Open Source Compliance ISO 5230 Interview

Marcel, was genau versteht Ihr unter Open Source Software Services und in welcher Beziehung stehst Du zu OpenChain?

Marcel Scholze: Zuerst einmal vielen Dank für das Interesse! Unser OSS-Team bei PwC bietet verschiedene Dienstleistungen für den öffentlichen Sektor und Unternehmen an, die Open Source Software bereits einsetzen oder jetzt nutzen möchten. Dies reicht von Compliance-Audits, Due Diligence und Code-Scanning bis hin zur Beratung bei OSS -Strategien, Richtlinien, Prozessen, Schulungen und OSS-Compliance-Tooling.

OpenChain als Industrie- und jetzt als ISO-Standard löst ein wichtiges Problem durch ein gut verstandenes und akzeptiertes Rahmenwerk. Durch dessen Adaption können OSS-Compliance-Risiken in der Lieferkette effektiv reduziert werden. Als PwC halten wir eine JBR mit dem Projekt OpenChain der Linux Foundation und unterstützen die Entwicklung dieses Frameworks und seine Anwendung. Wir bauen Vertrauen in OSS-Lieferketten durch unsere OSS-Compliance-Beratung und -Prüfungen gemäß des OpenChain-Standards auf.

Was sind die unmittelbaren Vorteile davon, dass OpenChain nun ein ISO-Standard wird? Hat die Selbstzertifizierung nicht wie erwartet funktioniert?

Scholze: Im Gegenteil, die Selbstzertifizierung hat sogar sehr gut funktioniert, sie hat gute Verbreitung gefunden und die Early Adopters unterstützt. Sie wird auch in Zukunft einen guten Ausgangspunkt für die OSS-Compliance bieten. Aber die Grenze der Selbstzertifizierung liegt in ihrem Namen: selbst. Besonders wenn Software oder Komponenten mit eingebetteter Software in geschäftskritischen Anwendungen, Services und Produkte integriert wird, möchte man sich lieber auf eine externe Zertifizierung durch unabhängige Dritte verlassen. Während PwC-Audits bereits Vertrauen in die OSS-Compliance schaffen – entweder gemäß OpenChain v2.1 oder auf Kundenbedürfnisse zugeschnitten – manifestiert die ISO-Zertifizierung zu OpenChain nun den vorherrschenden Standard für das Management von OSS-Compliance und definiert damit den Stand der Technik.

Dieser ISO-Standard erlaubt allgemein vergleichbare und standardisierte Prüfungen und wird zum Maßstab für jeden Software- und Smart Device-Hersteller werden, um den korrekten Umgang mit dem geistigen Eigentum von Open Source darzustellen. Er wird die Basis, der Schutzschirm und die Mindestanforderung für Beschaffungsaktivitäten und RFPs sein, wenn Software in irgendeiner Weise involviert ist.

Wer sollte sich nach der ISO 5230 zertifizieren lassen?

Scholze: Zertifizierungen und Audits durch externe Dritte schaffen Vertrauen und Verlässlichkeit in dem geprüften Bereich in Bezug auf das geprüfte Subjekt. Wann immer ein Lieferant seine Compliance nachweisen will oder auf der anderen Seite ein Unternehmen die OSS-Compliance ihrer Lieferanten sicherstellen müssen, ist die ISO-Zertifizierung das Instrument der Wahl, um genau diesen Nachweis zu erbringen.

Da heutzutage die meisten Produkte und Dienstleistungen und generell die meiste Software auf die eine oder andere Weise auf Open Source Software aufbaut, ist ihre Compliance für fast alle relevant, wobei proprietäre Softwareanbieter und OEMs vielleicht das größte Interesse haben.

• Hersteller proprietärer Software sind ständig dem Risiko ausgesetzt, gegen Open Source Lizenzen oder Patente zu verstoßen. Es gibt ein klares intrinsisches Motiv, das geistige Eigentum des Unternehmens zu schützen. Ihr Unternehmen durch ein Verbot der Verwendung von Open-Source-Software zu schützen, ist sicherlich keine Option mehr. Die ISO 5230 Zertifizierung kann den Weg zu einem erfolgreichen und konformen OSS-Managementprogramm weisen und dadurch dieses Risiko verringern.
• OEMs leiden unter ähnlichen Risiken, da sie aber von proprietären Produkten mit eingebetteter Software in ihrer Lieferkette abhängig sind, ist das Problem viel komplexer. Die Prüfung der gesamten Software ihrer Zulieferer verursacht enorme Kosten und Zeitaufwand. Daher kann es sehr hilfreich sein, die OSS-Compliance der kritischsten und wichtigsten Lieferanten zertifizieren zu lassen, beziehungsweise eine ISO 5230 Zertifizierung vorauszusetzen, um die Compliance während des gesamten Produktentstehungsprozesses und Life-Cycles sicherzustellen.
• Nicht zuletzt müssen auch Unternehmen, die stark auf Software angewiesen sind, diesen Standard berücksichtigen. Wenn das Tagesgeschäft von einer Plattform, einem Framework oder einer IT-Lösung abhängt, ist es wahrscheinlich, dass viele Zertifizierungen wie ISO27001 bereits eine solide Grundlage für den Betrieb bieten, aber darf das Produkt überhaupt verkaufen oder könnte die Verwendung des Produktes auf Grund von OSS Lizenzen rechtlich untersagt werden?

Gibt es größere Unterschiede oder unerwartete Änderungen der ISO 5230 im Vergleich zum OpenChain Standard 2.1?

Scholze: Diese Frage ist leicht zu beantworten: Nein.

Die ISO basiert vollständig auf dem neuesten OpenChain Standard v2.1 beziehungsweise v2.0 und ist mit diesem kompatibel. Wenn Du also bereits 2.1 oder 2.0 konform, auf dem Weg oder selbst zertifiziert bist, kannst du Dich ganz einfach ISO-zertifizieren lassen.

Wenn Ihr OSS-Compliance bei Mandanten auditiert, worüber sind sie am meisten überrascht? Unterscheidet sich deren Verständnis weit von den PwC-Anforderungen?

Scholze: Die meisten Unternehmen sind überrascht, dass Open Source Management nicht auf die Technik beschränkt ist. Natürlich ist es relevant, wie Open Source aktiv in der Entwicklung eingesetzt wird und natürlich wollen wir Nachweise und Begründungen hinter Freigabeentscheidungen sehen.

Open Source erhält jedoch nicht nur über die Softwareentwicklung Einzug in ein Unternehmen. Denkt an die Beschaffung – wenn ein Cloud-Hoster Lizenzen in seinem Management Interface verletzt, ein Lieferant Lizenzen in Smart Devices verletzt oder ein SaaS-Provider Lizenzen in seinem Produkt verletzt. Wenn einer davon seine Nutzungsrechte verliert – verliert sie die gesamte Lieferkette.

Im Fokus stehen also Rechtsabteilung, Beschaffung, Vertrieb, Produktentwicklung und IT – und unsere Prüfung ist kein Abhaken von irgendwelchen Checklisten, denn wir treten in einen Dialog ein, um die dahinterliegenden Details zu verstehen. Wir führen Stichprobentests und Prozess-Reperformances durch, um nicht nur an der Oberfläche zu kratzen, sondern tiefe Einblicke in das OSS-Compliance-Management zu gewinnen. Unsere Mandanten haben uns zurückgemeldet, dass sie nicht gedacht hätten, dass wir eine so detaillierte Bewertung durchführen und dass sie davon viel mitnehmen konnten.

Das klingt nach einem guten Schluss! Danke, Marcel, für dieses Update und die Einblicke.