ISO/IEC 5230

ISO/IEC 5230:2020 (conocida como OpenChain) es una norma internacional sobre los requisitos clave para un programa de cumplimiento de licencias de código abierto de alta calidad. La norma fue publicada conjuntamente por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (CEI) a finales de 2020. La norma se basa en las Especificaciones de Conformidad Open Chain 2.1 de la Fundación Linux. Se centra en las cadenas de suministro de software, facilita la adquisición y el cumplimiento de licencias. Las organizaciones que cumplan los requisitos de la norma pueden autocertificarse conforme a la norma ISO/IEC 17021, a través de un organismo de certificación acreditado o tras superar con éxito una auditoría.^[1]^[2]

Funcionamiento de la norma[editar]

La mayoría de las organizaciones y productos de software dependen de numerosos componentes de código abierto desarrollados por terceros, como “frameworks”, librerías y contenedores, procedentes de fuentes diversas y a menudo no afiliadas. Esto se asemeja a una cadena de suministro en un entorno físico y asegurarse de que la cadena de suministro sea lo más fiable posible se considera importante desde un punto de vista operativo, legal y de seguridad. Partiendo de esta premisa, una serie de actores han decidido establecer las normas básicas para que una organización trate con software de código abierto en cualquier nivel de la cadena de suministro en el que opere. Un grupo de trabajo bajo el paraguas de la Fundación Linux, el proyecto OpenChain . Posteriormente, al alcanzar la versión 2.0, las normas se presentaron para su aprobación como norma ISO/IEC .

Según el estándar, para utilizar eficazmente componentes de código abierto, la organización debe conocer y cumplir todos los componentes implicados, las licencias de código abierto asociadas y obligaciones como copyleft. La norma ISO/IEC 5230 tiene por objeto establecer una interpretación común no prescriptiva de lo que debe abordarse en un programa de cumplimiento de código abierto de calidad. Esto hace que la norma ISO/IEC 5230 sea aplicable en muchos sectores y organizaciones, y aporta ventajas a las adquisiciones y cadenas de suministro de software, ya que el software de código abierto suele ser muy engorroso en cuanto a contratos legales y adquisiciones.

Los principales temas cubiertos por ISO/IEC 5230 y OpenChain-2.1 son:

Existencia de una política de código abierto.
Competencias de los participantes del programa (p. ej., formación jurídica para tareas específicas).
Conciencia de los riesgos del código abierto entre todos los participantes del programa.
Un ámbito de aplicación claramente definido, por ejemplo, sólo determinadas áreas y líneas de productos.
Concienciación sobre los riesgos del código abierto entre todos los participantes en el programa.
Acceso para consultas externas respecto del código abierto (p. ej., por parte de los autores del código abierto o de los receptores del código).
Oficinas de cumplimiento dotadas de recursos suficientes.
Generar una Lista de Materiales.
Proceso de cumplimiento de licencias (p. ej., documentos que cumplen con las obligaciones)
Archivo y entrega de artefactos de cumplimiento.
Directrices para la participación y las contribuciones de la comunidad.

La norma ISO/IEC 5230 no define cómo deben realizarse exactamente la mayoría de las tareas, por ejemplo, si es necesario escanear fragmentos o revalidar las licencias de código abierto declaradas, ni qué aspecto deben tener los artefactos de conformidad. Sin embargo, SPDX ahora es un estándar ISO (ISO/IEC 5962) y se menciona en ISO/IEC 5230 como un ejemplo de artefactos de cumplimiento.

Certificación[editar]

La Especificación OpenChain ISO/IEC 5230 iidentifica los requisitos clave de un programa de conformidad de código abierto de calidad. La Conformidad OpenChain permite a las organizaciones demostrar que cumplen estos requisitos. La certificación del cumplimiento de la norma ISO/IEC 5230 puede obtenerse de tres formas que ofrecen un camino para organizaciones de todos los tamaños y madurez de programa.

Autocertificación[editar]

La comunidad OpenChain proporciona una lista de verificación de autoevaluación en línea gratuita que las organizaciones pueden utilizar para evaluar su cumplimiento con la Especificación OpenChain. El cuestionario abarca diversos aspectos de las prácticas de gestión de la cadena de suministro de software de una organización, incluidas las políticas, los procedimientos y la documentación relacionados con el cumplimiento del código abierto.

Mediante el cuestionario de autoevaluación de OpenChain, una organización puede evaluar la eficacia e integridad de su programa de cumplimiento de código abierto, identificar áreas de mejora y tomar medidas correctivas. El cuestionario también puede utilizarse como herramienta para realizar comprobaciones internas que permitan evaluar y mantener periódicamente el programa de cumplimiento de la organización.

Una vez que una organización completa el cuestionario de autoevaluación, puede optar por enviar sus resultados para su publicación en el sitio web de OpenChain. Sin embargo, el progreso y los resultados de la evaluación son privados hasta que la organización decide enviarlos para su publicación. Esto permite a las organizaciones llevar a cabo una autoevaluación exhaustiva de su programa de cumplimiento de código abierto sin hacer públicos los posibles problemas o lagunas en sus esfuerzos de cumplimiento.

Evaluación independiente[editar]

Se puede realizar una evaluación independiente de un programa de cumplimiento de código abierto de alta calidad para obtener garantías adicionales, responsabilidad, separación de funciones y alineación con la gestión de riesgos de la empresa.

