OpenChain - ISO/IEC 5230:2020
ISO/IEC 5230 ist eine internationale Norm für die wichtigsten Anforderungen an ein hochwertiges Programm zur Einhaltung von Konformität mit Open-Source-Lizenzen. Die Norm wurde Ende 2020 gemeinsam von der Internationalen Organisation für Normung (ISO) und der Internationalen Elektrotechnischen Kommission (IEC) veröffentlicht. Die Norm basiert auf der Linux Foundation OpenChain Specification 2.1. Sie konzentriert sich auf Software-Lieferketten, eine einfachere Beschaffung und die Einhaltung von Lizenzen. Organisationen, die die Anforderungen der Norm erfüllen, können sich nach ISO/IEC 17021 selbst zertifizieren, durch eine akkreditierte Zertifizierungsstelle oder nach erfolgreichem Abschluss eines Audits.
Die Spezifikation wurde vom OpenChain-Projekt, einer Initiative der Linux Foundation, entwickelt und soll sicherstellen, dass Unternehmen die rechtlichen, sicherheitstechnischen und qualitativen Aspekte der Nutzung von Open-Source-Software effektiv verwalten können.
Überblick
- Segment: Open Source Compliance - industrieunabhängig
- Verabschiedet / Veröffentlicht: Als ISO/IEC Standard 2020.
- Ziel: Die OpenChain-Spezifikation 2.1 ist ein umfassendes Rahmenwerk zur Standardisierung und Optimierung des Managements der Open-Source-Software-Compliance (OSS) innerhalb der Software-Lieferkette.
Zentrale Forderungen
Unternehmen, die eine Zertifizierung nach OpenChain anstreben, müssen die in der Spezifikation folgenden Anforderungen erfüllen:
- Standardisierung:
Die OpenChain-Spezifikation 2.1 bietet einen standardisierten Ansatz für die Einhaltung der rechtlichen Anforderungen von Open-Source-Software und gewährleistet durch diese Anfordeurngen Konsistenz und Zuverlässigkeit bei der Verwaltung und Dokumentation von Open-Source-Komponenten über alle Unternehmen und Branchen hinweg.
- Compliance-Management:
Die Spezifikation beschreibt Best Practices für die Identifizierung, Verfolgung und Verwaltung von Open-Source-Softwarekomponenten während des gesamten Softwareentwicklungslebenszyklus. Dazu gehören die Gewährleistung der Einhaltung von Open-Source-Lizenzen und das Management der damit verbundenen Risiken.
- Risikomanagement:
OpenChain 2.1 betont die Bedeutung des Risikomanagements bei der Verwendung von Open-Source-Software. Dazu gehören die Identifizierung potenzieller rechtlicher, sicherheitsrelevanter und qualitativer Risiken im Zusammenhang mit Open-Source-Komponenten sowie die Umsetzung von Maßnahmen zur Minderung dieser Risiken.
- Prozess und Dokumentation:
Die Spezifikation definiert einen strukturierten Prozess für das Management der Open-Source-Software-Compliance, einschließlich der Erstellung und Pflege von Dokumentation. Dadurch wird sichergestellt, dass Unternehmen über klare und überprüfbare Aufzeichnungen über ihre Nutzung von Open-Source-Software und ihre Compliance-Bemühungen verfügen.
- Automatisierung und Tools:
OpenChain 2.1 fördert den Einsatz von Automatisierung und Tools zur Optimierung des Compliance-Managements für Open-Source-Software. Dazu gehört die Verwendung von Tools zur Analyse der Softwarekomposition (SCA), Lizenzscannern und anderen automatisierten Lösungen zur Identifizierung und Verwaltung von Open-Source-Komponenten.
- Schulung und Sensibilisierung:
Die Spezifikation betont die Bedeutung von Schulungen und Sensibilisierung für die Einhaltung von Open-Source-Software. Dazu gehört die Schulung von Entwicklern, Rechtsteams und anderen Beteiligten, um sicherzustellen, dass sie die Bedeutung der Open-Source-Compliance und der Best Practices für die Verwaltung von Open-Source-Software verstehen.
- Zertifizierung:
Unternehmen, die die OpenChain-Spezifikation 2.1 einhalten, können die OpenChain-Zertifizierung erhalten und damit ihr Engagement für die Einhaltung von Open-Source-Software und Best Practices unter Beweis stellen. Diese Zertifizierung ist weltweit anerkannt und kann den Ruf und die Vertrauenswürdigkeit eines Unternehmens stärken.
Lösungsansätze & Hilfestellungen
- Das OpenChain-Projekt der Linux Foundation stellt Selbstbewertungs-Checklisten und Curriculum-Materialien kostenlos bereit: OpenChain Resources
- Die OSBA unterstützt Unternehmen bei der Einführung von Open-Source-Compliance-Prozessen
Tools & Werkzeuge
Open Source Compliance & SBOM-Management
| Tool | Lizenz | Problem / Zweck | Regulatorische Relevanz |
|---|---|---|---|
| FOSSology | Open Source (GPL-2.0) | Lizenz-Scanning, Copyright-Analyse und FOSS-Compliance-Workflows; unterstützt SPDX und CycloneDX Export | ISO/IEC 5230: Identifizierung und Dokumentation von Open-Source-Komponenten |
| SW360 | Open Source (EPL-2.0) | Komponenten- und Lizenzverwaltung, SBOM-Erstellung, Integration mit FOSSology; entwickelt von Siemens/Eclipse | ISO/IEC 5230: Compliance-Prozesse und Dokumentation |
| ORT – OSS Review Toolkit | Open Source (Apache-2.0) | Vollautomatisierte Analyse von Abhängigkeiten, Lizenzen und Schwachstellen; CI/CD-Integration; SBOM-Erzeugung | ISO/IEC 5230, CRA: SBOM-Pflichten |
| TrustSource CE | AGPL (Community Edition) | Vollständige SCA-Plattform: Lizenzprüfung, SBOM-Verwaltung und -Versionierung, Vulnerability Management und CSAF-Kommunikation | ISO/IEC 5230; IEC 18974 (Security Assurance) |
Lizenz-Scanning
| Tool | Lizenz | Problem / Zweck | Regulatorische Relevanz |
|---|---|---|---|
| ScanCode Toolkit | Open Source (Apache-2.0) | Erkennung von Lizenzen, Copyrights und Paketmetadaten in Quellcode; Basis für viele andere Tools | ISO/IEC 5230: Lizenzidentifizierung |
| licensee | Open Source (MIT) | Schnelle Lizenzidentifikation in Projekten anhand von LICENSE-Dateien; GitHub-Integration | ISO/IEC 5230: Lizenzerkennung |
| REUSE Tool | Open Source (GPL-3.0) | SPDX-basierte Lizenz- und Copyright-Markierung im Quellcode; Prüfung auf REUSE-Compliance | ISO/IEC 5230: Lizenz-Dokumentation |
| Scanoss | Open Source (MIT) | Code-Snippet-Scanning und SBOM-Erzeugung in Echtzeit | ISO/IEC 5230, CRA: SBOM |
SBOM-Erstellung & -Verwaltung
| Tool | Lizenz | Problem / Zweck | Regulatorische Relevanz |
|---|---|---|---|
| Syft | Open Source (Apache-2.0) | SBOM-Generierung aus Container-Images, Dateisystemen und Quellcode (SPDX, CycloneDX) | CRA, ISO/IEC 5230: SBOM |
| cdxgen | Open Source (Apache-2.0) | CycloneDX-SBOM-Generator für viele Programmiersprachen und Build-Systeme | CRA, ISO/IEC 5230 |