Kiteworks Open Source Program Office
Unser Engagement für Open Source
Kiteworks bündelt alle Open-Source-Aktivitäten im Open Source Program Office, das unter der Marke ownCloud agiert. Diese Entscheidung steht für mehr: Die Übernahme von ownCloud war eine Investition nicht nur in Software, sondern in die Überzeugung, dass die Zukunft der Zusammenarbeit auf Föderation, Souveränität und Offenheit basiert. Im OSPO setzen wir dieses Bekenntnis um – mit einer veröffentlichten Governance-Charta, einem formellen Vulnerability Disclosure Program, einem Developer Certificate of Origin-Beitragsmodell sowie dedizierten Produkt-, Entwicklungs-, Community- und Sicherheitsressourcen, um Open Source im Produktivbetrieb nachhaltig zu stärken. Mit dem ownCloud Desktop Client bieten wir nun erstmals eine vollständig quelloffene Anwendung für unsere gesamte Kundenbasis an. Das ist der erste Schritt – und darauf bauen wir auf.
Warum Open Source?
Wir verstehen Open Source nicht als Geschäftsmodell, sondern als gesellschaftlichen Vertrag, den wir durch kommerzielle Investitionen aufrechterhalten. Innovation muss geteilt werden. Vertrauen entsteht durch Transparenz. Technologie soll dem Gemeinwohl dienen, nicht nur kommerziellen Interessen. Was das für Unternehmen bedeutet, die auf unsere Plattformen setzen, zeigen wir hier.
Digitale Souveränität von Anfang an sichern
Souveränität entsteht nicht durch Verträge mit einem SaaS-Anbieter. Sie erfordert architektonische Kontrolle: die Möglichkeit, auf eigener Infrastruktur bereitzustellen, jeden Code zu prüfen, Richtlinien programmierbar durchzusetzen und unabhängig von Roadmap, Preisen oder Entscheidungen eines Anbieters zu agieren. Das OSPO schützt diese architektonische Garantie. Quellcode und Software Bill of Materials sind transparent. Die Bereitstellung erfolgt auf Infrastruktur, die das Unternehmen selbst kontrolliert. Offene Standards wie WebDAV, OIDC, Open Cloud Mesh und LibreGraph verhindern Vendor-Lock-in, der jede Übernahme oder Preisänderung zum Geschäftsrisiko macht.
Vertrauen schaffen durch Transparenz und Open Governance
Proprietäre Software verlangt Vertrauen in ihre Sicherheitsmaßnahmen. Open Source ermöglicht die Überprüfung.
Architekturentscheidungen werden als ADRs im Repository veröffentlicht. Abhängigkeiten werden über einen formellen Software Bill of Materials-Prozess dokumentiert. Beiträge nutzen das Developer Certificate of Origin, wodurch das geistige Eigentum bei den Entwicklern bleibt. Wenn Aufsichtsbehörden, Auditoren oder Sicherheitsteams nach Offenlegung, Patching oder Attribution im Kiteworks OSPO fragen, gibt es einen veröffentlichten Prozess – kein Marketingversprechen.
Grenzüberschreitende Zusammenarbeit ohne Lock-in ermöglichen
Zusammenarbeit darf nicht an Unternehmensgrenzen enden und sollte nicht voraussetzen, dass beide Seiten denselben proprietären Anbieter nutzen. Unser Bekenntnis zu offenen Standards ermöglicht unternehmensübergreifende Workflows: Open Cloud Mesh für föderiertes Filesharing zwischen unabhängigen Installationen, ScienceMesh für die Integration europäischer Forschungsnetzwerke, Webfinger für Multi-Instanz-Identitäten. Jedes Unternehmen behält die souveräne Kontrolle über seine Daten und arbeitet dennoch über Grenzen hinweg zusammen. Das ist Interoperabilität mit Integrität – im Gegensatz zu Anbieter-Ökosystemen, die Ihre Kollaborationslandschaft zum Risiko machen.
