Project(※3)などの自動車業界に目を向けたOSSプロジェクトもある。

(※1)https://www.automotivelinux.org/announcements/automotive-grade-linux-platform-debuts-on-the-2018-toyota-camry/

(※2)https://www.autoware.org/

(※3)https://www.zephyrproject.org/zephyr-project-rtos-first-functional-safety-certification-submission-for-an-open-source-real-time-operating-system/

オープンソースソフトウェアの課題

 OSSを使用することには多くの利点があるが、自動車業界でソフトウェア開発を行う組織が知っておくべき課題もある。考慮すべき2つの主な課題はライセンスコンプライアンスとセキュリティである。これらの2つのトピックについて、以下で詳しく説明する。

ライセンスコンプライアンス

 OSSにはライセンス条件が異なるさまざまなライセンスタイプがあり、具体的にはMIT、GPLv2、GPLv3などがある。ライセンスタイプによって、OSSコンポーネントを自由に使用できるかどうか、帰属告知が必要か否か、またはOSSコンポーネントを含むリリースされた製品に対しても同じライセンス条件でリリースする必要があるのかどうかが規定されている。

 法的な観点から、ソフトウェアを開発する組織は各ライセンスタイプで定義されたライセンス条件を順守することが重要である。さもなければ、訴訟のリスクが発生し得る。過去の有名な事例に、スマートテレビやDVDプレーヤー(※4、5)などに含まれるBusyBoxと呼ばれるGPLのUNIXユーティリティーの著作権を侵害したことによる、家電メーカー14社に対する訴訟がある。13社が法廷に持ち込まず和解し(※5)、オープンソースコンプライアンスオフィサーを置くことに同意した(※6)が、1社は欠席裁判で敗訴し、罰金の支払いを命じられた(※5、7)

(※4)http://www.softwarefreedom.org/news/2009/dec/14/busybox-gpl-lawsuit/

(※5)https://www.developer.com/news/westinghouse-loses-gpl-busybox-lawsuit/

(※6)https://www.softwarefreedom.org/news/2008/mar/17/busybox-verizon/

(※7)https://arstechnica.com/information-technology/2010/08/court-rules-gpl-part-of-a-well-pleaded-case/

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.