개요
ISO/IEC DIS 5230: OpenChain 사양은 성공적인 오픈 소스 라이선스 컴플라이언스 프로그램의 요소를 정리한 국제 표준이다. 라이선스 컴플라이언스 프로그램이 표준의 요구사항을 만족하는 조직은 OpenChain Conformant(적합)라는 지정을 받을 수 있다.
ISO/IEC DIS 5230은 Joint Development 재단(Linux Foundation의 프로젝트)에 의해 준비되었으며 ISO(국제 표준화 기구)와 IEC(국제전기기술위원회)에 제출되었으며, 2020년 12월에 채택되었다. 200명 이상의 기여자들의 피드백을 통합했으며 오픈 소스 소프트웨어를 사용하는 광범위한 조직을 포함시키는 것을 목표로 한다.
리눅스 재단에 따르면 OpenChain 사양은 다음 네 가지 주요 목표를 염두에 두고 개발되었다.
1. 신뢰 구축
라이선스 컴플라이언스에 중점을 두고 다른 사용자와 공유되는 소프트웨어 솔루션을 구축할 때 오픈 소스 사용을 장려한다.
2. 단순성 유지
이 표준의 개발자들은 실용적인 사용 사례를 포함했고, 내용을 비교적 짧고 요점까지 유지했다.
3. "무엇"과 "이유"에 중점
다양한 조직에서 오픈 소스 소프트웨어를 사용하므로 ISO/IEC 5230을 개발한 팀은 표준에 맞는 유연성을 구축하기 위해 최선을 다했다. 일반적으로 라이선스 컴플라이언스 프로그램 요소를 구현하기 위한 "방법"과 "시기"와 같은 영역에서 너무 규범적인 것이 아니라, 주어진 요구 사항인 "무엇"과 "이유"를 해결하기 위해 서로 다른 관행에 집중하는 것을 피한다.
4. 오픈 개발 이니셔티브로서의 기능
오픈 소스 소프트웨어의 특성이 협력적이듯, 리눅스 재단이 OpenChain 사양을 개발하는 데 사용한 프로세스도 마찬가지였다. 최종 결과는 컴플라이언스 프로그램이 OpenChain 준수를 얻기 위해 충족해야 하는 13가지 핵심 요구사항 세트를 중심으로 작성된 9페이지 분량의 문서였다.
이제 규정 준수 프로그램 참여자에 대한 요구사항, 외부 이해관계자의 요구 충족 방법, 그리고 궁극적으로 적합성 조직이 되는 방법에 대해 알아보고자 한다.
내부 요구 사항
OpenChain Specification 표준의 여러 요구 사항은 라이선스 컴플라이언스 프로그램을 위한 내부 정책, 절차 및 인력을 관리하는 것을 포함한다.
강력한 문서
조직의 오픈 소스 소프트웨어 사용을 통제하는 정책은 모든 프로그램 참가자가 이를 알 수 있도록 문서화되어야 한다.
명확한 역할과 책임
참가자는 오픈 소스 라이선스 컴플라이언스 프로그램에서 자신의 역할에 대한 명확성을 가지고 있어야 하며, 자신의 임무를 성공적으로 수행할 수 있는 전문지식이 있어야 한다. 또한 프로그램 참가자 역할과 책임에 대한 정보는 회사 전체의 모든 관련 이해 관계자에게 배포되어야 한다.
정의된 검토 프로세스
조직은 다양한 오픈 소스 라이선스에서 비롯되는 의무를 검토하고 이해하기 위해 정의된 프로세스를 구현해야 한다.
외부 이해관계자 만족
오픈체인 사양의 주제 중 하나는 적합한 조직이 되기 위한 요인으로 내부적 요소와 외부적 요소가 모두 있다는 것이다. 내부 구성요소는 강력한 정책, 교육, 리소스, 목표 및 프로세스를 통해 모든 내부 이해관계자(예: 법률, 엔지니어링, 아키텍처 및 프로그램 관리)를 지원해야 한다.
외부 이해 관계자를 대상으로 하는 요구사항은 조직에서 사용하는 오픈 소스 프로젝트를 소유하고 기여하는 사람과 최종 제품을 받는 고객의 두 가지 유형을 만족시켜야 한다. 이러한 요구사항은 아래와 같이 크게 세 가지 범주로 분류할 수 있다.
프로세스 개발
오픈체인 규격은 이해관계자가 오픈소스 컴플라이언스 관련 문의를 할 수 있는 방법을 조직이 명확히 명시할 것을 요구한다.
참가자를 식별
오픈 소스 컴플라이언스 프로그램 참가자는 조직 내에서 제3자 문의에 응답하는 사용자를 제어하는 명확한 역할과 책임을 가져야 한다.
공식 문서 작성
조직은 라이선스 컴플라이언스 프로그램 작업을 성공적으로 완료하기 위한 프로세스와 참가자를 문서화해야 한다.
주요 기능
ISO OpenChain 사양 요구사항의 대부분은 컴플라이언스 프로그램 참가자가 역할과 책임에 대해 명확성을 갖도록 하는 것뿐만 아니라 오픈 소스 사용 전반에 걸친 프로세스 및 절차를 문서화하는 것과 관련이 있다. 따라서 조직이 프로그램 참여자에게 오픈 소스 라이선스 컴플라이언스에 대한 책임을 부여하고, 실제로 수행할 수 있는 권한을 갖게해야 한다.
예를 들어, 요구사항 3.3.1은 적합성 관리 기관이 소프트웨어 BOM 작성 및 관리 프로세스를 가지고 있어야 한다는 점에 주목한다. 요건 3.3.2는 컴플라이언스 프로그램 사무소(OSPO)가 충족시킬 수 있어야 하는 몇 가지 일반적인 사용 사례(이진 형태로 라이센스 배포, 소스 형태로 라이센스 배포, 다른 것 중 추가 라이센스 의무를 유발하기 위해 다른 오픈 소스 라이브러리와의 통합)를 강조한다.
컴플라이언스 팀은 소프트웨어 구성 분석 도구를 사용하여 BOM을 작성하고 라이선스 컴플라이언스를 보장해야 한다.
Self Check
Reference
'Rev's > 오픈소스' 카테고리의 다른 글
Google, Open Source Insights (0) | 2021.06.05 |
---|---|
NIPA, 2020년 오픈소스 SW(OSS) 시장 동향조사 - 2부 (0) | 2021.02.25 |
NIPA, 2020년 오픈소스 SW(OSS) 시장 동향조사 - 1부 (0) | 2021.02.25 |