ISO/IEC 5230

ISO/IEC 5230^[1] ist ein internationaler Standard zu den wichtigsten Anforderungen an ein hochwertiges Open-Source-Lizenz-Compliance-Programm. Der Standard wurde Ende 2020 gemeinsam von der Internationalen Organisation für Normung (ISO) und der International Electrotechnical Commission (IEC) veröffentlicht. Der Standard basiert auf der Linux Foundations OpenChain Specification 2.1 und ist funktional identisch^[2]. Er konzentriert sich auf Software-Lieferketten, einfachere Beschaffung und Lizenz-Compliance. Organisationen, die die Anforderungen des Standards erfüllen, können sich nach erfolgreichem Abschluss eines Audits nach ISO/IEC 17021 von einer akkreditierten Zertifizierungsstelle oder nach OpenChain 2.1 selbst zertifizieren^[3].

Funktionsweise des Standards[Bearbeiten | Quelltext bearbeiten]

Die meisten Organisationen und Softwareprodukte verlassen sich auf zahlreiche lizenzierte Open-Source-Komponenten, wie Frameworks, Bibliotheken und Container. Um Open-Source-Komponenten effektiv nutzen zu können, muss eine Organisation dem Standard nach alle beteiligten Komponenten, die zugehörigen Open-Source-Lizenzen und Verpflichtungen wie Copyleft kennen und ihnen nachkommen. ISO/IEC 5230 zielt darauf ab, ein nicht präskriptives^[4] gemeinsames Verständnis darüber zu schaffen, was innerhalb eines qualitativ hochwertigen Open-Source-Compliance-Programms angesprochen werden muss. Dadurch ist ISO/IEC 5230 in vielen Branchen und Organisationen anwendbar und bietet Vorteile für das Beschaffungswesen und die Software-Lieferketten, da Open-Source-Software in juristischen Verträgen und bei der Beschaffung tendenziell sehr schwerfällig ist.

Die wichtigsten Themen, die durch ISO/IEC 5230 und OpenChain-2.1 geregelt werden, sind^[5]:

• Vorhandensein einer Open-Source-Policy
• Kompetenzen der Programmteilnehmer (z. B. juristische Ausbildung für bestimmte Aufgaben)
• Awareness aller Programmteilnehmer zu Open-Source-Risiken
• Ein klar definierter Scope, z. B. nur vorgegebene Bereiche und Produktlinien
• Verstehen und Sammeln von Lizenzverpflichtungen für relevante Anwendungsfälle
• Zugang für externe Open-Source-Anfragen (z. B. an die OSS-Autoren)
• Mit ausreichend Ressourcen ausgestattete Complianceoffices
• Erzeugen einer Bill of Material
• Lizenz-Compliance-Prozess (z. B. dokumentiert den Verpflichtungen nachkommen)
• Archivierung und Bereitstellung von Compliance-Artefakten
• Eine Richtlinie für das Engagement der Community und Beiträge

ISO/IEC 5230 definiert nicht, wie genau die meisten Aufgaben zu erfüllen sind, ob etwa ein Snippet-Scanning, eine Revalidierung der deklarierten Open-Source-Lizenzen erforderlich ist, und wie die Compliance-Artefakte aussehen sollen. Es sollte jedoch beachtet werden, dass SPDX 2020 als ISO-Standard eingereicht wurde und in ISO/IEC 5230:2020 als Beispiel für Compliance-Artefakte erwähnt wird.

Zertifizierung[Bearbeiten | Quelltext bearbeiten]

Ein qualitativ hochwertiges Open-Source-Compliance-Programm kann von einer Reihe von akkreditierten Registrierungsstellen weltweit als konform mit ISO/IEC 5230 zertifiziert werden.

In einigen Ländern werden die Stellen, welche die Konformität von Managementsystemen mit bestimmten Standards überprüfen, als „Zertifizierungsstellen“ bezeichnet, während sie in anderen Ländern üblicherweise als „Registrierungsstellen“, „Bewertungs- und Registrierungsstellen“, „Zertifizierungs-/Registrierungsstellen“ und manchmal auch als „Registratoren“ bezeichnet werden.

Die ISO/IEC 5230-Zertifizierung umfasst, wie andere ISO-Managementsystem-Zertifizierungen auch, in der Regel einen dreistufigen externen Auditprozess, der in der ISO/IEC 17021 definiert ist:

• Stufe 1 ist eine vorläufige, informelle Überprüfung des Open-Source-Compliance-Programms, bei der z. B. die Existenz und Vollständigkeit von Schlüsseldokumenten wie die Open-Source-Richtlinie der Organisation, der Clearing-Prozess und die Personalausstattung überprüft werden. Diese Phase dient dazu, die Auditoren mit der Organisation vertraut zu machen und vice versa.
• Stufe 2 ist ein detaillierteres und formales Compliance-Audit, bei dem das Open-Source-Compliance-Programm von unabhängiger Seite anhand der in ISO/IEC 5230 festgelegten Anforderungen geprüft wird. Die Auditoren suchen nach Beweisen, um zu bestätigen, dass das Managementsystem ordnungsgemäß entworfen und implementiert wurde und tatsächlich in Betrieb ist. Zertifizierungsaudits werden in der Regel von ISO/IEC 5230 Lead Auditors durchgeführt. Das Bestehen dieser Phase führt dazu, dass das Open-Source-Qualitätsprogramm als konform mit der ISO/IEC 5230 zertifiziert wird.

„Fortlaufend“ bedeutet, dass Folgeprüfungen oder Audits durchgeführt werden, um zu bestätigen, dass die Organisation weiterhin mit dem Standard konform ist. Die Aufrechterhaltung der Zertifizierung erfordert periodische Wiederholungsaudits, um zu bestätigen, dass das Qualitäts-Open-Source-Compliance-Programm weiterhin wie spezifiziert und beabsichtigt funktioniert. Diese sollten mindestens jährlich stattfinden, werden aber (in Absprache mit der Geschäftsleitung) oft häufiger durchgeführt, insbesondere während das Qualitäts-Open-Source-Compliance-Programm noch in der Entwicklung ist.

Zusätzlich ist ISO/IEC 5230 funktional identisch mit OpenChain 2.1, das eine kostenlose Selbstzertifizierung über die Web-App des Projekts ermöglicht.

Verbreitung[Bearbeiten | Quelltext bearbeiten]

Am 19. Oktober 2020 gab die Eclipse Foundation bekannt, dass sie die erste Open-Source-Stiftung sei, welche nach ISO/IEC 5230 zertifiziert ist.^[6]

Normen und Standards[Bearbeiten | Quelltext bearbeiten]

• ISO/IEC 5230:2020-12 Informationstechnologie – OpenChain-Spezifikation
• OpenChain Specification 2.1, auch offizielle Übersetzungen

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

1. ↑ 14:00-17:00: ISO/IEC 5230:2020. Abgerufen am 8. Januar 2021 (englisch). 
2. ↑ Open Chain Project Website. Abgerufen am 8. Januar 2021 (amerikanisches Englisch). 
3. ↑ OpenChain Self Certification. Abgerufen am 8. Januar 2021. 
4. ↑ Shane Coughlan: A Recap of the OpenChain Project. 9. April 2020, abgerufen am 8. Januar 2021 (englisch). 
5. ↑ Contribute To The Standard. In: OpenChain. Abgerufen am 8. Januar 2021 (amerikanisches Englisch). 
6. ↑ Maika Möbus: Open Source: Eclipse Foundation erreicht OpenChain-Konformität. In: Heise online. 20. Oktober 2021. Abgerufen am 20. Oktober 2021.