开源合规和管理

最近几年,由于开源软件可降低成本,提高灵活性,并且推动竞争优势,开源软件在全球范围内的应用显著增加。在 2015 年 2 月进行的一次高德纳调查中,99% 的响应机构报告说它们正在使用开源软件。

开源软件应用的增长更加加大了代码的复杂性,因此,确保使用经过批准且得到支持的代码,也比以往更为重要。然而,在同一个 2015 年 2 月的高德纳调查中,只有 1/3 的响应者拥有现成的政策来管理开源软件的使用和购买。

为何开源软件的管理和合规至关重要

缺乏有效的开源管理会致使机构暴露于由于未经适当许可的代码中包含已知安全漏洞而导致的法律和业务风险;包括各种缺陷,可能需要花费大量成本和时间来修复,否则无法满足公司的政策要求。

为了避免这些风险,各组织机构必须基于最佳实践制定各种政策和程序,确立管理计划,执行这些政策,然后将开源组件使用管理自动化。

一个全面的开源管理与合规方法

领先的组织机构在开发生命周期流程中每个阶段都会拥有高效的开源管理政策:

选择

选择最好的、最安全的开源代码用于您的需求,这一点至关重要;但是,如果要从超过 100 万个开源项目中进行选择,这就有点困难,并且比较费时。

在这方面,基于Black Duck KnowledgeBase™而建立的 Black Duck®  Protex™和Code Center™可轻松为您排忧解难。

此知识库为全球最全面的开源项目信息数据库,并且通过不断追踪以下资源持续从大量开源生态系统中收集各种数据:

  • 超过 100 万个项目
  • 来自 7,500 个网站
  • 超过 2,300 个独一无二的软件许可

结合该知识库,Black Duck Open Hub 可提供超过 660,000 个项目的详细信息和具体分析。作为查找和评估开源代码的资源之一,Open Hub 在超过 500,000 开源代码开发人员和每天都在使用开源代码的数以百万计的机构之间保持着至关重要的联系。

识别您的代码库中到底有哪些开源代码,对于开源代码的管理、优化、使用和再利用来说,至关重要。同样重要的是,确保与代码许可证以及公司政策要求的许可合规,这是在降低业务风险过程中非常重要的一步。

无论您是希望努力按时按预算完成您的软件项目,评估潜在的收购交易或资产剥离,审查供应链的工作,还是满足内部开源许可合规要求,使用自动化方法扫描您的开源代码都是一个最佳的方式,其可:

  • 识别并了解代码来源
  • 识别各个许可证并确保许可合规,以降低业务风险
  • 消除耗时巨大且不完全的手动工作
  • 提高对使用中的开源代码及其位置的可见性以及控制。

Black Duck® Protex™可集成现有的开发工具,自动扫描您的开源代码,并且识别软件来源,以降低业务风险。快速扫描功能可为开发人员提供您代码库的高水平快照,并且,相比行业开源代码扫描标准,可节省多达 80% 的时间。

此外,我们的黑鸭按需定制审计服务可提供快速、低本高效的方法,以识别开源代码,并且评估您机构中的开源代码质量,让您能够作出战略性的业务决策。通过扫描您的开源代码,我们能够帮助您确保实施适当的合规要求。

批准

通过自动化审批流程,开发人员可立即了解哪些代码已经过批准使用和再利用,从而帮助他们以更快速度开发更高质量的软件,并且帮助避免潜在的法律、运营和安全风险。

简化的审批流程可提高速度和可靠性,同时减少障碍和瓶颈。在Black Duck® Code Center™ 的帮助下,您将可以:

  • 消除不确定性并提高再利用率
  • 加快软件组件的识别
  • 缓解风险,同时不会导致开发速度减慢
  • 无缝协作

清单目录

了解您的机构中正在使用和批准了哪些代码非常重要,但是,这还远远不够。为了确保您的开发人员可以编写最具创意、安全性的代码,同时加快上市时间,您需要一个智能的代码目录。一个可以自动更新、创建并且和全球最全面的开源项目信息数据库整合的代码目录,并且会随着您的开发人员的使用而变得更加智能化。

Black Duck® Protex™ 拥有 Rapid ID™ 功能,其可自动发现并识别您代码库中的开源代码。通过使用多种分析技术,Rapid ID 可自动发现开源代码;并且,其“已知匹配”能力可快速并轻易捕获您的内部专业知识,让您的目录更智能,并且让您的开发人员工作更轻松。

Black Duck® Code Center™ 可将主要管理流程自动化,让您搜索并选择开源代码、目录组件,以进行再利用和标准化处理,并且在组件可用性和合意性方面获得无以伦比的可见性。通过这些流程的自动化,您的组织机构可进行无缝协作,同时管理好软件开发政策。

交付

黑鸭的方法可帮助您在整个供应链到终端用户之间交付您的产品和代码时保持满满的自信。具体措施我们可提供一份许可义务报告,包括一份易消耗的材料清单(BOM),以供您交付给您的客户及/或内部利益相关方。

文件和分享

黑鸭对 Software Package Data Exchange® (SPDX) 标准的支持可促进许可信息的开放交流,并简化供应链协作。SPDX 标准可进行关于软件包的开源内容、许可和版权等信息的通讯,这是至关重要的方面,可确保开发机构更轻松履行软件许可义务。