Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > Waarom ownCloud een Open Source Program Office lanceert — en de CLA afschaft
Waarom ownCloud een Open Source Program Office lanceert — en de CLA afschaft

Waarom ownCloud een Open Source Program Office lanceert — en de CLA afschaft

by David Walter updated mei 6, 2026 Kiteworks-nieuws
Reading Time: 7 minutes

Vandaag lanceert Kiteworks vanuit Regensburg formeel een Open Source Program Office (OSPO) met een gepubliceerde Governance Charter v0.1, het afschaffen van de Contributor License Agreement, de introductie van een Developer Certificate of Origin-bijdragemodel, een formeel AI-Assisted Contribution Policy, en nog veel meer. De OSPO fungeert als bestuursorgaan naast een actieve productielijn die momenteel bestaat uit: ownCloud Infinite Scale met kwartaalreleases, ownCloud Classic met een aanstaande upgrade naar PHP 8.3, iOS en Android in ontwikkeling, de MCP Server met een bètarelease, en meer. In deze post bespreken we wat er vandaag wordt opgeleverd, waaraan wordt gewerkt en wat bijdragers, klanten en partners binnenkort mogen verwachten.

Belangrijkste punten

  • De OSPO is een structurele toewijding, geen marketingoefening. De Governance Charter definieert rollen, besluitvorming en transparantieverplichtingen met een route naar v1.0 na input van de Community Advisory Board.
  • De oude CLA wordt afgeschaft. Bijdragers gebruiken voortaan DCO sign-off (git commit -s) en behouden het eigendom van hun werk. Er is geen overdracht van auteursrechten meer aan ownCloud GmbH.
  • AI-ondersteunde bijdragen zijn welkom. Het beleid stelt vier vereisten: transparantie, begrip, testen en naleving van licenties, en hanteert dezelfde beoordelingscriteria als elke andere PR. We begrijpen inclusie verder dan alleen ontwikkelcapaciteiten.
  • Het beveiligingsprogramma is operationeel. De VDP op security.owncloud.com, de YesWeHack bug bounty met beloningen tot $5.000 voor kritieke bevindingen.
  • Twee platforms, één toewijding. ownCloud Classic draait op PHP 8.3 en wordt actief onderhouden; oCIS is de moderne, databasevrije, Go-native architectuur. Een ondersteunde ownCloud Classic naar Infinite Scale migratietool is binnenkort beschikbaar via https://github.com/owncloud/migrate_to_ocis en in de ownCloud 10 Marketplace.
  • De introductie van een Community Advisory Board, de openbare product roadmap en het jaarlijkse OSPO-rapport zijn mijlpalen met vastgestelde doeltermijnen, geen geclaimde prestaties.

ownCloud heeft twee forks doorgemaakt — Nextcloud in 2016 en OpenCloud in 2025. We hebben bij beide stilgestaan. De korte versie is dat commercieel geleide open-sourceprojecten inclusieve governance en consistente publieke communicatie op schrift nodig hebben, niet alleen in intentie. De OSPO is het operationele antwoord daarop.

De OSPO valt onder Kiteworks en wordt door Kiteworks gefinancierd. We zijn geen door een stichting geleid project en we pretenderen dat ook niet te zijn. Waar we ons toe verbinden is dat sturing openbaar gebeurt, dat elke motivatie wordt gedocumenteerd, dat de community betekenisvolle kanalen heeft om richting te beïnvloeden, en dat elk governance-document openstaat voor commentaar en herziening. Het woord dat we voor deze relatie hebben gekozen is stewardship: Kiteworks als de zakelijke beheerder van blijvende investeringen in engineering, beveiliging en governance, met duidelijke schriftelijke grenzen tussen de open-sourceprojecten en commerciële enterprise-lagen voor menselijke en AI-gegevensbeheer, controle en naleving.

De lancering bevat een manifestosuite met meerdere documenten: de Visie & Missie, het Manifest, een Voorwoord van Kiteworks CSO Tim Freestone, een Productvisie voor oCIS, de Governance Charter, een Gedragscode, een Bijdragengids, het AI-Assisted Contribution Policy, het Security Disclosure Policy en Empowerment- en Engagement-documenten. Al deze documenten zijn per direct beschikbaar en allemaal onderhevig aan de 30-dagen publieke commentaarperiode die het charter vereist voor toekomstige wijzigingen.

Het afschaffen van de CLA: Wat verandert er met DCO voor bijdragers?

De oude Contributor License Agreement vereiste dat bijdragers het auteursrecht overdroegen aan ownCloud GmbH. Dit werkte juridisch gezien, maar was een struikelblok voor inkoopteams van bedrijven én onafhankelijke bijdragers, en het paste niet bij de governancepositie die we willen innemen.

