AAA日本語定例 第1回議事録（2026/1/14 17:00-18:00）

• Akihiko Takahashi (Fujitsu Limited)

• Taiki Kawamura (Honda Motor Co., Ltd.)

• Takashi Ninjouji

• Masanori ITOH

• Nobuyuki Tanaka (Sony Group Corporation)

• Naoto YAMAGUCHI (Aisin Corporation)

• Yoshiyuki Ito (Renesas Electronics Corporation)

• Kengo Ibe (Mitsubishi Electric Corporation)

• keiya nobuta (Fujitsu Limited)

• Harunobu Kurokawa (Renesas Electronics Corporation)

• Hiroyuki Ishii (Panasonic Automotive Systems Co., Ltd.)

Open

レコーディング

• LFアンチトラストポリシー順守を前提に、自由な発言／成果は自由に再利用可原則とする。
  機微を含む議論が必要な場合は別枠（アドホック） で実施。

• 原則隔週開催するが、大規模イベントとの重複（FOSDEM/LF Member Summit等）の際は柔軟に調整。

• 議論や課題共有の活性化のため、日本ローカルF2Fの開催も検討中。

• コミュニティ内コミュニケーションは、AGL公式Discord内の日本語スレッドを活用
  →課題があれば石井・忍頂寺に連絡ください

• 狙い：自動車／組み込み領域における SBOM生成〜配布〜受領〜評価（Operations） をオープンソースでパイプライン化し、誰が実行しても同等の結果が得られるリファレンス実装とプラクティスを共同整備。これにより、サプライチェーンの受け渡し効率と品質を底上げ。

• SBOM形式：当面は SPDX 3.0（JSON‑LD）を主軸に据えつつ、実務上は SPDX 2.x も併用（正規化や両対応ツールで吸収）。

• まずはPoCの品質向上と技術的要点の見極めを優先。ある程度形が固まったらAGL CIパイプラインへの組み込みに移行。

• OpenSSF（SLSA / in‑toto） 等との整合を重視。ビルド時アテステーションの取り込みも話題に。

• 欧州の潮流：Eclipse系の取り組み（例：Apoapsis）や ORT活用が進みつつあり、共通化・相互補完の余地が大きい。

• SPDX 3.0の広がり：3.0対応ツール群は発展途上。一方で規制・標準（BSIガイドやISO側の進展）では3系を見据える動きがあり、早期キャッチアップが有利。

• 評価エンジン：OPA（Open Policy Agent） によるポリシー評価のPoCが既にあり。並行して ORT（OSS Review Toolkit） との連携／移行可否を検討（欧州コミュニティの利用動向も踏まえる）。

• Yoctoの3.0では、製品ランタイムに関わる依存は LifecycleScope=runtime と DependsOn を用いて明確化。

• ライセンス評価：自動評価の前提として、Yoctoレシピのライセンス記載の正確性を高める活動が別実で必要。富士通さんのmeta-spdxscanner活動との連携や、外部キュレーション（例：OSADL、Clarity 等）の活用・連携を検討。

• 脆弱性ワークフロー：OSSJ段階では未着手。富士通高橋さんの検討と連携し推進。多数あるソリューション（yocto-vex-check, sbom-cve-checkなど）の選定から。

• ORTとの比較検討：SPDX3対応・エコシステム・ポリシー実用性の観点で評価

• イベント参加：3月の OpenChain & Friends で活動共有・情報収集実施。欧州コミュニティ（Eclipse Apoapsis）やBosch・欧州OEMとの交流がキーポイント。

• ドキュメント管理方式整備：議事録や関連情報のGitHub管理・公開

• コミュニティへの参加呼び込み継続

• AAAで推進したいこと・興味のあるトピックの集約