Kiteworks Bureau des programmes Open Source
Notre engagement envers l’open source
Kiteworks regroupe désormais toutes ses activités open source au sein de l’Open Source Program Office, sous la marque ownCloud. Ce choix traduit une vision plus large : l’acquisition d’ownCloud représente un investissement non seulement dans un logiciel, mais aussi dans la conviction que l’avenir de la collaboration repose sur la fédération, la souveraineté et l’ouverture. L’OSPO incarne cet engagement en publiant une Charte de gouvernance, en mettant en place un programme officiel de divulgation des vulnérabilités, un modèle de contribution Developer Certificate of Origin, ainsi que les ressources dédiées en produit, ingénierie, communauté et sécurité nécessaires pour garantir la pérennité de l’open source en production. Avec le client ownCloud Desktop, nous proposons désormais notre première application entièrement open source à l’ensemble de nos clients. Ce n’est qu’une première étape, et nous allons poursuivre dans cette voie.
Pourquoi l’Open Source ?
Nous considérons l’open source non pas comme un modèle économique, mais comme un contrat social que nous faisons vivre grâce à des investissements commerciaux. L’innovation doit être partagée. La confiance se mérite par la transparence. La technologie doit servir l’intérêt général, et non seulement des intérêts commerciaux. Voici ce que cela signifie concrètement pour les organisations qui s’appuient sur nos plateformes.
Défendre la souveraineté numérique dès la conception
On ne garantit pas la souveraineté par de simples accords contractuels avec un fournisseur SaaS. Elle exige un contrôle architectural : la capacité de déployer sur l’infrastructure de son choix, d’auditer chaque ligne de code, d’appliquer des règles via des politiques programmables et de fonctionner indépendamment de la feuille de route, de la tarification ou des décisions d’un fournisseur. L’OSPO existe pour protéger cette garantie architecturale. Le code source complet et la nomenclature logicielle (SBOM) sont accessibles en toute transparence. Le déploiement s’effectue sur une infrastructure contrôlée par l’organisation. Les standards ouverts tels que WebDAV, OIDC, Open Cloud Mesh, LibreGraph empêchent le verrouillage fournisseur qui transforme chaque acquisition ou évolution tarifaire en risque pour l’entreprise.
Instaurer la confiance grâce à la transparence et à la gouvernance ouverte
Un logiciel propriétaire demande à ses clients de lui faire confiance pour la sécurité. L’open source leur permet de la vérifier.
Les décisions d’architecture sont publiées sous forme d’ADR dans le dépôt. Les dépendances sont suivies via un processus formel de nomenclature logicielle (SBOM). Les contributions utilisent le Developer Certificate of Origin, qui garantit que la propriété intellectuelle reste à ceux qui ont écrit le code. Lorsqu’un régulateur, un auditeur ou une équipe de sécurité demande comment l’OSPO de Kiteworks gère la divulgation, les correctifs ou l’attribution, la réponse est un processus publié – et non une promesse marketing.
Favoriser la collaboration inter-organisationnelle sans verrouillage
La collaboration ne doit pas s’arrêter aux frontières de l’organisation, ni imposer l’adoption d’un même fournisseur propriétaire des deux côtés. Notre engagement envers les standards ouverts rend ces flux de travail inter-organisationnels possibles : Open Cloud Mesh pour le partage fédéré entre déploiements indépendants, ScienceMesh pour l’intégration des réseaux de recherche européens, Webfinger pour l’identité multi-instance. Chaque organisation garde le contrôle souverain de ses propres données tout en collaborant au-delà des frontières. C’est l’interopérabilité avec intégrité, à l’opposé des écosystèmes fermés qui transforment votre portefeuille de collaboration en risque.
Stimuler l’innovation durable au service de l’intérêt général
Les meilleurs logiciels d’infrastructure des vingt dernières années – Linux, Kubernetes, PostgreSQL, Apache – ont été créés en open source, car aucun fournisseur n’aurait pu les développer seul. ownCloud s’inscrit dans cette tradition, et Kiteworks entend la perpétuer. Nous finançons la feuille de route, contribuons en amont aux composants open source dont nous dépendons, et investissons dans l’infrastructure communautaire qui transforme un code en bien commun. L’open source est une force positive : il permet d’autonomiser les communautés, de renforcer les institutions et de rendre l’innovation accessible à tous. L’OSPO incarne cet engagement à l’échelle de l’organisation.
Canaux d’échange sécurisés
Favoriser l’innovation durable
au service de l’intérêt général
Tout ce qu’il faut savoir pour débuter avec le bureau des programmes open source de Kiteworks : nos engagements envers la communauté open source, comment vous pouvez participer, et bien plus encore.
Préface
L’engagement de Tim Freestone : acquérir ownCloud, c’est adhérer à une vision, pas seulement à un logiciel.
