Open Source Software und Compliance im Unternehmen: Ein Sheriff im Wilden Westen

Birgit Brandstetter and Nepomuk Trauttmansdorff

Playlists: 'glt24' videos starting here / audio

Wenn wir uns vorstellen, dass OSS der Wilde Westen ist, können viele Dinge sehr frei gemacht und umgesetzt werden – jedoch auch zum Vorteil Einzelner und nicht zwingend im Interesse der Gemeinschaft.

Um gewisse Grenzen und Rahmenbedingungen in der Prärie aufzuzeigen, wird im Wilden Westen ein Sheriff ernannt. In Unternehmen werden im OSS-Kontext Open Source Program Offices (OSPOs) als eigene Instanzen etabliert, um die Rahmenbedingungen der OSS-Nutzung zu definieren und die Interessen des Unternehmens und der Community zu schützen.

In diesem Talk betrachten wir das WAS und das WIE der Etablierung eines OSPOs in Unternehmen und teilen Erfahrungen und Einblicke aus der Praxis.

Nachdem Unternehmen die tlw. strategische Entscheidung getroffen haben, Open Source Software einzusetzen, gilt es sicherzustellen, dass diese nicht willkürlich und unkontrolliert eingesetzt wird.
Ziel ist es, die Balance zwischen Unternehmenszielen und freier Software-Entwicklung herzustellen, um den technischen Fortschritt zu fördern, die Potenziale von OSS auszuschöpfen, und Compliance-Einhaltung sicherzustellen.

Warum?
- Herausfordernd ist (1) die Einhaltung der komplexen und oftmals unübersichtlichen Rechte und Pflichten von Lizenz-Anforderungen, Identifikation von Lizenz-Inkompatibilitäten, Umgang mit Lizenz-Änderungen, oder die verpflichtende Anzeige von OSS-Lizenztexten. Zudem spielt (2) die Rückverfolgbarkeit von OSS-Komponenten entlang der Supply Chain eine Rolle und die verlässliche Erstellung einer Software Bill of Material. (3) Bei OSS ist aufgrund des öffentlichen Sourcecodes die Anzahl an gezielt gesuchten und gefundenen Vulnerabilities höher als bei proprietärer Software.
- Mögliche Konsequenzen von Lizenz-Verstößen beinhalten Rechtsstreitigkeiten, Vertragsbrüche, Reputationsverluste, Produktrückrufe, Blacklisting,…

Was?
- Häufig wird eine eigene interdisziplinäre Instanz – ein Open Source Program Office – im Unternehmen etabliert
- Die Lizenz.Konformität und Compliance von Produkten wird vor Release sichergestellt.

Wie?
- Die Aspekte Prozesse, Methoden, Tools, Organisationsstrukturen werden betrachtet und OSS-Compliance-Standards dahingehend etabliert.
- Die rechtlichen Anforderungen werden aufgenommen und in die technischen Entwicklungsprozesse und in die CI/CD und Build Pipleline integriert.
- Einführung von standardisierten Formaten wie SPDX, CycloneDX,…, um eine unternehmensübergreifende Zusammenarbeit sicherzustellen.

Was kann da noch schief laufen?
- Prozesse können den Time-to-market verlängern und den Entwicklungsprozess verlangsamen, wenn wichtige Prozessschritte nicht korrekt verortet sind.
- Tools: Nach dem Motto ”A fool with a tool is still a fool” ist eine Tooleinführung nicht inhärent eine Produktivitätssteigerung.
- Organisationsstrukturen: Organizational Change durch Veränderung von Verantwortlichkeiten, Veränderung bestehender Job-Descriptions, Bürokratien,….

Was erwartet uns im Vortrag?
- Einblicke und Erfahrungen aus der Praxis in der Etablierung eines OSPOs in Unternehmen

Download

Embed

Share:

Tags