Siamo ora parte della OpenChain Community of Conformance, la community internazionale delle organizzazioni che hanno adottato processi conformi allo standard ISO/IEC 5230 per la gestione delle licenze open source.
Lo standard fornisce alle aziende un quadro di riferimento per gestire in modo strutturato i componenti software open source nei propri progetti: permette di identificare quali componenti vengono usati, con quali licenze, quali obblighi comportano e come devono essere tracciati.
OpenChain è un progetto dell’ecosistema Linux Foundation, punto di riferimento globale per lo sviluppo e la diffusione di tecnologie open source. Il nostro ingresso arriva al termine di un percorso di autocertificazione e rafforza il lavoro avviato all’interno del Gruppo per rendere questi principi parte del nostro modo di progettare e sviluppare soluzioni.
Open source governance: che cos’è e perché è un tema centrale
Dietro molti software che usiamo ogni giorno c’è l’open source: codice accessibile, utilizzabile, modificabile e distribuibile secondo le condizioni previste dalla licenza associata.
Per chi sviluppa soluzioni tecnologiche, è un acceleratore importante. Permette di partire da componenti già disponibili, accedere a tecnologie avanzate e usare librerie, framework e strumenti condivisi da community, università e centri di ricerca.
Questa libertà richiede metodo. Ogni componente porta con sé regole precise: licenze da rispettare, obblighi di utilizzo, eventuali vulnerabilità da monitorare e informazioni da tracciare.
“Senza una governance strutturata, l’open source può esporre a rischi legali, criticità di sicurezza e problemi di compliance. Ciò che non viene tracciato non è meno rischioso: è solo più difficile da controllare.” – Alberto Bertone, FOSS Manager di Teoresi Group
La governance dell’open source serve proprio a questo: definire processi, responsabilità e strumenti per sapere cosa entra nei progetti, a quali condizioni e con quali impatti su qualità, sicurezza e compliance.
Un framework per gestire l’open source nei progetti
L’autocertificazione ISO/IEC 5230 nasce da un percorso interno che ci ha portati a definire una policy e una procedura dedicate alla gestione dell’open source, valide per tutte le società del Gruppo.
Il framework copre l’intero ciclo di vita del progetto: dalla fase di pre-sales fino allo sviluppo e alla delivery. Nelle prime valutazioni tecniche analizziamo il contesto di utilizzo, i vincoli legati alle licenze e le eventuali esigenze del cliente.
Durante lo sviluppo, vengono analizzate le codebase, cioè gli insiemi di codice sorgente che compongono un software, per identificare i componenti open source, le relative licenze e le eventuali vulnerabilità note.
Il processo prevede anche ruoli e responsabilità dedicati. La figura del FOSS Manager coordina la gestione del Free and Open Source Software, supporta le attività di audit e contribuisce all’aggiornamento continuo di procedure e strumenti.
Approfondisci sul blog di OpenChain
Abbiamo raccontato il nostro percorso in un approfondimento pubblicato sul blog ufficiale del progetto.