Capítulo 2: O Valor dos Open Source Program Offices

Índice

Introdução
Como Seu OSPO Poderia Agregar Valor?
Aplicando Isso À Sua Organização
Exemplos do Valor do OSPO
Possíveis Problemas e Como Superá-los
Recursos e Notas de Rodapé

Introdução

Sua organização provavelmente já tem um relacionamento com o Open Source, mesmo que não esteja ciente disso. Quase todos os softwares produzidos hoje incluem componentes Open Source, ou são desenvolvidos ou são hospedados usando ferramentas Open Source. Mesmo organizações que não produzem software geralmente utilizam software que contém componentes Open Source.

Para muitas organizações, vale a pena considerar como o gerenciamento ativo de seu relacionamento com o Open Source pode trazer benefícios e reduzir riscos. Como mencionado no capítulo anterior, isso envolve a compreensão do uso atual de Open Source e, em seguida, avaliar como isso poderia ser melhor gerenciado para apoiar os objetivos organizacionais.

Este capítulo ajudará você a entender as possíveis áreas em que o gerenciamento de Open Source por meio de um OSPO pode agregar valor à sua organização. Isso varia de organização para organização, portanto, é importante conhecer a estratégia e os objetivos da sua organização.

O trabalho de um OSPO é entender onde o Open Source pode agregar valor à sua organização e gerenciar ou supervisionar ativamente todas as atividades relacionadas.

Cada organização terá seus próprios motivos para querer iniciar um OSPO, alguns motivos comuns fornecidos no Valor Comercial Do relatório OSPO são os seguintes:

Construindo processos padronizados em torno do Open Source
Aprendendo como abordar a comunidade Open Source
Adotando a sustentabilidade de projetos Open Source
Gerenciando a conformidade
Expandindo o acesso ao conhecimento aberto
Melhorando a velocidade de desenvolvimento
Mitigando riscos de segurança

Como Seu OSPO Poderia Agregar Valor?

Se você faz software

Este é um caso de uso comum e relativamente abrangente para um OSPO. Outras organizações podem precisar considerar apenas um subconjunto dessas questões.

Às vezes, as partes interessadas da organização presumem que seu produto não utilizam componentes Open Source porque o produto final não é Open Source. No entanto, ao analisar toda a cadeia de suprimentos de software, é possível observar que quase todos os softwares contém dependências ou artefatos Open Source.

Se os colaboradores que trabalham nesses projetos Open Source decidirem sair, o projeto poderá se tornar obsoleto ou alvo de vulnerabilidades de segurança. Isso afeta qualquer software que a organização utilize ou venda e pode impactar diretamente sua reputação, desempenho ou receita.

Um OSPO pode ajudar a entender e gerenciar ativamente o uso de componentes Open Source em seu software.

Como o OSPO ajuda

Gerenciando vulnerabilidades: Projetos Open Source podem ser uma fonte de vulnerabilidades de segurança em um produto que depende deles. Pode ser difícil monitorar como os projetos Open Source estão sendo utilizados pela sua organização e realizar avaliações de risco nos projetos identificados. Ao identificar projetos-chave dentro da organização, você pode priorizar a segurança deles rastreando vulnerabilidades e exposições comuns. Frequentemente, a equipe de Arquitetura Corporativa é quem monitora os componentes Open Source de aplicações e tecnologias, e os OSPOs estão presentes para fornecer expertise no assunto.

Compreendendo os riscos na cadeia de suprimentos: O cenário do Open Source é amplo e descentralizado, e pode ser difícil identificar quem são os colaboradores de projetos individuais e realizar avaliações de risco nos projetos identificados. Esses fatores podem tornar desafiador para as organizações avaliar os riscos com precisão e compreender dos padrões de segurança e qualidade do software, hardware, dados, etc.

Construindo relacionamentos saudáveis com projetos Open Source chave: Organizações comerciais que utilizam Open Source frequentemente demonstram interesse em contribuir com os projetos que utilizam. No entanto, a pressão para disponibilizar recursos em seus próprios produtos significa que as contribuições para o Open Source podem ficar em segundo plano quando a rotina se torna agitada. Mesmo quando se sabe que contribuir com recursos e correções de bugs para o upstream exige menos esforço a longo prazo do que manter um fork do projeto, as organizações muitas vezes otimizam para benefícios de curto prazo e não dedicam um esforço extra para disponibilizar as alterações.

Apoiando e influenciando projetos importantes Open Source: Sua organização pode estar em uma boa posição para fornecer recursos para projetos Open Source. Isso pode ser feito por meio de programação, expertise ou doações em dinheiro como incentivo para corrigir vulnerabilidades comuns. Também pode ser produtivo colaborar com grupos de trabalho do setor para abordar questões de segurança de forma holística. Elaborar um plano alinhado à sua estratégia organizacional e que agregue valor aos projetos Open Source é uma boa maneira de ser um membro útil da comunidade.

Reduzindo a distância entre processos regulamentados e processos Open Source: O Open Source é um ecossistema dinâmico cujas contribuições devem ocorrer da forma mais suave e natural possível. Os longos processos de aquisição enfrentados em ambientes altamente regulamentados, como empresas financeiras e governos, criam uma barreira à contribuição e ao engajamento com o Open Source.

Melhorando a alfabetização em Open Source para garantir uma abordagem de alto benefício e baixo risco: O conceito de Open Source pode não ser levado a sério em outras áreas da organização envolvidas em processos de tomada de decisão, gestão ou elaboração de políticas. Isso exigirá educação e demonstração constantes dos riscos e do valor do Open Source na organização.

Para obter o máximo benefício do Open Source e reduzir os riscos, as organizações devem investir na gestão adequada das operações de Open Source, tanto em nível cultural quanto prático. Isso geralmente é alcançado por meio do OSPO, que promove a colaboração comprometida e multifuncional dentro da organização para lidar com as questões de Open Source encontradas por diversas equipes ou departamentos.

O OSPO opera como um centro de excelência.

Se você presta serviços públicos

Como o OSPO ajuda

Vemos que mais organizações do setor público estão percebendo o valor de um Escritório de Programas Open Source para atingir suas metas de política digital, a fim de atender melhor seus cidadãos e transformar suas organizações para atingir essas metas.

Organizações do setor público enfrentam desafios únicos na gestão de suas operações Open Source, incluindo a necessidade de cumprir leis e regulamentos rigorosos e a exigência de fornecer operações transparentes e responsáveis. Um OSPO pode ajudar governos e organizações do setor público a superar esses desafios.

Melhorando a conformidade: um OSPO ajuda a garantir que suas operações Open Source estejam em conformidade com as leis e regulamentações relevantes, incluindo leis de privacidade de dados, regulamentos de aquisição e requisitos de transparência. Isso ajuda as organizações a evitar desafios legais e regulatórios dispendiosos e a manter sua reputação como organizações responsáveis do setor público.

Aumentando a colaboração: um OSPO ajuda a promover a colaboração entre diferentes departamentos e com partes interessadas externas, incluindo outras organizações do setor público, comunidades Open Source e organizações da sociedade civil. Essa colaboração ampliada ajuda as organizações a acessar um conjunto mais amplo de talentos e recursos e a desenvolver melhores soluções Open Source.

Melhorando a alocação de recursos: um OSPO ajuda a alocar recursos de forma mais eficaz, garantindo que as operações Open Source sejam bem suportadas e que as principais iniciativas recebam os recursos necessários para o sucesso. Isso ajuda as organizações a maximizar os benefícios da tecnologia Open Source e a impulsionar a inovação e o crescimento.

Melhorando a prestação de serviços: um OSPO ajuda a aprimorar a prestação de serviços públicos, permitindo que adotem tecnologias inovadoras e econômicas e colaborem com partes interessadas externas para desenvolver soluções melhores. Isso ajuda as organizações a fornecer melhores serviços aos cidadãos e a atender às necessidades em constante mudança de suas comunidades.

O Escritório de Programas Open Source (OSPO) da Comissão Europeia lançou um novo portal que funciona como um wiki ou arquivo de conhecimento, fornecendo informações atualizadas sobre os avanços em tópicos relacionados o OSPO para administradores públicos. Este portal oferece uma variedade de recursos, incluindo estudos úteis, apresentações, casos de uso, guias e muito mais, para leitores interessados em aprender mais sobre tópicos relacionados o OSPO.