Nachhaltige Innovation für das Gemeinwohl vorantreiben
Die beste Infrastruktursoftware der letzten zwanzig Jahre – Linux, Kubernetes, PostgreSQL, Apache – entstand offen, weil kein einzelner Anbieter sie allein hätte entwickeln können. ownCloud steht in dieser Tradition, und Kiteworks führt sie fort. Wir finanzieren die Roadmap, leisten Upstream-Beiträge zu Open-Source-Komponenten, auf die wir angewiesen sind, und investieren in die Community-Infrastruktur, die aus Code eine lebendige Gemeinschaft macht. Open Source ist eine Kraft für das Gute: Sie befähigt Communities, stärkt Institutionen und macht Innovation für alle zugänglich. Das OSPO ist unser organisatorisches Bekenntnis dazu.
Sichere Austauschkanäle
Nachhaltige Innovation vorantreiben
für das Gemeinwohl
Alles, was Sie benötigen, um mit dem Kiteworks Open Source Program Office zu starten: unsere Verpflichtungen gegenüber der Open-Source-Community, wie Sie sich einbringen können und mehr.
Vorwort
Tim Freestones Executive-Versprechen: Mit dem Kauf von ownCloud investieren Sie in eine Idee, nicht nur in Software.
Vision & Mission
Der Nordstern: ownCloud als Rückgrat digitaler Souveränität, Open Source als sozialer Vertrag.
Manifest
Zwölf Dokumente. Jede Verpflichtung, jede Grenze, jede unbequeme Wahrheit. Lesen Sie sie – und nehmen Sie uns beim Wort.
Produktvision (oCIS)
Offen, föderiert, souverän – skalierbar vom Heimserver bis zu Millionen Nutzern.
Lessons Learned
Eine offene Reflexion über die ownCloud-Forks – und was überhörte Stimmen ein Projekt kosten.
Governance Charter
Das Regelwerk – ehrlich als „ambitioniert“ bezeichnet und mit dem klaren Hinweis, dass Kiteworks die Roadmap steuert.
Code of Conduct
Der Community-Kodex – mit klaren Befugnissen für Moderatoren, wiederholte Verstöße zu ahnden.
Engagement
Wie ownCloud mit Beitragenden umgeht, Code lizenziert und Governance öffnet – offen für alle Menschen, aber nicht jedes Verhalten.
Was ist das Open Source Program Office von Kiteworks?
Das Kiteworks OSPO ist die Organisationseinheit, die für Open-Source-Strategie, Governance, Lizenzierung, Community-Gesundheit und die Einbindung ins Ökosystem verantwortlich ist. Geleitet wird sie vom Vice President, Open Source Program Office bei Kiteworks, agiert unter der Marke ownCloud und sorgt für die nachhaltige Entwicklung der Plattformen, Sicherheitspraktiken und der Contributor-Community, die souveränen Open-Source-Datenaustausch im Produktivbetrieb ermöglichen.
Eine veröffentlichte Governance-Charta
Wir arbeiten auf Basis einer öffentlichen Governance-Charta, die klar festlegt, wie Entscheidungen getroffen werden, wie Contributor aufsteigen und wie Streitfälle gelöst werden. Vier Rollen bilden den Contributor-Weg: Contributor, Reviewer, Maintainer und das OSPO selbst – der Aufstieg erfolgt auf Basis verdienter Autorität, nicht nach Titel oder Betriebszugehörigkeit.
Governance-Änderungen unterliegen einer 30-tägigen öffentlichen Kommentierungsphase – Änderungen erfolgen also nie ohne Transparenz für die Community. Streitfälle werden an das OSPO eskaliert.
Ein Community Advisory Board aus 5–9 externen Contributor, Partnern und Institutionen liefert strukturiertes, kontinuierliches Feedback zu Roadmap und Governance. Das CAB wird für zwölf Monate berufen (mit Verlängerungsoption), tagt quartalsweise und veröffentlicht Zusammenfassungen seiner Sitzungen.
