Skip to content

OpenChain - ISO/IEC 5230:2020

ISO/IEC 5230 ist eine internationale Norm für die wichtigsten Anforderungen an ein hochwertiges Programm zur Einhaltung von Konformität mit Open-Source-Lizenzen. Die Norm wurde Ende 2020 gemeinsam von der Internationalen Organisation für Normung (ISO) und der Internationalen Elektrotechnischen Kommission (IEC) veröffentlicht. Die Norm basiert auf der Linux Foundation OpenChain Specification 2.1. Sie konzentriert sich auf Software-Lieferketten, eine einfachere Beschaffung und die Einhaltung von Lizenzen. Organisationen, die die Anforderungen der Norm erfüllen, können sich nach ISO/IEC 17021 selbst zertifizieren, durch eine akkreditierte Zertifizierungsstelle oder nach erfolgreichem Abschluss eines Audits.

Die Spezifikation wurde vom OpenChain-Projekt, einer Initiative der Linux Foundation, entwickelt und soll sicherstellen, dass Unternehmen die rechtlichen, sicherheitstechnischen und qualitativen Aspekte der Nutzung von Open-Source-Software effektiv verwalten können.

Überblick

  • Segment: Open Source Compliance - industrieunabhängig
  • Verabschiedet / Veröffentlicht: Als ISO/IEC Standard 2020.
  • Ziel: Die OpenChain-Spezifikation 2.1 ist ein umfassendes Rahmenwerk zur Standardisierung und Optimierung des Managements der Open-Source-Software-Compliance (OSS) innerhalb der Software-Lieferkette.

Zentrale Forderungen

Unternehmen, die eine Zertifizierung nach OpenChain anstreben, müssen die in der Spezifikation folgenden Anforderungen erfüllen:

  • Standardisierung:

Die OpenChain-Spezifikation 2.1 bietet einen standardisierten Ansatz für die Einhaltung der rechtlichen Anforderungen von Open-Source-Software und gewährleistet durch diese Anfordeurngen Konsistenz und Zuverlässigkeit bei der Verwaltung und Dokumentation von Open-Source-Komponenten über alle Unternehmen und Branchen hinweg.

  • Compliance-Management:

Die Spezifikation beschreibt Best Practices für die Identifizierung, Verfolgung und Verwaltung von Open-Source-Softwarekomponenten während des gesamten Softwareentwicklungslebenszyklus. Dazu gehören die Gewährleistung der Einhaltung von Open-Source-Lizenzen und das Management der damit verbundenen Risiken.

  • Risikomanagement:

OpenChain 2.1 betont die Bedeutung des Risikomanagements bei der Verwendung von Open-Source-Software. Dazu gehören die Identifizierung potenzieller rechtlicher, sicherheitsrelevanter und qualitativer Risiken im Zusammenhang mit Open-Source-Komponenten sowie die Umsetzung von Maßnahmen zur Minderung dieser Risiken.

  • Prozess und Dokumentation:

Die Spezifikation definiert einen strukturierten Prozess für das Management der Open-Source-Software-Compliance, einschließlich der Erstellung und Pflege von Dokumentation. Dadurch wird sichergestellt, dass Unternehmen über klare und überprüfbare Aufzeichnungen über ihre Nutzung von Open-Source-Software und ihre Compliance-Bemühungen verfügen.

  • Automatisierung und Tools:

OpenChain 2.1 fördert den Einsatz von Automatisierung und Tools zur Optimierung des Compliance-Managements für Open-Source-Software. Dazu gehört die Verwendung von Tools zur Analyse der Softwarekomposition (SCA), Lizenzscannern und anderen automatisierten Lösungen zur Identifizierung und Verwaltung von Open-Source-Komponenten.

  • Schulung und Sensibilisierung:

Die Spezifikation betont die Bedeutung von Schulungen und Sensibilisierung für die Einhaltung von Open-Source-Software. Dazu gehört die Schulung von Entwicklern, Rechtsteams und anderen Beteiligten, um sicherzustellen, dass sie die Bedeutung der Open-Source-Compliance und der Best Practices für die Verwaltung von Open-Source-Software verstehen.

  • Zertifizierung:

Unternehmen, die die OpenChain-Spezifikation 2.1 einhalten, können die OpenChain-Zertifizierung erhalten und damit ihr Engagement für die Einhaltung von Open-Source-Software und Best Practices unter Beweis stellen. Diese Zertifizierung ist weltweit anerkannt und kann den Ruf und die Vertrauenswürdigkeit eines Unternehmens stärken.

Lösungsansätze & Hilfestellungen

  • Ein mächtiges Werkzeug zur Unterstützung der Umsetzung gibt es bspw. unter https://github.com/trustsource/ts-core-ce