OpenChain 소개

이 가이드에서는 오픈체인(OpenChain, )과 오픈체인 프로젝트에 대하여 알아보고, 오픈체인 ISO/IEC 5230 인증을 받기 위한 과정을 알아봅니다.

오픈체인이란

오픈체인은 오픈소스 공급망의 신뢰를 구축하기 위해 협력하는 글로벌 커뮤니티 성격의 조직입니다.

오픈체인은 오픈소스 라이선스 준수(컴플라이언스)를 위한 국제 표준(ISO/IEC 5230:2020) 및 보안 보증 준수 표준(ISO/IEC DIS 18974)을 통해 오픈소스의 신뢰를 관리하고 있습니다. 또한, 모든 사람들이 무료로 참여할 수 있는 교육, 훈련 및 인증 리소스를 보유 및 제공하고 있습니다.

즉, 오픈체인 커뮤니티는 오픈소스 프로세스 관리 과정의 모든 측면에서 발생하는 마찰을 줄이고 효율성을 높이기 위한 지식을 공유하는, 지원 성격의 네트워크 역할을 수행합니다.

참고: ISO/IEC 5230:2020

ISO/IEC 5230은 리눅스 재단의 오픈체인 프로젝트에서 작성한 규격으로, 오픈소스 공급망 내에서 오픈소스 컴플라이언스를 보장하기 위한 최소한의 핵심 요구 사항을 정의하고 있습니다.

2016년에 버전 1.0이 발표되었고, 4년 후인 2020년 12월에는 오픈소스 컴플라이언스에 대한 국제 표준이 정식 등록되었습니다.
즉, 사실상의 표준이었던 오픈체인 규격이 ISO/IEC 5230:2020이라는 정식 국제 표준으로 전환되었습니다.

오픈체인 프로젝트

비영리 단체인 리눅스 재단(Linux Foundation)에서 시작한 오픈체인 프로젝트는 각 기업의 오픈소스 소프트웨어 컴플라이언스 역량을 평가해 국제 인증을 발급합니다.
공식적인 설명과 구조는 프로젝트 헌장에 기술되어 있습니다.

오픈체인 프로젝트는 오픈소스 공급망의 신뢰를 구축하는 데 중점을 두고 있으며, 이를 위한 라이선스, 보안 및 기타 유형의 규정들에 대한 준수를 강조합니다.

이를 통해, 궁극적으로 오픈소스가 모든 유형의 내부(특정 기업/조직) 및 외부(기업/조직의 외부) 공급망에서 예측 가능(오픈소스 사용 시 성능과 안정성에 대한 예측)하고 이해 가능(사용자가 오픈소스를 이해하고 사용하고 수정할 수 있음)하며 최적화(오픈소스 개발 과정에서 커뮤니티 등의 도움으로 성능 향상)가 가능한 세상을 위해 노력하고 있습니다.

즉, 오픈체인은 오픈소스 프로그램이 더욱 널리 채택되고 잘 사용되어, 계속해서 개발, 배포 및 유지 관리를 통해 개선될 수 있는 세상을 만들고자 합니다. 이러한 오픈체인 프로젝트에서 수행하는 과업들은 모두에게 열려 있으며, 무료로 사용할 수 있습니다. 또한, 오픈체인 글로벌 커뮤니티는 오픈소스 교육, 오픈소스 정책, OSPO(오픈소스 프로그램 사무소) 등과 같은 프로그램들을 제공하고 있습니다.

OpenChain ISO/IEC 5230

ISO/IEC 5230은 2020년 말 국제표준화기구(ISO)와 국제전기기술위원회(IEC)가 공동으로 발표한 오픈소스 라이선스 준수를 위한 국제 표준입니다.

이 표준에서 오픈체인은 리눅스 재단의 오픈체인 규격 버전 2.1을 기반으로 하여, 소프트웨어 공급망 구축과 손쉬운 조달 및 라이선스 준수에 중점을 두고, 오픈소스 라이선스 준수 프로그램의 핵심 요구 사항을 정의했습니다.

한편, 오픈체인 ISO/IEC 5230:2020 표준 요구 사항을 충족한 조직은 공인 인증 기관으로부터 인증을 받을 수 있고, 기관의 감사를 성공적으로 완료한 후 ISO/IEC 17021 인증을 자체적으로 진행할 수도 있습니다.