Vision & Mission
Le cap à suivre : faire d’ownCloud le socle de la souveraineté numérique, l’open source comme contrat social.
Manifeste
Douze documents : chaque engagement, chaque limite, chaque vérité qui dérange. Lisez-les et exigez que nous les respections.
Vision produit (oCIS)
Ouvert, fédéré, souverain, capable d’évoluer d’un serveur domestique à des millions d’utilisateurs.
Leçons tirées
Une confession honnête sur les forks d’ownCloud et le prix à payer quand certaines voix ne sont pas entendues dans un projet.
Charte de gouvernance
Le règlement, clairement qualifié « d’aspirationnel », qui reconnaît que Kiteworks pilote la feuille de route.
Code de conduite
Pacte communautaire doté de véritables moyens pour que les modérateurs puissent exclure les récidivistes.
Engagement
Comment ownCloud traite ses contributeurs, gère les licences et ouvre sa gouvernance — en accueillant toutes les personnes, mais pas tous les comportements.
Autonomisation
Comment nous donnons les moyens d’agir à la fois aux partenaires externes et aux équipes internes.
Guide de contribution
Le mode d’emploi : abandon de l’ancienne CLA au profit d’une validation DCO simplifiée.
Qu’est-ce que l’Open Source Program Office de Kiteworks ?
L’OSPO de Kiteworks est l’entité responsable de la stratégie open source, de la gouvernance, des licences, de la santé de la communauté et de l’engagement dans l’écosystème. Dirigé par le Vice President, Open Source Program Office chez Kiteworks, il opère sous la marque ownCloud et soutient les plateformes, les pratiques de sécurité et la communauté de contributeurs qui permettent l’échange souverain de données open source en production.
Une Charte de Gouvernance Publiée
Nous fonctionnons selon une charte de gouvernance publique qui précise comment les décisions sont prises, comment les contributeurs progressent et comment les différends sont résolus. Quatre rôles structurent le parcours des contributeurs : Contributors, Reviewers, Maintainers et l’OSPO lui-même, l’évolution reposant sur l’autorité acquise et non sur le titre ou l’ancienneté.
Les modifications de gouvernance font l’objet d’une période de consultation publique de 30 jours, garantissant la transparence de notre fonctionnement. Les différends sont remontés à l’OSPO.
Un Community Advisory Board composé de 5 à 9 contributeurs externes, partenaires et institutions, apporte un retour structuré et continu sur la feuille de route et la gouvernance. Le CAB est nommé pour 12 mois renouvelables, se réunit chaque trimestre et publie les comptes rendus de ses réunions.
Un Programme Officiel de Divulgation des Vulnérabilités
L’OSPO gère un programme officiel de divulgation des vulnérabilités sur security.owncloud.com. Un bug bounty actif sur YesWeHack récompense les chercheurs selon des niveaux définis.
Nous surveillons les vulnérabilités de la supply chain grâce à une analyse automatisée des dépendances et à un processus formel de Software Bill of Materials, avec une divulgation coordonnée en amont.
Pour les problèmes hors du périmètre du bug bounty, contactez security@owncloud.com.
Contribution responsable : DCO, pas CLA
L’ancien Contributor License Agreement, qui imposait aux contributeurs de céder l’intégralité des droits d’auteur à ownCloud GmbH, a été abandonné. Il ne correspond plus à notre identité. Désormais, les contributions s’appuient sur le Developer Certificate of Origin, une attestation légère par commit via git commit -s. Les contributeurs conservent la pleine propriété de leur travail et attestent simplement avoir le droit de le soumettre. Tous les nouveaux dépôts sont par défaut sous licence Apache 2.0. Les changements de licence sur les dépôts existants seront étudiés et réalisés. Nous n’utilisons pas l’ambiguïté des licences comme levier commercial : les règles sont publiques, claires et appliquées de façon cohérente. Les contributions assistées par IA sont acceptées selon les mêmes exigences de qualité que toute autre contribution, à condition de déclarer les outils utilisés, de comprendre le code, de réaliser des tests adéquats et de respecter la conformité des licences.
Une Communauté qui fait avancer le projet
Nous sommes transparents sur notre modèle : ownCloud est un projet open source soutenu commercialement, et non piloté par une fondation, et Kiteworks définit la feuille de route. Nous nous engageons à rendre cette feuille de route publique, à expliquer nos choix et à offrir à la communauté des moyens concrets d’influencer le projet. Si vous développez une fonctionnalité pertinente, elle pourra être intégrée, même si elle ne figurait pas initialement sur la feuille de route.
Les Maintainers facilitent les contributions plutôt qu’ils ne les bloquent, et la contribution prend de nombreuses formes, au-delà du code :
documentation, tests, traduction, design, mentorat et plaidoyer sont tous reconnus. Notre Code de conduite est appliqué via une procédure d’escalade dédiée à coc@owncloud.com. Un rapport annuel de l’OSPO, prévu pour le premier trimestre 2027, présentera les statistiques de contribution, les évolutions de la gouvernance et la santé de la communauté.
Foire aux questions
L’Open Source Program Office (OSPO) de Kiteworks est l’entité interne qui regroupe toutes les activités open source de l’entreprise sous une même gouvernance, opérant sous la marque ownCloud. Elle est dirigée par le Vice President, Open Source Program Office chez Kiteworks, et prend en charge la stratégie open source, la politique de gouvernance, la gestion des licences, les indicateurs de santé de la communauté, l’engagement de l’écosystème et la stratégie de contribution upstream.
L’OSPO supervise ownCloud Classic, ownCloud Infinite Scale, les clients ownCloud Desktop, Android et iOS, le serveur oCIS MCP, ainsi que tous les autres produits et contributions open source de Kiteworks. Elle gère également le programme de divulgation des vulnérabilités sur security.owncloud.com, maintient la Charte de gouvernance publique et fait le lien entre la communauté open source et la direction de Kiteworks. Contact : ospo@kiteworks.com.
La souveraineté numérique, l’auditabilité et l’indépendance vis-à-vis des fournisseurs ne peuvent pas reposer uniquement sur des accords contractuels. Elles exigent des garanties architecturales que seul le logiciel open source permet d’offrir. Les cadres réglementaires et les programmes d’investissement public confirment cette tendance : les organisations ont besoin d’un code inspectable, de Software Bills of Materials publiés et de plateformes auto-hébergées.
Kiteworks intègre depuis longtemps des composants open source dans sa plateforme sécurisée. L’acquisition d’ownCloud traduit un engagement fort en faveur de l’open source, avec la conviction que la collaboration de demain reposera sur la fédération, la souveraineté et l’ouverture. Grâce au client ownCloud Desktop, nous proposons désormais à l’ensemble de nos clients notre première application 100 % open source. L’OSPO incarne cet engagement au niveau organisationnel, en mobilisant des ressources dédiées au produit, à l’ingénierie, à la communauté et à la sécurité, et en assurant une gouvernance transparente, vérifiable par les contributeurs, les clients et les régulateurs.
L’OSPO de Kiteworks supervise ownCloud Classic (aussi appelé ownCloud 10), ownCloud Infinite Scale (oCIS) — la plateforme de microservices native Go, sans dépendance à une base de données, déployable en binaire unique sur un serveur domestique ou en microservices distribués sur Kubernetes — ainsi que toute la gamme de clients ownCloud : Desktop Client, application Android, application iOS et MCP Server. Le Desktop Client est la première application 100 % open source proposée à tous les clients Kiteworks, quel que soit leur abonnement.
L’OSPO coordonne également nos contributions upstream aux nombreux composants open source intégrés au sein du Réseau de données privé Kiteworks, et gère l’infrastructure communautaire, notamment sur GitHub.
L’OSPO fonctionne selon une Charte de gouvernance publique qui définit quatre rôles — Contributeurs, Reviewers, Mainteneurs et l’OSPO — avec une progression basée sur le mérite et non sur le titre. Les contributions s’appuient sur le Developer Certificate of Origin (DCO) plutôt qu’un Contributor License Agreement, ce qui permet aux contributeurs de conserver la pleine propriété de leur travail. Les nouveaux dépôts sont par défaut sous licence Apache 2.0, et tout changement de licence sur les dépôts existants implique la consultation du Community Advisory Board.
Un Community Advisory Board composé de 5 à 9 membres externes apporte un retour structuré sur la feuille de route et la gouvernance, avec des mandats renouvelables de 12 mois, des réunions trimestrielles et des comptes rendus publiés. Les litiges sont remontés à l’OSPO. Les violations du Code de conduite doivent être signalées à coc@owncloud.com et sont traitées via la procédure dédiée. Un rapport annuel de l’OSPO présentera les statistiques de contribution, les évolutions de la gouvernance et la santé de la communauté.
L’OSPO de Kiteworks anime un programme formel de divulgation des vulnérabilités sur security.owncloud.com. Un bug bounty program actif sur YesWeHack récompense les chercheurs. Nous n’engageons aucune action en justice contre les chercheurs agissant de bonne foi et respectant la politique de divulgation.
Les vulnérabilités de la supply chain et des dépendances sont surveillées via des analyses automatisées et un processus formel de Software Bill of Materials (SBOM), avec divulgation coordonnée upstream. Les incidents critiques donnent lieu à des rapports publics détaillant la chronologie et l’impact, à une notification directe des clients, à la mise à jour des images de conteneurs et des binaires avec des empreintes de vérification. Pour les problèmes hors périmètre du bug bounty, contactez security@owncloud.com.