多年來(lái),,全球的安全、開(kāi)發(fā)和法務(wù)團(tuán)隊(duì)一直依靠 Black Duck(隸屬于新思科技)管理使用開(kāi)源軟件帶來(lái)的風(fēng)險(xiǎn),?;?Black Duck 知識(shí)庫(kù),?,, Black Duck 軟件組成分析解決方案和開(kāi)源審計(jì)為企業(yè)提供必要的洞見(jiàn),,用于跟蹤代碼中的開(kāi)源,、降低安全性和許可合規(guī)性風(fēng)險(xiǎn),。奧林巴斯軟件技術(shù)公司是Black Duck其中一位用戶,。
概述
奧林巴斯軟件技術(shù)公司(O-Soft)是奧林巴斯公司的一個(gè)部門(mén),,為各種奧林巴斯產(chǎn)品開(kāi)發(fā)軟件,包括醫(yī)療和工業(yè)設(shè)備以及數(shù)碼相機(jī)軟件,。該公司的使命是通過(guò)加強(qiáng)軟件開(kāi)發(fā)來(lái)提升奧林巴斯產(chǎn)品的價(jià)值,。
O-Soft軟件戰(zhàn)略辦公室首席工程師Nobuko Hattori 指出:“嵌入式軟件正在成為我們產(chǎn)品中更重要的元素。軟件越來(lái)越多地控制產(chǎn)品功能,、質(zhì)量和可用性,。”
O-Soft開(kāi)發(fā)人員使用多種類軟件,,包括專有軟件和開(kāi)源軟件(OSS),,這也給治理帶來(lái)挑戰(zhàn),尤其是與OSS許可相關(guān)的問(wèn)題,。
挑戰(zhàn):獲得在公司范圍使用開(kāi)源的政策支持
O-Soft高管采取積極主動(dòng)的方法來(lái)解決OSS治理挑戰(zhàn),。他們意識(shí)到,更好地了解公司軟件代碼庫(kù)的元素至關(guān)重要,。雖然他們了解開(kāi)發(fā)人員使用開(kāi)源組件的好處,,但他們也知道這也會(huì)帶來(lái)治理難題。他們的目標(biāo)是開(kāi)源代碼管理自動(dòng)化,,從開(kāi)始使用開(kāi)源代碼,,到整個(gè)開(kāi)發(fā)過(guò)程以及在供應(yīng)鏈中。這將有助于公司能夠系統(tǒng)地控制開(kāi)源成功地集成到軟件的開(kāi)發(fā)和部署中,。
實(shí)現(xiàn)這種自動(dòng)化水平使公司能夠避免無(wú)意中發(fā)送包含未知OSS代碼的產(chǎn)品,,同時(shí)避免許可違規(guī)帶來(lái)的潛在法律風(fēng)險(xiǎn)??紤]到這一點(diǎn),,該部門(mén)著手制定一項(xiàng)合規(guī)政策,以便在母公司以及分部?jī)?nèi)部實(shí)施,。
首先,,他們建立了一個(gè)OSS委員會(huì),研究和制定全面的開(kāi)源合規(guī)管理政策,。該委員會(huì)由奧林巴斯質(zhì)量與環(huán)境部門(mén)領(lǐng)導(dǎo),,其成員包括法律、知識(shí)產(chǎn)權(quán),、IT和研發(fā)部門(mén)的代表。每個(gè)業(yè)務(wù)部門(mén)的軟件開(kāi)發(fā)人員也參與了制定政策的工作,。 Nobuko Hattori致力于提高OSS許可證使用和重用的合規(guī)性,,而無(wú)需對(duì)產(chǎn)品團(tuán)隊(duì)的各個(gè)軟件開(kāi)發(fā)流程進(jìn)行大幅更改。風(fēng)險(xiǎn)等級(jí)因產(chǎn)品而異,,因此OSS委員會(huì)制定了單獨(dú)的OSS使用指南,,以應(yīng)用于每種產(chǎn)品,。
委員會(huì)面臨的一個(gè)挑戰(zhàn)是確保開(kāi)發(fā)人員和其他員工遵守新準(zhǔn)則。他們還必須確定如何將公司政策整合到各個(gè)產(chǎn)品組的開(kāi)發(fā)流程中,、為代碼掃描選擇可靠的工具和解決方案,,并持續(xù)使用OSS實(shí)現(xiàn)敏捷軟件開(kāi)發(fā)。
O-Soft技術(shù)開(kāi)發(fā)部門(mén)的部門(mén)經(jīng)理和技術(shù)官員Koji Asari解釋道:“我們很快就會(huì)明白,,整個(gè)公司都需要積極推動(dòng)政策合規(guī)性,。”
Koji Asari補(bǔ)充說(shuō):“即使我們制定了官方政策,,很明顯我們?nèi)匀恍枰屗欣嫦嚓P(guān)者了解軟件開(kāi)發(fā)中OSS許可證合規(guī)性的重要性,。但并非所有這些利益相關(guān)者都是軟件專家,他們不一定了解OSS,。讓利益相關(guān)者了解這些問(wèn)題需要花費(fèi)大量精力和時(shí)間,。”
自動(dòng)化工具簡(jiǎn)化了OSS治理,,促進(jìn)政策實(shí)施
作為新的OSS使用政策的一部分,,O-Soft官員部署了Black Duck解決方案進(jìn)行開(kāi)源合規(guī)管理。Black Duck軟件公司隸屬于新思科技,。
使用Black Duck Hub可以開(kāi)展下述工作:
確定正在使用中的特定開(kāi)源組件以及依賴關(guān)系
自動(dòng)將已知漏洞映射到正在使用的開(kāi)源軟件中
評(píng)估安全風(fēng)險(xiǎn)并對(duì)漏洞進(jìn)行分類
落實(shí)安全性及許可證政策,,管理風(fēng)險(xiǎn)敞口
安排和跟蹤修復(fù)措施
識(shí)別開(kāi)源許可證并跟蹤社區(qū)活動(dòng)
Nobuko Hattori解釋說(shuō):“Black Duck在業(yè)界享有盛譽(yù)。由于公司必須處理的代碼量很龐大,,我們需要一個(gè)自動(dòng)化解決方案,。”
Black Duck通過(guò)與其它現(xiàn)有開(kāi)發(fā)工具集成,,自動(dòng)掃描,,發(fā)現(xiàn)并識(shí)別軟件代碼的來(lái)源。從Black Duck掃描中獲得的有價(jià)值的信息可以幫助委員會(huì)從公司利益相關(guān)者那里獲得支持,。
她補(bǔ)充道:“委員會(huì)的部分成員成為了積極的倡導(dǎo)者,,在他們的支持下,我們?cè)谕苿?dòng)開(kāi)發(fā)人員采用新政策方面取得了關(guān)鍵進(jìn)展,?!?/p>
她說(shuō):“我們有很多海外子公司,因此很難知道軟件的開(kāi)發(fā)地點(diǎn)以及是否包含OSS,。得益于Black Duck解決方案,,我們可以更輕松判斷出使用非預(yù)期OSS的位置。許可證侵權(quán)的風(fēng)險(xiǎn)已大幅降低,?!?/p>
現(xiàn)在O-Soft的產(chǎn)品在交付前都需要進(jìn)行Black Duck掃描。
知識(shí)共享方式可確保開(kāi)發(fā)人員了解使用策略
每個(gè)產(chǎn)品系列中的軟件開(kāi)發(fā)都遵循不同的標(biāo)準(zhǔn),。因此,,每個(gè)組的OSS使用指南是定制的,,以反映這些標(biāo)準(zhǔn)要求,例如任命一個(gè)人負(fù)責(zé)OSS監(jiān)督,,檢查外包軟件是否存在非預(yù)期的OSS等,。為了便于在內(nèi)部共享這些標(biāo)準(zhǔn),O-Soft創(chuàng)建了一個(gè)名為OSS Knowledge Site的企業(yè)知識(shí)數(shù)據(jù)庫(kù),。該站點(diǎn)包括用于OSS使用指南內(nèi)部教育的報(bào)告格式,、指南、模板和材料,。
OSS Knowledge Site企業(yè)知識(shí)數(shù)據(jù)庫(kù)允許奧林巴斯的開(kāi)發(fā)人員訪問(wèn),,提供有關(guān)企業(yè)OSS使用的許可信息、用例和解決方案信息,。該公司還提供培訓(xùn)材料,,以促進(jìn)海外子公司采用新政策。
培訓(xùn)和教育是促成合規(guī)的關(guān)鍵
O-Soft對(duì)開(kāi)發(fā)OSS使用策略的公司的建議是從小規(guī)模開(kāi)始著手,,再逐步擴(kuò)展整個(gè)公司的合規(guī)性,。Koji Asari和Nobuko Hattori提出,培訓(xùn)和教育也很關(guān)鍵,。
Nobuko Hattori總結(jié)道:“理解每個(gè)團(tuán)隊(duì)的職能并采取切實(shí)的方法非常重要,。例如,銷售人員和不熟悉軟件的人可能甚至不知道開(kāi)源是什么,,因此必須對(duì)其進(jìn)行解釋,。同樣重要的是不要只是強(qiáng)調(diào)風(fēng)險(xiǎn),因?yàn)檫@可能會(huì)阻礙OSS的使用,。雖然開(kāi)發(fā)人員的支持至關(guān)重要,,但如果還可以將市場(chǎng)營(yíng)銷、銷售和呼叫中心代理的工作人員都納入培訓(xùn)活動(dòng),,這可以推動(dòng)OSS治理,。”