Bijdragen maken nu gebruik van het Developer Certificate of Origin — een verklaring per commit dat je het recht hebt om het werk onder de licentie van de repository in te dienen. Dat ziet er zo uit:

git commit -s -m "Add this awesome implementation to ownCloud Infinite Scale"

De -s vlag voegt een Signed-off-by:-regel toe met je naam en e-mailadres. Dat is alles. Je behoudt het auteursrecht. Je verklaart de herkomst. Reviewers kunnen de sign-off in CI verifiëren. Het is hetzelfde model dat de Linux-kernel al twintig jaar gebruikt. Eerdere bijdragen onder de oude CLA blijven onder de oorspronkelijke voorwaarden; alles vanaf nu is DCO.

Nieuwe repositories gebruiken standaard de Apache License 2.0. Bestaande repositories zullen in de nabije toekomst worden overgezet naar Apache 2.0. Dit kost echter tijd, omdat elke eerdere commit en ondertekende CLA, licenties, gebruikte third-party licenties en herkomst individueel moeten worden beoordeeld.

Het governance charter definieert vier rollen: Bijdrager, Reviewer (kan PR’s goedkeuren), Maintainer (merge-authoriteit en architectuurkeuzes binnen scope), en OSPO (governancebeleid, geschiloplossing binnen 10 werkdagen). Ben je het niet eens met een beslissing van een maintainer, dan kun je escaleren; de OSPO beoordeelt, raadpleegt en neemt binnen de termijn een bindend besluit. Governance die 90 dagen doet over het oplossen van een conflict is geen governance: dat is uitputting.

Het AI-Assisted Contribution Policy: Het hulpmiddel verwelkomen, de lat verhogen

We publiceren ook iets wat de meeste commercieel geleide open-sourceprojecten tot nu toe hebben vermeden: een formeel standpunt vóór AI-ondersteunde bijdragen. Ons beleid is helder. AI-ondersteunde bijdragen zijn welkom en worden aan dezelfde kwaliteitsnormen getoetst als elke andere bijdrage. Het reviewproces maakt niet uit hoe de code is geschreven. Het gaat erom dat de code werkt, getest is, gedocumenteerd is en onderhoudbaar blijft.

Het beleid stelt vier vereisten voor elke AI-ondersteunde pull request:

  1. Transparantie. Vermeld in de PR-beschrijving dat AI-tools zijn gebruikt en noem de tool: Claude Code, GitHub Copilot, Cursor of een andere. Dit is geen stigma; het is transparantie en helpt ons het reviewproces te verbeteren.
  2. Begrip. Je moet begrijpen wat de code doet. Als een reviewer vraagt waarom een functie een fout op een bepaalde manier afhandelt en het antwoord is “de AI heeft het zo geschreven”, dan is de PR niet klaar.
  3. Testen. AI-gegenereerde code moet getest worden — unittests voor de logica, exploratief testen voor de UI. CI vangt wat je vergeet, maar is geen vervanging voor zelf nadenken over wat de code daadwerkelijk moet doen.
  4. Naleving van licenties. Je bent verantwoordelijk voor de herkomst van elke regel in je PR. Controleer dat je AI-tool geen code heeft toegevoegd die afkomstig is uit een onverenigbare licentie.

oCIS is al via deze workflow gemerged, en de volledige ontwikkelmethode is gepubliceerd op owncloud.dev. Onze interne engineeringteams gebruiken deze tools ook en hanteren dezelfde standaarden: transparantie waar nodig, volledig begrip van de gegenereerde code en menselijke verantwoordelijkheid voor elke merge.

De onderliggende boodschap is belangrijk. Er bestaat een reëel risico dat AI-ondersteunde ontwikkeling een argument wordt om bijdragen van minder ervaren ontwikkelaars indirect te weren. Wij kiezen bewust de tegenovergestelde houding. Als je een visie hebt om ownCloud te verbeteren en AI helpt je om die visie tot werkende code te brengen, dan willen we jouw bijdrage. Wat we niet accepteren is dat bijdragers verdwijnen tijdens de review. Menselijke verantwoordelijkheid is het hele beleid. Maar coderen op senior-niveau mag geen middel worden voor uitsluiting. Open source was, en is nog steeds, gericht op inclusie.

Twee platforms, één toewijding: de toekomst bouwen met oCIS, vertrouwen behouden met Classic

De OSPO-lancering is ook het juiste moment om duidelijkheid te geven over het portfolio. ownCloud Infinite Scale (oCIS) is het huidige platform: geschreven in Go, Apache 2.0, met een databasevrije, Go-native architectuur die metadata opslaat in message pack-bestanden op de node zelf via de DecomposedFS-abstrahering. Er is geen centrale SQL-database die de platformstatus bewaart, wat een hele categorie databasegerelateerde operationele problemen wegneemt: geen schema-migratie bij upgrades, geen SQL-bottleneck bij hoge belasting, geen privilege-escalatie op databaselaag, en metadata die met het bestand meereist bij standaard bestandsbewerkingen.