OpenChian ISO/IEC 5230 인증 목표

오픈체인 ISO/IEC 5230 인증의 목표는 고품질의 오픈소스를 만들고자 할 때, 라이선스 준수를 위해 반드시 필요한 요구사항들을 확인하도록 하는 것입니다. 이를 통해, 조직 및 기업이 오픈소스 소프트웨어를 수집, 자체 개발 및 배포하는 과정에서 모든 절차가 신뢰할 수 있는 수준으로 진행된 것을 보장할 수 있습니다.

OpenChian ISO/IEC 5230 인증 방법

ISO/IEC 5230 인증의 모든 요구사항을 준수한다면, 보유하고 있는 오픈소스 프로그램이 ISO/IEC 5230에 적합하다는 인증을 받을 수 있습니다.

오픈체인 프로젝트에서 제안하고 있는 인증 방법은 아래의 세 가지가 있습니다.

• 자체 인증
• 독립 평가
• 타사 인증

참고하기

오픈체인 인증 방법에 대한 보다 자세한 내용은 OpenChain: 오픈 소스 준수를 위한 국제 표준 – 인증 옵션를 참고합니다.

자체 인증(Self Certification)

오픈소스 라이선스 준수를 위한 국제 표준의 핵심은 자체 인증 방식입니다.

자체 인증이란 특정 조직 및 기업이 오픈소스 라이선스 준수의 국제 표준에 대한 요구 사항을 검토하고, 현재 자체적으로 진행 중인 프로세스가 그 요구 사항에 부합하는지 확인하는 과정을 의미합니다. 필요에 따라 조직 및 기업은 요구 사항에 부합하기 위해 프로세스를 조정할 수 있으며, 이러한 자체 인증은 여러 가지 방법으로 실시할 수 있습니다.

가장 일반적인 방법은 아래와 같습니다.

• 오픈체인 자체 인증 웹 애플리케이션(웹사이트) 사용(무료): https://certification.openchainproject.org/
• 오픈체인 자체 인증 설문지의 다운로드 제공 버전 사용(무료): https://openchain-project.github.io/conformance-questionnaire/questionnaire.pdf
• 산업 표준 문서(Industry standard text) 체크리스트 사용(무료): https://wiki.linuxfoundation.org/_media/openchain/openchainspec-current.pdf

독립 평가(Independent Assessment)

조직 및 기업이 국제 표준을 채택하는 과정에서 종종 전문적인 도움이 필요할 수 있습니다.
독립 평가의 일반적인 과정으로는 지식이 풍부한 서비스 제공업체가 회사의 프로세스를 검토하고, 조정 또는 개선이 필요한 부분에 대한 객관적인 피드백을 제공하는 방식이 있습니다.

오픈체인 국제 표준에는 오픈소스 규정 준수를 위해, 오픈체인 프로젝트가 신뢰하는 파트너가 제공하는 독립적 규정 준수 평가라는 프로세스가 있습니다.
여기에서 파트너란 법률 회사 또는 서비스 공급업체를 의미합니다.

독립 평가를 제공하는 오픈체인의 파트너로는 Source Code Control(영국)과 AlektoMetis(독일) 등의 업체가 있으며, 이들 업체는 독립 평가 방식의 오픈체인 인증을 위한 자사 서비스 소개 및 이를 제안하는 설명 세션을 주최한 바 있습니다.

타사 인증(Third-Party Certification)

타사 인증을 통해 신뢰성을 확보하는 방법도 있습니다.
예를 들어 자동차, 인프라 및 항공 회사들의 경우, 제삼자(타사)의 공식 인증을 통해 엄격한 규제를 따르고, 이에 대한 정기적인 감사를 실시합니다.

오픈소스 준수를 위한 오픈체인 국제 표준 또한, 다른 국제 표준과 동일한 방식으로 타사 인증을 따르고 있습니다.
오픈체인의 공인된 타사 인증 기관으로는 PwC(독일)와 Orcro(영국) 등의 업체가 있으며, 이들 업체는 오픈체인 인증을 위한 자사 서비스 소개 및 이를 제안하는 설명 세션을 주최한 바 있습니다.