Ein formelles Security Disclosure Program
Das OSPO betreibt ein formelles Vulnerability Disclosure Program unter security.owncloud.com. Eine aktive Bug-Bounty über YesWeHack belohnt Forscher in definierten Stufen.
Supply-Chain-Schwachstellen werden durch automatisiertes Dependency-Scanning und einen formellen Software Bill of Materials-Prozess überwacht, mit koordinierter Offenlegung upstream.
Für Themen außerhalb des Bug-Bounty-Scopes kontaktieren Sie security@owncloud.com.
Contribution Done Right: DCO, nicht CLA
Die bisherige Contributor License Agreement, die Contributor zur vollständigen Übertragung des Copyrights an die ownCloud GmbH verpflichtete, wurde abgeschafft. Sie entspricht nicht mehr unserem Selbstverständnis. Künftig erfolgt jeder Beitrag über das Developer Certificate of Origin – eine schlanke Bestätigung pro Commit via git commit -s. Contributor behalten das volle Eigentum an ihrer Arbeit und bestätigen lediglich, dass sie berechtigt sind, diese einzureichen. Neue Repositories nutzen standardmäßig die Apache License 2.0. Lizenzänderungen bei bestehenden Repositories werden geprüft und umgesetzt. Lizenzunklarheiten werden nicht als kommerzielles Druckmittel eingesetzt – die Grenzen sind öffentlich, bewusst und konsistent. KI-gestützte Beiträge sind willkommen, sofern sie den gleichen Qualitätsmaßstäben entsprechen wie andere Beiträge: Offenlegung der eingesetzten Tools, Verständnis des Contributors, ausreichende Tests und Einhaltung der Lizenzbedingungen sind Grundvoraussetzungen.
Eine Community, die das Projekt vorantreibt
Wir sind offen über unser Modell: ownCloud ist ein kommerziell unterstütztes Open-Source-Projekt, keine Stiftung – Kiteworks bestimmt die Roadmap. Unser Commitment: Die Roadmap ist öffentlich, die Begründungen werden erklärt und die Community hat echte Möglichkeiten, Einfluss zu nehmen. Wer einen wertvollen Beitrag leistet, hat die Chance auf Integration – unabhängig davon, ob es auf der Roadmap stand.
Maintainer verstehen sich als Ermöglicher, nicht als Gatekeeper. Beiträge zählen in vielen Formen – nicht nur Code: Dokumentation, Tests, Übersetzung, Design, Mentoring und Advocacy werden anerkannt. Unser Code of Conduct wird über einen eigenen Eskalationsweg durchgesetzt: coc@owncloud.com. Ein jährlicher OSPO-Report, geplant für Q1 2027, wird Beitragsstatistiken, Governance-Änderungen und die Community-Gesundheit abdecken.
Häufig gestellte Fragen
Das Kiteworks Open Source Program Office (OSPO) ist die Organisationseinheit innerhalb von Kiteworks, die sämtliche Open-Source-Aktivitäten des Unternehmens unter einer einheitlichen Governance-Struktur bündelt und unter der Marke ownCloud agiert. Geleitet wird sie vom Vice President, Open Source Program Office bei Kiteworks. Das OSPO ist verantwortlich für Open-Source-Strategie, Governance-Richtlinien, Lizenzierung, Community-Gesundheitsmetriken, Engagement im Ökosystem und die Strategie für Upstream-Beiträge.
Das OSPO betreut ownCloud Classic, ownCloud Infinite Scale sowie die ownCloud Desktop-, Android- und iOS-Clients, den oCIS MCP Server und alle weiteren Open-Source-Produkte und Beiträge von Kiteworks. Es überwacht zudem das Vulnerability Disclosure Program unter security.owncloud.com, pflegt die öffentliche Governance Charter und fungiert als Schnittstelle zwischen der Open-Source-Community und der Kiteworks-Führungsebene. Kontakt: ospo@kiteworks.com.
Digitale Souveränität, Revisionssicherheit und Unabhängigkeit vom Anbieter lassen sich nicht allein durch vertragliche Vereinbarungen erreichen. Sie erfordern architektonische Garantien, die nur Open-Source-Software bietet. Gesetzliche Rahmenbedingungen und öffentliche Förderprogramme bestätigen diesen Trend: Unternehmen benötigen einsehbaren Quellcode, veröffentlichte Software-Stücklisten (SBOM) und selbst hostbare Plattformen.
Kiteworks integriert seit Langem Open-Source-Komponenten in seine sichere Plattform. Die Übernahme von ownCloud war ein Investment in die Idee, dass die Zukunft der Zusammenarbeit auf Föderation, Souveränität und Offenheit basieren sollte. Mit dem ownCloud Desktop Client bieten wir nun unsere erste vollständig quelloffene Anwendung für alle unsere Kunden an. Das OSPO stellt sicher, dass dieses Engagement organisatorisch durch dedizierte Ressourcen in Produkt, Engineering, Community und Security sowie durch transparente Governance fortgeführt wird – nachvollziehbar für Beitragende, Kunden und Aufsichtsbehörden.
Das Kiteworks OSPO betreut ownCloud Classic (auch bekannt als ownCloud 10), ownCloud Infinite Scale (oCIS) – die Go-native Microservices-Plattform ohne Datenbankabhängigkeit, als Einzel-Binary auf dem Heimserver oder als verteilte Microservices auf Kubernetes einsetzbar – sowie die gesamte ownCloud-Client-Familie: Desktop Client, Android-App, iOS-App und MCP Server. Der Desktop Client ist die erste vollständig quelloffene Anwendung, die Kiteworks allen Kunden unabhängig vom Tarif anbietet.
Das OSPO koordiniert zudem unsere Upstream-Beiträge zu den zahlreichen Open-Source-Komponenten, die im Kiteworks Private Data Network integriert sind, und betreibt Community-Infrastruktur wie GitHub.
Das OSPO arbeitet auf Basis einer öffentlichen Governance Charter, die vier Rollen definiert – Beitragende, Reviewer, Maintainer und das OSPO selbst – mit Beförderung durch erworbene Autorität statt durch Titelzuweisung. Beiträge erfolgen über das Developer Certificate of Origin (DCO) und nicht über ein Contributor License Agreement, sodass Beitragende das volle Eigentum an ihrer Arbeit behalten. Neue Repositories verwenden standardmäßig die Apache License 2.0, und Lizenzänderungen an bestehenden Repositories erfolgen unter Einbeziehung des Community Advisory Board.
Ein Community Advisory Board aus 5–9 externen Mitgliedern gibt strukturiertes Feedback zu Roadmap und Governance, mit jährlich verlängerbaren Mandaten, vierteljährlichen Sitzungen und veröffentlichten Zusammenfassungen. Streitfälle werden an das OSPO eskaliert. Verstöße gegen den Verhaltenskodex gehen an coc@owncloud.com und werden über das CoC-Verfahren bearbeitet. Ein jährlicher OSPO-Bericht enthält Statistiken zu Beiträgen, Governance-Änderungen und Community-Gesundheit.
Das Kiteworks OSPO betreibt ein formelles Vulnerability Disclosure Program unter security.owncloud.com. Ein aktives Bug-Bounty-Programm auf YesWeHack belohnt Sicherheitsforscher. Wir leiten keine rechtlichen Schritte gegen Forscher ein, die in gutem Glauben handeln und die Offenlegungsrichtlinien befolgen.
Schwachstellen in der Lieferkette und bei Abhängigkeiten werden durch automatisierte Scans und einen formellen Software Bill of Materials (SBOM)-Prozess überwacht, mit koordinierter Offenlegung an Upstream-Projekte. Kritische Vorfälle führen zu öffentlichen Incident-Reports mit Zeitachse und Auswirkungen, direkter Benachrichtigung der Kunden, aktualisierten Container-Images und Binaries mit Verifizierungshashes. Für Themen außerhalb des Bug-Bounty-Programms kontaktieren Sie bitte security@owncloud.com.