Hetzelfde gecompileerde bestand schaalt van een enkel proces op een kleine server tot gedistribueerde microservices op Kubernetes. Productieopslag-backends zijn onder andere POSIX/NFS en S3-compatibele objectopslag (AWS, MinIO, Ceph). CERN EOS is beschikbaar als Tech Preview-backend, niet voor productie. Authenticatie is uitsluitend OIDC. Beleid is programmeerbaar via OPA/Rego via de File Firewall. Federatie gebruikt Open Cloud Mesh. Office-integratie verloopt via gehard WOPI met Collabora en ONLYOFFICE. Audit logs worden geleverd als gestructureerde JSON, ontworpen voor SIEM-inname. Elke interface die het platform biedt — WebDAV, OIDC, OCM, CS3APIs, LibreGraph, OPA/Rego — is een open standaard of een gepubliceerde specificatie. Het platform draait op productie-schaal in research computing, onder andere bij CERN met meer dan een miljard bestanden en multi-petabyte schaal, en in publieke sector-implementaties zoals de Beierse schoolcloud (ByCS).

ownCloud Classic — het Linux, Apache, SQL en PHP-platform — wordt geüpgraded naar PHP 8.3 en actief onderhouden, met voortdurende beveiligings- en onderhoudsupdates. Een ondersteunde migratietool van Classic naar oCIS is bijna beschikbaar. Klanten (Community en Enterprise) stappen over op hun eigen tempo zodra de migratietool algemeen beschikbaar is.

Hoe kun je meedoen?

De mechanismen die nog niet bestaan, zijn juist de plekken waar we je nodig hebben zodra ze er zijn. Een paar concrete volgende stappen:

  • Volg de GitHub-repositories op github.com/owncloud: oCIS, Classic, de clients, de webextensies. Issues met het label good-first-issue en help-wanted zijn echte verzoeken.
  • Lees de gepubliceerde beleidsdocumenten. De Governance Charter, het AI-Assisted Contribution Policy, het Security Disclosure Policy en de Contribution Guide.
  • Dien een kwetsbaarheidsrapport in bij de VDP of de YesWeHack bug bounty als je iets vindt.
  • Meld je aan voor de Community Advisory Board-formatie voor Q4 2026 — vijf tot negen externe leden met een termijn van 12 maanden; nominaties worden openbaar geopend.
  • Bereik de OSPO via ospo@kiteworks.com. Voor zaken rond de Gedragscode kun je coc@owncloud.com gebruiken. Organisaties die een enterprise-abonnement overwegen, kunnen de contactpagina gebruiken — maar dat is een voetnoot, niet de hoofdzaak.

Veelgestelde vragen

Omdat forks op zichzelf geen bewijs van mislukking zijn. In open source zijn forks vaak een stresssignaal. Ze laten zien waar vertrouwen, governance, communicatie of strategische afstemming is misgelopen. ownClouds recente publieke verhaal zegt dat nu ook expliciet: De eerste fork in 2016 ontstond uit zorgen over governance en transparantie, en de tweede fork in 2025 werd opnieuw gevormd door communicatie- en vertrouwenskwesties. Het belangrijkste is niet die geschiedenis te ontkennen, maar te laten zien dat het project ervan heeft geleerd.

Wat ownCloud nu geloofwaardig maakt is niet “geloof ons maar”. Het is de combinatie van voortdurende productlevering en zichtbare correctie van governance. De communityposts van ownCloud in april 2026 herbevestigen expliciet de inzet voor transparantie, duidelijkere communicatie, community-inbreng en “making ownCloud yours again”, terwijl ze ook wijzen op voortdurende releases en aanhoudende investeringen in plaats van verlating.

Er is ook een concreet governance-signaal: ownCloud heeft publiek aangekondigd de CLA af te schaffen en over te stappen op het Developer Certificate of Origin, waarmee de machtsasymmetrie tussen bedrijf en bijdragers wordt verkleind. Dat neemt scepsis niet direct weg, maar het is het soort structurele stap waar serieuze communities naar kijken bij het beoordelen of een beheerder daadwerkelijk gedrag verandert in plaats van alleen de toon.

Niets met terugwerkende kracht. Je eerdere bijdragen blijven onder de voorwaarden die golden toen je ze deed. Voortaan gebruikt elke commit naar elke ownCloud-repository DCO sign-off (git commit -s). Je behoudt het auteursrecht op je werk.

Nee. We beoordelen hem volgens dezelfde standaard als elke andere PR. De vier vereisten — transparantie, begrip, testen, licentie-naleving — zorgen ervoor dat de tooling de kwaliteit verhoogt in plaats van verlaagt. oCIS heeft al merges via deze workflow ontvangen.

Ja. ownCloud Classic draait op PHP 8.3 en wordt actief onderhouden, met voortdurende beveiligings- en onderhoudsupdates. De migratietool van Classic naar oCIS is zeer dichtbij.

Publiekelijk op https://github.com/orgs/owncloud/discussions. De OSPO beoordeelt en beantwoordt elk commentaar schriftelijk voordat het wordt gepubliceerd. Mail naar ospo@kiteworks.com als je een verwijzing nodig hebt naar de specifieke issuetracker.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks