多年來,,全球的安全、開發(fā)和法務團隊一直依靠 Black Duck(隸屬于新思科技)管理使用開源軟件帶來的風險,?;?Black Duck 知識庫?,, Black Duck 軟件組成分析解決方案和開源審計為企業(yè)提供必要的洞見,,用于跟蹤代碼中的開源、降低安全性和許可合規(guī)性風險,。奧林巴斯軟件技術公司是Black Duck其中一位用戶,。
概述
奧林巴斯軟件技術公司(O-Soft)是奧林巴斯公司的一個部門,為各種奧林巴斯產(chǎn)品開發(fā)軟件,,包括醫(yī)療和工業(yè)設備以及數(shù)碼相機軟件,。該公司的使命是通過加強軟件開發(fā)來提升奧林巴斯產(chǎn)品的價值,。
O-Soft軟件戰(zhàn)略辦公室首席工程師Nobuko Hattori 指出:“嵌入式軟件正在成為我們產(chǎn)品中更重要的元素。軟件越來越多地控制產(chǎn)品功能,、質量和可用性,。”
O-Soft開發(fā)人員使用多種類軟件,,包括專有軟件和開源軟件(OSS),,這也給治理帶來挑戰(zhàn),尤其是與OSS許可相關的問題,。
挑戰(zhàn):獲得在公司范圍使用開源的政策支持
O-Soft高管采取積極主動的方法來解決OSS治理挑戰(zhàn),。他們意識到,更好地了解公司軟件代碼庫的元素至關重要,。雖然他們了解開發(fā)人員使用開源組件的好處,,但他們也知道這也會帶來治理難題。他們的目標是開源代碼管理自動化,,從開始使用開源代碼,,到整個開發(fā)過程以及在供應鏈中。這將有助于公司能夠系統(tǒng)地控制開源成功地集成到軟件的開發(fā)和部署中,。
實現(xiàn)這種自動化水平使公司能夠避免無意中發(fā)送包含未知OSS代碼的產(chǎn)品,,同時避免許可違規(guī)帶來的潛在法律風險??紤]到這一點,該部門著手制定一項合規(guī)政策,,以便在母公司以及分部內部實施,。
首先,他們建立了一個OSS委員會,,研究和制定全面的開源合規(guī)管理政策,。該委員會由奧林巴斯質量與環(huán)境部門領導,其成員包括法律,、知識產(chǎn)權,、IT和研發(fā)部門的代表。每個業(yè)務部門的軟件開發(fā)人員也參與了制定政策的工作,。 Nobuko Hattori致力于提高OSS許可證使用和重用的合規(guī)性,,而無需對產(chǎn)品團隊的各個軟件開發(fā)流程進行大幅更改。風險等級因產(chǎn)品而異,,因此OSS委員會制定了單獨的OSS使用指南,,以應用于每種產(chǎn)品。
委員會面臨的一個挑戰(zhàn)是確保開發(fā)人員和其他員工遵守新準則,。他們還必須確定如何將公司政策整合到各個產(chǎn)品組的開發(fā)流程中,、為代碼掃描選擇可靠的工具和解決方案,,并持續(xù)使用OSS實現(xiàn)敏捷軟件開發(fā)。
O-Soft技術開發(fā)部門的部門經(jīng)理和技術官員Koji Asari解釋道:“我們很快就會明白,,整個公司都需要積極推動政策合規(guī)性,。”
Koji Asari補充說:“即使我們制定了官方政策,,很明顯我們仍然需要讓所有利益相關者了解軟件開發(fā)中OSS許可證合規(guī)性的重要性,。但并非所有這些利益相關者都是軟件專家,他們不一定了解OSS,。讓利益相關者了解這些問題需要花費大量精力和時間,。”
自動化工具簡化了OSS治理,,促進政策實施
作為新的OSS使用政策的一部分,,O-Soft官員部署了Black Duck解決方案進行開源合規(guī)管理。Black Duck軟件公司隸屬于新思科技,。
使用Black Duck Hub可以開展下述工作:
確定正在使用中的特定開源組件以及依賴關系
自動將已知漏洞映射到正在使用的開源軟件中
評估安全風險并對漏洞進行分類
落實安全性及許可證政策,,管理風險敞口
安排和跟蹤修復措施
識別開源許可證并跟蹤社區(qū)活動
Nobuko Hattori解釋說:“Black Duck在業(yè)界享有盛譽。由于公司必須處理的代碼量很龐大,,我們需要一個自動化解決方案,。”
Black Duck通過與其它現(xiàn)有開發(fā)工具集成,,自動掃描,,發(fā)現(xiàn)并識別軟件代碼的來源。從Black Duck掃描中獲得的有價值的信息可以幫助委員會從公司利益相關者那里獲得支持,。
她補充道:“委員會的部分成員成為了積極的倡導者,,在他們的支持下,我們在推動開發(fā)人員采用新政策方面取得了關鍵進展,?!?/p>
她說:“我們有很多海外子公司,因此很難知道軟件的開發(fā)地點以及是否包含OSS,。得益于Black Duck解決方案,,我們可以更輕松判斷出使用非預期OSS的位置。許可證侵權的風險已大幅降低,?!?/p>
現(xiàn)在O-Soft的產(chǎn)品在交付前都需要進行Black Duck掃描。
知識共享方式可確保開發(fā)人員了解使用策略
每個產(chǎn)品系列中的軟件開發(fā)都遵循不同的標準,。因此,,每個組的OSS使用指南是定制的,以反映這些標準要求,,例如任命一個人負責OSS監(jiān)督,,檢查外包軟件是否存在非預期的OSS等,。為了便于在內部共享這些標準,O-Soft創(chuàng)建了一個名為OSS Knowledge Site的企業(yè)知識數(shù)據(jù)庫,。該站點包括用于OSS使用指南內部教育的報告格式,、指南、模板和材料,。
OSS Knowledge Site企業(yè)知識數(shù)據(jù)庫允許奧林巴斯的開發(fā)人員訪問,,提供有關企業(yè)OSS使用的許可信息、用例和解決方案信息,。該公司還提供培訓材料,,以促進海外子公司采用新政策。
培訓和教育是促成合規(guī)的關鍵
O-Soft對開發(fā)OSS使用策略的公司的建議是從小規(guī)模開始著手,,再逐步擴展整個公司的合規(guī)性,。Koji Asari和Nobuko Hattori提出,培訓和教育也很關鍵,。
Nobuko Hattori總結道:“理解每個團隊的職能并采取切實的方法非常重要,。例如,銷售人員和不熟悉軟件的人可能甚至不知道開源是什么,,因此必須對其進行解釋,。同樣重要的是不要只是強調風險,因為這可能會阻礙OSS的使用,。雖然開發(fā)人員的支持至關重要,,但如果還可以將市場營銷、銷售和呼叫中心代理的工作人員都納入培訓活動,,這可以推動OSS治理,。”