Una evaluación independiente suele ser realizada por personas parte de la organización o empresa, pero independientes del programa de código abierto que se está evaluando, o por personas de una organización o empresa externa. Los componentes de una evaluación independiente pueden incluir lo siguiente:

Cuestionario de autoevaluación: el cuestionario de autoevaluación es un conjunto de preguntas que ayuda a una organización a evaluar su conformidad con la Especificación OpenChain. El cuestionario cubre varios aspectos de los procesos y prácticas de gestión de la cadena de suministro de software de la organización.
Revisión de la documentación: el evaluador revisará la documentación que la organización ha preparado para respaldar su autocertificación. Esto incluye políticas, procedimientos, directrices y otra documentación relacionada con las prácticas de gestión de la cadena de suministro de software de la organización.
Entrevista: el evaluador realizará entrevistas con el personal clave de la organización para comprender mejor las prácticas de gestión de la cadena de suministro de software de la organización. Esto ayuda al evaluador a identificar cualquier laguna o punto débil en el cumplimiento de la Especificación OpenChain por parte de la organización.
Informe de evaluación: el evaluador preparará un informe que documente los resultados de la evaluación. El informe identificará cualquier incumplimiento de la Especificación OpenChain y proporcionará recomendaciones para abordar dichos incumplimientos.
Certificación: si la organización ha demostrado satisfactoriamente su conformidad con la Especificación OpenChain, el evaluador emitirá un certificado de conformidad. El certificado indica que la organización ha cumplido los requisitos de la Especificación OpenChain y está autorizada a utilizar la marca de conformidad OpenChain.

Certificación de terceros[editar]

La certificación de terceros para OpenChain ISO/IEC 5230 puede ser realizada por un tercero certificador de OpenChain que figure en el sitio web de OpenChain Partners. Opcionalmente, los terceros pueden ser certificadores acreditados por numerosos registradores de todo el mundo. Estas organizaciones pueden denominarse organismos de certificación, organismos de registro, organismos de evaluación y registro, organismos de certificación/registro o registradores, dependiendo del país.

El proceso de certificación implica una auditoría externa del programa de cumplimiento de código abierto de una organización con respecto a los requisitos establecidos en la norma ISO/IEC 5230. Por ejemplo, la auditoría puede llevarse a cabo en tres etapas como se define en la norma ISO/IEC 17021. La primera etapa es una revisión preliminar del programa de cumplimiento de código abierto, que verifica la existencia y la integridad de documentos clave como la política de código abierto de la organización, el proceso de autorización y la dotación de personal. La segunda fase es una auditoría de cumplimiento más detallada, en la que se audita de forma independiente el programa de cumplimiento del código abierto para comprobar que se ha diseñado, implantado y está en funcionamiento correctamente. La superación de esta fase tiene como resultado la certificación del programa de calidad del código abierto como conforme con la norma ISO/IEC 5230.

Tras la certificación, normalmente se exige a la organización que mantenga el cumplimiento de la norma establecida por los organismos de registro aplicables, sometiéndose a nuevas auditorías periódicas para confirmar que el programa de cumplimiento de la calidad del código abierto sigue funcionando según lo especificado y previsto. Estas revisiones o auditorías de seguimiento ayudan a la organización a identificar áreas de mejora y a garantizar que siguen cumpliendo los requisitos de la norma.

En general, la certificación del cumplimiento de la norma ISO/IEC 5230 proporciona una verificación independiente de que una organización ha implementado un programa de cumplimiento del código abierto de alta calidad y está comprometida con el cumplimiento continuo de la norma. El proceso de certificación ayuda a las organizaciones a identificar lagunas en su programa de cumplimiento y a tomar medidas correctivas para mejorar sus prácticas de cumplimiento del código abierto.

Difusión[editar]

El 19 de octubre de 2020, la Fundación Eclipse anunció que es la primera fundación de código abierto en obtener la certificación ISO/IEC 5230.^[3] Varias empresas, entre ellas SAP, Toshiba, Samsung Electronics y LG Electronics, han anunciado públicamente su conformidad con OpenChain.

Referencias[editar]

↑ Coughlan, Shane (2022). «Transforming the Supply Chain with Openchain Iso 5230». Open Source Law, Policy and Practice. pp. 141-C6.P28. ISBN 978-0-19-886234-5. doi:10.1093/oso/9780198862345.003.0006.
↑ «Liferay Announces OpenChain Conformance». Investment Weekly News. 16 de noviembre de 2019. p. 354. ProQuest A605360074.
↑ Möbus, Maika (20 de octubre de 2021). «Open Source: Eclipse Foundation erreicht OpenChain-Konformität». Heise online. Consultado el 24 de noviembre de 2022.

Enlaces externos[editar]

La primera versión de este artículo fue traducida del artículo en Wikipedia en alemán .

ISO/IEC 5230:2020-12 Tecnología de la información - Especificación OpenChain
Sitio web oficial de OpenChain
Traducciones oficiales de OpenChain
Autocertificación de OpenChain
Shane Coughlan: una recapitulación del proyecto OpenChain.
Proyecto OpenChain en GitHub

Datos: Q105044590

[1] Coughlan, Shane (2022). «Transforming the Supply Chain with Openchain Iso 5230». Open Source Law, Policy and Practice. pp. 141-C6.P28. ISBN 978-0-19-886234-5. doi:10.1093/oso/9780198862345.003.0006.

[2] «Liferay Announces OpenChain Conformance». Investment Weekly News. 16 de noviembre de 2019. p. 354. ProQuest A605360074.

[3] Möbus, Maika (20 de octubre de 2021). «Open Source: Eclipse Foundation erreicht OpenChain-Konformität». Heise online. Consultado el 24 de noviembre de 2022.

[1]

[2]

[3]