Open-Source-Compliance und Governance

Die Nutzung von Open-Source-Software ist in den letzten Jahren weltweit signifikant gestiegen, da sie die Kosten senkt, die Agilität fördert und einen Wettbewerbsvorteil bringt. In einer Gartner-Studie vom Februar 2015 gaben 99 Prozent der teilnehmenden Organisationen an, dass sie Open Source verwenden.

Das Wachstum der Open-Source-Nutzung erhöht die Komplexität des Codes. Deshalb ist es wichtiger denn je sicherzustellen, dass genehmigter und unterstützter Code verwendet wird. In der oben genannten Gartner-Studie vom Februar 2015 setzte jedoch nur ein Drittel der Teilnehmer eine Richtlinie zur Regelung der Nutzung und des Kaufs von Open-Source ein.

Warum Open-Source-Governance und Compliance kritisch sind

Wenn es keine effektive Open-Source-Governance gibt, entstehen für Organisationen rechtliche und geschäftliche Risiken. Es kann nämlich sein, dass der Code bekannte Sicherheitslücken enthält, nicht angemessen lizenziert ist, Fehler umfasst, deren Behebung teuer und zeitaufwendig ist, oder gegen Unternehmensrichtlinien verstößt.

Um diese Risiken zu vermeiden, müssen Organisationen Richtlinien und Verfahren auf Grundlage von Best Practices entwickeln, Governance-Programme zur Durchsetzung dieser Richtlinien erstellen und anschließend die Verwaltung der Nutzung von Open-Source-Komponenten automatisieren.

Ein umfassender Ansatz für Open-Source-Governance und Compliance

Führende Organisationen setzen in jeder Phase des Entwicklungslebenszyklus effektive Richtlinien für die Verwaltung von Open-Source ein.

Auswahl

Es ist von entscheidender Bedeutung, dass Sie den besten und sichersten Open-Source-Code für Ihre Anforderungen auswählen. Da Sie jedoch die Wahl aus mehr als einer Million Open-Source-Projekten haben, ist diese Entscheidung weder schnell noch einfach.

Black Duck® Protex™ und Code Center™, die auf der Black Duck KnowledgeBase™ aufbauen, können Ihnen dabei helfen.
Die KnowledgeBase ist die weltweit größte Datenbank für Informationen zu Open-Source-Projekten. Für die kontinuierliche Erfassung von Daten wird auf ein umfassendes Open-Source-Ökosystem zurückgegriffen:

  • mehr als eine Million Projekte
  • 7.500 Websites
  • über 2.300 einzigartige Softwarelizenzen

In Kombination mit der KnowledgeBase bietet Black Duck Open Hub Informationen und Analysen zu mehr als 660.000 Projekten. Als Ressource für die Suche und Evaluierung von Open-Source-Code ist der Open Hub ein wichtiges Bindeglied zwischen mehr als 500.000 Open-Source-Entwicklern und Millionen von Organisationen, die Open Source jeden Tag einsetzen.

Scan von Open Source

Für eine angemessene Verwaltung – und Optimierung – der Verwendung und Wiederverwendung von Open Source ist es entscheidend, genau zu bestimmen, welcher Open-Source-Code zu Ihrer Codebasis gehört. Außerdem müssen Sie gewährleisten, dass die Anforderungen von Codelizenzen und Unternehmensrichtlinien eingehalten werden. Dies ist ein unerlässlicher Schritt zur Reduzierung der Geschäftsrisiken.

Egal, ob Sie sich auf den zeit- und budgetgerechten Abschluss Ihrer Softwareprojekte konzentrieren, potenzielle Übernahmen oder Veräußerungen evaluieren, Verpflichtungen hinsichtlich der Versorgungskette überprüfen oder interne Anforderungen an die Einhaltung von Open-Source-Lizenzanforderungen erfüllen möchten – eine automatisierte Methode für die Untersuchung Ihres Open-Source-Codes stellt die beste Möglichkeit für folgende Faktoren dar:

  • Ermittlung und Verständnis der Herkunft des Codes
  • Identifikation von Lizenzen und Gewährleistung der Einhaltung von Lizenzanforderungen zur Reduzierung der Geschäftsrisiken
  • Eliminierung von zeitaufwendigen und unvollständigen manuellen Maßnahmen
  • Verbesserung des Überblicks und der Kontrolle über den verwendeten Open-Source-Code und den Standort des Codes.

Black Duck® Protex™ kann mit bestehenden Entwicklungstools integriert werden, um zur Reduzierung der Geschäftsrisiken Ihre Open-Source automatisch zu scannen und die Softwareherkunft zu identifizieren. Die Express-Scan-Funktion liefert Entwicklern einen groben Überblick über Ihre Codebasis in 80 Prozent der Zeit, die Branchennormen für das Scannen von Open-Source-Code vorschreiben.

Darüber hinaus bieten unsere Black Duck On-Demand-Audit Services eine schnelle und kosteneffiziente Möglichkeit, Open Source zu identifizieren und die Qualität des Open-Source-Codes in Ihrer Organisation zu bewerten, damit Sie strategische Geschäftsentscheidungen treffen können. Durch das Scannen Ihrer Open-Source-Lösungen können wir Ihnen helfen, angemessene Compliance-Vorschriften einzuführen.

Genehmigung

Mit einem automatisierten Genehmigungsprozess wissen Entwickler sofort, welcher Code für die Verwendung und Wiedergenehmigung freigegeben wurde. Dies hilft Entwicklern, hochwertige Software schnell zu erstellen und potenzielle rechtliche, operative und sicherheitsrelevante Risiken zu vermeiden.

Ein optimierter Genehmigungsprozess erhöht die Geschwindigkeit und die Verantwortlichkeit und reduziert gleichzeitig Blockaden und Engpässe. Mit dem Black Duck® Code Center™ können Sie:

  • Unsicherheit eliminieren und die Wiederverwendung fördern
  • die Identifizierung von Softwarekomponenten beschleunigen
  • Risiken reduzieren, ohne die Entwicklung zu verlangsamen
  • nahtlos zusammenarbeiten

Inventarisierung

Es ist wichtig zu wissen, welcher Code in Ihrer Organisation verwendet wird und genehmigt ist. Dies reicht jedoch nicht aus. Damit Ihre Entwickler den innovativsten, sichersten Code schreiben und gleichzeitig die Markteinführung beschleunigen können, benötigen Sie einen intelligenten Codekatalog. Dieser Katalog wird automatisch aktualisiert, erstellt und mit der weltweit größten Datenbank für Informationen zu Open-Source-Projekten integriert. Außerdem wird er im Laufe der Verwendung durch Ihre Entwicklung immer intelligenter.

Black Duck® Protex™ umfasst Rapid ID™, eine Komponente, die die Erkennung und Identifikation von Open Source in Ihrer Codebasis automatisiert. Unter Verwendung mehrerer Analyseverfahren sucht Rapid ID automatisch Open-Source-Code. Dank seiner Fähigkeit, Zusammengehörigkeiten zu lernen, wird Ihre interne Expertise schnell und einfach erfasst, um Ihren Katalog intelligenter zu machen und die Arbeit Ihrer Entwickler zu erleichtern.

Black Duck® Code Center™ automatisiert wichtige Governance-Prozesse und ermöglicht Ihnen, Open-Source-Code zu suchen und auszuwählen, Komponenten zur Wiederverwendung und Standardisierung zu katalogisieren und einen beispiellosen Überblick über die Verfügbarkeit und Erwünschtheit von Komponenten zu erhalten. Durch die Automatisierung dieser Prozesse können Mitarbeiter in Ihrer Organisation bei der Steuerung der Richtlinien für die Softwareentwicklung eng zusammenarbeiten.

Bereitstellung

Mit dem Ansatz von Black Duck erhalten Sie Gewissheit hinsichtlich der Produkte und des Codes, die bzw. den Sie in der gesamten Versorgungskette und für Endbenutzer bereitstellen.  Wie? Wir liefern einen Bericht zu den Lizenzverpflichtungen, einschließlich einer einfach verständlichen Stückliste, den Sie an Ihre Kunden und/oder internen Interessengruppen weiterleiten können.

Dokumentation und Weiterleitung

Da Black Duck den Standard Software Package Data Exchange® (SPDX) unterstützt, werden der offene Austausch von Lizenzinformationen erleichtert und die Zusammenarbeit in der Versorgungskette optimiert. Der SPDX-Standard, der Open-Source-Inhalte, Lizenzen und Urheberrechte in Verbindung mit Softwarepaketen kommuniziert, ist von entscheidender Bedeutung, da er es Entwicklungsorganisationen ermöglicht, die Anforderungen von Softwarelizenzen einfacher einzuhalten.