Consulte a seção Recursos no final do capítulo para obter o URL.

Como uma influência cultural

Em um mundo governado por software, os Open Source Program Offices (OSPOs) atuam como poderosos catalisadores culturais dentro das organizações. Além de simplesmente gerenciar a integração técnica de soluções Open Source, os OSPOs transformam fundamentalmente a cultura organizacional ao promover a colaboração aberta, transparência e inovação.

À medida que as organizações dependem cada vez mais do Open Source para problemas de missão crítica — sejam eles sociais, econômicos ou tecnológicos — a influência cultural dos OSPOs torna-se essencial para remodelar mentalidades e fluxos de trabalho.

Essa mudança cultural permite que as organizações deixem de ver o Open Source como mero recurso do qual se extrai valor e passem a se tornar membros ativos e contribuintes do ecossistema Open Source mais amplo.

Ao incorporar valores e práticas Open Source em toda a organização, os OSPOs cultivam defensores internos, estabelecem normas de colaboração e nutrem uma cultura onde o compartilhamento de conhecimento prospera.

Essa transformação cultural não apenas apoia a gestão de riscos e a inovação, mas também garante a sustentabilidade das comunidades Open Source das quais dependem.

Sem a influência cultural contínua de um OSPO, as organizações correm o risco de perder expertise em Open Source, aumentando vulnerabilidades legais e de segurança, reduzindo o engajamento da comunidade e prejudicando sua reputação.

O Open Source é uma necessidade crítica silenciosa, e o impacto cultural de um OSPO é vital para desenvolver a cultura e o conhecimento organizacional, ajudando a construir um Open Source Software (OSS) mais seguro e sustentável.

Como o OSPO ajuda

Atua como um Conselheiro: Às vezes, uma abordagem estratégica significa simplesmente dar um passo para trás e dedicar um tempo para refletir sobre algumas das questões difíceis, como qual tipo de modelo de engajamento é o certo para um projeto específico ou quão envolvida a organização deve estar em cada projeto. Há também a questão de quando faz sentido contribuir para um projeto existente em vez de criar um novo. Um OSPO que mantém essas conversas em nível estratégico será capaz de fornecer diretrizes aos funcionários das diferentes equipes, para que eles não precisem considerar as implicações de negócio dos diferentes modelos de engajamento Open Source toda vez que tentarem resolver um problema.

Atua como um facilitador: O OSPO também desempenha uma espécie de papel de tradução entre os interesses das equipes e dos tomadores de decisão da organização em relação ao Open Source e as necessidades da comunidade Open Source. Ela também ajuda as organizações a navegar pelas mudanças culturais, de processo e de ferramentas necessárias para se envolver com a comunidade Open Source de forma eficaz e saudável.

Atua como um Defensor: Os OSPOs podem promover o uso do Open Source e suas melhores práticas em diferentes unidades organizacionais. Isso pode ajudar as organizações a perceber os benefícios do Open Source, bem como a engajar pessoas para contribuir com projetos Open Source ou iniciar novos.

Atua como um Ambientalista: Os OSPOs podem ajudar organizações a apoiar e sustentar projetos Open Source a longo prazo, abordando questões como segurança, manutenção e integridade do projeto. Isso pode ajudar a garantir que os projetos Open Source permaneçam saudáveis a longo prazo e continuem a beneficiar a comunidade em geral.

Atua como um Guardião: Os OSPOs podem ajudar a aplicar políticas Open Source e fortalecer a governança do Open Source. Isso pode ajudar as organizações a garantir a conformidade e mitigar os riscos de segurança do Open Source.

Como um passo intermediário para um modelo de gerenciamento Open Source descentralizado

Os OSPOs ajudam a gerenciar o Open Source como uma atividade contínua e trabalham para integrá-lo bem a todas as unidades da organização. Algumas organizações estão indo um passo além para assumir a propriedade total do gerenciamento de Open Source em suas estruturas e funções regulares. Há uma questão em aberto sobre se o OSPO se tornaria um passo intermediário para alcançar esse objetivo.

A resposta depende de como você enxerga o OSPO. Além das múltiplas estruturas diferentes que um OSPO pode ter, ele é fundamentalmente sobre suas pessoas. Um OSPO é um grupo de especialistas em Open Source que fornecem suporte, conhecimento e gerenciamento relacionados a todas as atividades de Open Source. Essas pessoas devem ser não apenas retidas, mas também reforçadas e financiadas de forma eficaz para o futuro, visto que uma maior integração de Open Source é inevitável.

Em um cenário ideal, o conhecimento, a expertise técnica e a cultura Open Source deveriam ser integrados como qualquer outra habilidade de um funcionário. No entanto, a realidade é que isso ainda está longe de acontecer. Atualmente, é difícil encontrar especialistas em Open Source que consigam efetivamente preencher a lacuna entre as comunidades Open Source e unidades de trabalho específicas (por exemplo: segurança, jurídico e negócios), e muito menos pessoas suficientes para alocar em todas as áreas da empresa.

No entanto, o que pode mudar nos próximos anos é a visão centralizada do OSPO. Essa percepção tradicional pode diminuir, levando a estruturas mais descentralizadas entre equipes e unidades de negócios.

Aplicando Isso À Sua Organização

Avalie o valor do uso de Open Source

As organizações podem subestimar o quanto já dependem do uso de Open Source. Diversos estudos analisam o uso de software livre (OSS) na indústria. Por exemplo, o Relatório de Análise de Risco e Segurança Open Source da Synopsys 2024 constata que um projeto de software médio consiste em 77% de OSS.

Além disso, um estudo da Harvard Business School estima-se que o valor do lado da oferta de OSS amplamente utilizado seja de US$ 4,15 bilhões, enquanto o valor do lado da demanda é muito maior, de US$ 8,8 trilhões.

Além disso, um estudo do OpenForum Europe estima que o OSS contribui entre € 65 e € 95 bilhões para o PIB da União Europeia e promete oportunidades de crescimento significativas para a economia digital da região.

Avalie esse valor para sua própria organização tomando medidas como:

Coletando informações sobre qual OSS é usado por suas equipes de desenvolvimento e operações.
Obtendo uma visão clara dos componentes Open Source presentes no software comercial que você compra ou nos serviços que utiliza.
Solicite aos fornecedores informações sobre qual OSS eles utilizam, por exemplo, solicitando um Software Bill of Materials (SBOMs).
Avaliando a economia de custos do uso atual de Open Source, avaliando quanto custaria se você tivesse que substituí-lo por alternativas comerciais.
Avaliando como o uso de componentes Open Source existentes pode aumentar a velocidade da inovação ou a agilidade da engenharia.

Considere que valor seu OSPO pode trazer no futuro

O valor de um OSPO para a sua organização pode aumentar ao longo do tempo, à medida que a estratégia e os objetivos da organização mudam. O OSPO deve revisar regularmente seu valor para a organização e planejar aumentar seu nível de maturidade, se necessário.

Mais informações sobre a maturidade do OSPO estão disponíveis no Capítulo 3, onde o tópico Modelos de Maturidade é introduzido.

Comunique-se com as partes interessadas

Ao comunicar o valor do seu OSPO para a sua organização, o melhor caminho a seguir é apresentar as 2 ou 3 principais áreas de valor que estão mais claramente alinhadas à estratégia organizacional.

Pode haver muitas outras áreas em que o OSPO agrega valor, mas pesquisas mostram que uma longa lista de benefícios pode enfraquecer o caso de negócios em vez de fortalecê-lo (você pode pesquisar por “Efeito do Argumento Fraco” online para obter mais informações).

Elabore uma proposta de valor concisa, clara e convincente que seja relevante e use-a como âncora para apresentar o OSPO em todas as situações.

Não confie em argumentos genéricos de “boas práticas”. Embora possam ser baseados na verdade, geralmente não são muito convincentes e não ajudam a construir uma forte adesão em toda a organização.

Não confie no valor do seu OSPO atendendo a necessidades futuras especulativas. É ótimo estar preparado, mas, a menos que haja uma iniciativa clara prestes a ser lançada e com a qual seu OSPO possa ajudar, é melhor focar no valor que você pode entregar aqui e agora.

Exemplos do Valor do OSPO

Para ilustrar como seu OSPO pode agregar valor à sua organização, alguns exemplos de histórias podem ser uma ótima maneira de gerar adesão. Aqui estão dois exemplos em que um OSPO pode ser de vital importância:

Gerenciando uma vulnerabilidade na cadeia de suprimentos de software

Por exemplo: um ataque de engenharia social teve como alvo o xz/liblzma, uma biblioteca essencial Open Source. O ataque foi meticulosamente planejado, conquistando a confiança da comunidade antes de executar um ataque malicioso. Este incidente foi descoberto inadvertidamente por um projeto não relacionado, ressaltando a sofisticação e a furtividade dessas vulnerabilidades.

O desafio para as OSPOs reside em identificar e mitigar essas vulnerabilidades, que nem sempre são aparentes até que ocorram. Apesar dos procedimentos e políticas existentes, as OSPOs reconhecem a necessidade de mecanismos para mensurar e responder proativamente a tais ameaças.

Como o OSPO ajuda

Pronto para conformidade com SBOMs: Garanta que todos os componentes de software sejam documentados por meio de Listas de Materiais de Software (SBOMs) geradas automaticamente. Essa documentação ajuda a identificar rapidamente componentes potencialmente comprometidos assim que uma vulnerabilidade é descoberta.
Verificações de segurança automatizadas: Implementar verificações de segurança automatizadas, como o OpenSSF Scorecard, para avaliar continuamente a postura de segurança dos projetos. Essa medida proativa pode destacar vulnerabilidades ou anomalias que merecem investigação mais aprofundada.
Ter uma Equipe de Resposta a Emergências de Computador (CERT) dentro da organização e com a colaboração estreita do OSPO. Essa equipe especializada deve estar equipada com as ferramentas e a autoridade para responder rapidamente a incidentes de segurança. Relacionamentos pré-existentes dentro da equipe facilitam a comunicação interna rápida sobre a gravidade dos incidentes.
Gerenciamento de Scorecards: Mantenha os scorecards de segurança e vulnerabilidades atualizados. Esses scorecards devem refletir as verificações e avaliações de segurança mais recentes, auxiliando na tomada de decisões rápidas durante uma crise.
Loops de feedback automatizados: Desenvolva ciclos de feedback bem automatizados para reportar e corrigir bugs. Saber quem é responsável por corrigir um bug específico e garantir que esse processo seja o mais automatizado possível pode reduzir significativamente o tempo de resposta.

Gerenciando uma mudança de licença na cadeia de suprimentos de software

Os OSPOs enfrentam o desafio de navegar pelas mudanças de licença e avaliar a confiabilidade do software. Quando projetos como o Redis mudam seus termos, isso pode ter implicações significativas para o uso, a distribuição e a contribuição.

Os OSPOs precisam comunicar essas mudanças com clareza e compreender as funções e responsabilidades ditadas pelos novos termos de licença.

Além disso, os OSPOs têm a tarefa de avaliar a confiabilidade do software, que pode variar dependendo se o projeto é mantido por um único fornecedor ou hospedado por uma fundação. Por exemplo, a AlmaLinux OS Foundation apresenta um caso em que a doação de um projeto a uma fundação mitigou os riscos associados à governança de fornecedor único, aumentando assim a confiança no projeto.

Como o OSPO ajuda

Iniciativas educacionais sobre implicações de licenças: Desenvolver materiais e sessões educacionais para desenvolvedores e usuários da organização, a fim de compreender as nuances das diferentes licenças. Essa compreensão os ajudará a tomar decisões informadas ao usar ou contribuir para projetos Open Source.
Termos explícitos da licença: Trabalhe com as equipes jurídicas para garantir que os termos da licença sejam o mais explícitos e inequívocos possível. Termos claros ajudam a evitar mal-entendidos e potenciais conflitos jurídicos.
Sistema de classificação de confiança de software: Implemente um sistema para avaliar e classificar a confiabilidade do software, considerando fatores como estrutura de governança, práticas de manutenção e engajamento da comunidade. Projetos hospedados em fundações respeitáveis podem receber classificações mais altas em termos de confiabilidade devido à supervisão e governança fornecidas.
Incentivar projetos hospedados pela fundação: Promova a doação de projetos a fundações para mitigar os riscos associados ao controle de fornecedor único. Destaque casos de sucesso como o da AlmaLinux para ilustrar os benefícios dessa abordagem, como o aumento da confiança e do apoio da comunidade.
Envolvimento das partes interessadas nas decisões de licenciamento: Envolva uma ampla gama de stakeholders, incluindo desenvolvedores, consultores jurídicos e usuários finais, em discussões sobre alterações de licenças ou a adoção de novos projetos. Seus insights podem auxiliar na tomada de decisões equilibradas e alinhadas aos valores e à tolerância a riscos da organização.

Possíveis Problemas e Como Superá-los

Nesta seção, você encontrará uma série de cenários reais encontrados na gestão Open Source em diversas organizações. Para cada cenário, você encontrará recomendações de experiências reais de profissionais Open Source.

Problema: Há uma falta de compreensão sobre práticas Open Source em toda a organização

Recomendação

Pode ser difícil demonstrar o valor do OSPO se houver pouca compreensão do Open Source na organização. Concentrar-se em falar sobre suas principais áreas de valor e usar o poder das histórias ajudará você a construir rapidamente o entendimento na organização.

Compartilhar histórias reais sobre como sua organização está usando Open Source e contar histórias de advertência sobre ocasiões em que um OSPO salvou uma organização de um risco pode ajudar a educar as pessoas por meio de narrativas facilmente reproduzíveis.

Com o passar do tempo, você pode começar a promover uma melhor compreensão organizacional das práticas Open Source, oferecendo workshops educacionais, criando recursos acessíveis e estabelecendo defensores do Open Source em diferentes departamentos para fomentar uma cultura de alfabetização em Open Source.

Problema: O valor do OSPO é visto como um lucro de vendas ou ferramenta de marketing

Recomendação

Como o OSPO tem o papel de dar suporte aos relacionamentos com comunidades e parceiros Open Source, pode ser natural que as equipes de vendas e marketing vejam algum valor para eles nesse envolvimento.

Como OSPO, você só pode cumprir suas responsabilidades construindo confiança com terceiros ao longo do tempo. Estabeleça limites com vendas e marketing e diga “não” a coisas que possam prejudicar sua reputação no ecossistema. Trabalhe para construir um entendimento interno do OSPO como parte integrante da estratégia digital, de software ou de TI da organização e destaque trabalhos que promovam as melhores práticas Open Source, contribuam para a inovação tecnológica e apoiem os objetivos gerais da organização.

Problema: O valor do OSPO é visto como secundário ou discricionário, e não como crítico para as funções principais da organização

Recomendação

A causa desse problema é que o OSPO não está alinhado com as necessidades da organização ou não comunica bem seu valor. Analise o valor do OSPO e planeje suas comunicações para destacar como ele aprimora os principais processos de negócios, impulsiona a inovação e apoia diretamente os objetivos estratégicos, integrando-o como um componente essencial da estrutura operacional da organização.

Problema: A OSPO luta para obter apoio e adesão do executivo

Recomendação

Executivos exigem um tipo específico de comunicação. Eles precisam ter uma visão clara do papel e do valor que cada parte da organização agrega.

Se a mensagem for muito detalhada ou vaga, ou se o assunto for muito especializado, eles podem ter dificuldade em “entendê-la”. Como OSPO, você precisa comunicar o valor estratégico do Open Source e do trabalho que o OSPO realiza para gerenciá-lo.

Apresentar benefícios visíveis por meio de estudos de caso, histórias de sucesso ou relatórios numéricos pode ajudar a destacar a mensagem com uma apresentação clara e simples que demonstre que as iniciativas do OSPO estão atendendo às principais prioridades organizacionais.

Recursos e Notas de Rodapé

Recursos

Notas de Rodapé

Last modified October 25, 2025: docs(i18n): ospo-book pt-br chapter 02 (e758876)