Elle se concentre sur les chaînes d'approvisionnement des logiciels, la simplification des achats et la conformité des licences. Les organisations qui satisfont aux exigences de la norme peuvent s'auto-certifier ou faire appel à un organisme de certification accrédité.
Comment fonctionne la norme
La plupart des produits logiciels s'appuient sur de nombreux composants open source créés par des tiers, tels que des frameworks, des bibliothèques et des conteneurs, provenant de sources diverses.
Cela s'apparente à une chaîne d'approvisionnement dans un environnement physique et s'assurer que la chaîne d'approvisionnement est aussi fiable que possible est considéré comme important d'un point de vue opérationnel, juridique et sécuritaire.
Un certain nombre d'acteurs ont décidé d'établir les règles de base pour qu'une organisation traite les logiciels open source à n'importe quel niveau de la chaîne d'approvisionnement à laquelle elle opère. Un groupe de travail sous l'égide de la Fondation Linux, le projet OpenChain a réalisé ce travail. La version 2.0 a été présentée pour approbation en tant que norme ISO/CEI.
Selon la norme, afin d'utiliser efficacement les composants open source, l'organisation doit connaître tous les composants impliqués, respecter les licences open source associées et les obligations telles que le copyleft. L'ISO/CEI 5230 vise à établir une compréhension commune de ce qui doit être traité dans le cadre d'un programme de conformité open source de qualité. Cela rend l'ISO/CEI 5230 applicable dans de nombreux secteurs et organisations et offre des avantages aux chaînes d'approvisionnement en logiciels, car les logiciels open source ont tendance à être très complexes en termes d'obligations légales.
Les principaux sujets couverts par OpenChain sont :
l'existence d'une politique open source,
les compétences des participants au programme (par exemple, formation juridique pour des tâches spécifiques),
la sensibilisation aux risques open source parmi tous les participants au programme
une portée clairement définie, par exemple uniquement des zones et des gammes de produits spécifiées,
la compréhension et la collecte les obligations de licence pour les cas d'utilisation pertinents
l'accès pour les demandes open source externes,
des bureaux de conformité dotés de ressources suffisantes,
la gestion de la nomenclature,
le processus de conformité des licences (par exemple, documents répondant aux obligations)
l'archivage et la mise à disposition des artefacts de conformité,
une ligne directrice pour l'engagement et les contributions de la communauté.
OpenChain ne définit pas exactement comment la plupart des tâches doivent être effectuées, par exemple si l'analyse de fragments de code, la revalidation des licences open source déclarées sont requises et à quoi doivent ressembler les artefacts de conformité. Cependant, il convient de noter que SPDX est maintenant une norme ISO (ISO/CEI 5962) et est mentionné dans OpenChain comme exemple d'artefact de conformité.
Certification
Un programme de conformité open source peut être certifié conforme à la norme ISO/CEI 5230 par un certain nombre d'organismes accrédités dans le monde.
La certification ISO/CEI 5230 implique généralement un processus d'audit externe en trois étapes défini dans la norme ISO/CEI 17021 :
L'étape 1 est un examen préliminaire et informel du programme de conformité open source, vérifiant, par exemple, l'existence et l'exhaustivité des documents clés tels que la politique open source de l'organisation, le processus de compensation et la dotation en personnel. Cette phase sert à familiariser les auditeurs avec l'organisation et inversement.
L'étape 2 est un audit de conformité plus détaillé et formel, où le programme de conformité open source est audité de manière indépendante par rapport aux exigences définies dans la norme ISO/CEI 5230. Les auditeurs recherchent des preuves pour confirmer que le système de gestion a été correctement conçu et mis en œuvre et est effectivement en fonctionnement. La réussite de cette phase entraîne la certification du programme de qualité open source comme étant conforme à la norme ISO/CEI 5230.
Continu signifie que des revues ou des audits de suivi sont effectués pour confirmer que l'organisation continue d'être conforme à la norme. Le maintien de la certification nécessite de nouveaux audits périodiques pour confirmer que le programme de conformité open source de qualité continue de fonctionner comme spécifié et prévu. Celles-ci doivent avoir lieu au moins une fois par an, mais sont souvent menées plus fréquemment (en consultation avec la direction), en particulier lorsque le programme de conformité Quality Open Source est encore en cours de développement.
De plus, ISO/CEI 5230 est fonctionnellement identique à OpenChain 2.1, qui permet une auto-certification gratuite via l'application Web du projet.