多年來，全球的安全、開發(fā)和法務(wù)團隊一直依靠 Black Duck（隸屬于新思科技）管理使用開源軟件帶來的風(fēng)險。基于 Black Duck 知識庫？， Black Duck 軟件組成分析解決方案和開源審計為企業(yè)提供必要的洞見，用于跟蹤代碼中的開源、降低安全性和許可合規(guī)性風(fēng)險。奧林巴斯軟件技術(shù)公司是Black Duck其中一位用戶。

概述

奧林巴斯軟件技術(shù)公司（O－Soft）是奧林巴斯公司的一個部門，為各種奧林巴斯產(chǎn)品開發(fā)軟件，包括醫(yī)療和工業(yè)設(shè)備以及數(shù)碼相機軟件。該公司的使命是通過加強軟件開發(fā)來提升奧林巴斯產(chǎn)品的價值。

O－Soft軟件戰(zhàn)略辦公室首席工程師Nobuko Hattori 指出：“嵌入式軟件正在成為我們產(chǎn)品中更重要的元素。軟件越來越多地控制產(chǎn)品功能、質(zhì)量和可用性。”

O－Soft開發(fā)人員使用多種類軟件，包括專有軟件和開源軟件（OSS），這也給治理帶來挑戰(zhàn)，尤其是與OSS許可相關(guān)的問題。

挑戰(zhàn)：獲得在公司范圍使用開源的政策支持

O－Soft高管采取積極主動的方法來解決OSS治理挑戰(zhàn)。他們意識到，更好地了解公司軟件代碼庫的元素至關(guān)重要。雖然他們了解開發(fā)人員使用開源組件的好處，但他們也知道這也會帶來治理難題。他們的目標是開源代碼管理自動化，從開始使用開源代碼，到整個開發(fā)過程以及在供應(yīng)鏈中。這將有助于公司能夠系統(tǒng)地控制開源成功地集成到軟件的開發(fā)和部署中。

實現(xiàn)這種自動化水平使公司能夠避免無意中發(fā)送包含未知OSS代碼的產(chǎn)品，同時避免許可違規(guī)帶來的潛在法律風(fēng)險。考慮到這一點，該部門著手制定一項合規(guī)政策，以便在母公司以及分部內(nèi)部實施。

首先，他們建立了一個OSS委員會，研究和制定全面的開源合規(guī)管理政策。該委員會由奧林巴斯質(zhì)量與環(huán)境部門領(lǐng)導(dǎo)，其成員包括法律、知識產(chǎn)權(quán)、IT和研發(fā)部門的代表。每個業(yè)務(wù)部門的軟件開發(fā)人員也參與了制定政策的工作。 Nobuko Hattori致力于提高OSS許可證使用和重用的合規(guī)性，而無需對產(chǎn)品團隊的各個軟件開發(fā)流程進行大幅更改。風(fēng)險等級因產(chǎn)品而異，因此OSS委員會制定了單獨的OSS使用指南，以應(yīng)用于每種產(chǎn)品。

委員會面臨的一個挑戰(zhàn)是確保開發(fā)人員和其他員工遵守新準則。他們還必須確定如何將公司政策整合到各個產(chǎn)品組的開發(fā)流程中、為代碼掃描選擇可靠的工具和解決方案，并持續(xù)使用OSS實現(xiàn)敏捷軟件開發(fā)。

O－Soft技術(shù)開發(fā)部門的部門經(jīng)理和技術(shù)官員Koji Asari解釋道：“我們很快就會明白，整個公司都需要積極推動政策合規(guī)性。”

Koji Asari補充說：“即使我們制定了官方政策，很明顯我們?nèi)匀恍枰屗欣嫦嚓P(guān)者了解軟件開發(fā)中OSS許可證合規(guī)性的重要性。但并非所有這些利益相關(guān)者都是軟件專家，他們不一定了解OSS。讓利益相關(guān)者了解這些問題需要花費大量精力和時間。”

自動化工具簡化了OSS治理，促進政策實施

作為新的OSS使用政策的一部分，O－Soft官員部署了Black Duck解決方案進行開源合規(guī)管理。Black Duck軟件公司隸屬于新思科技。

使用Black Duck Hub可以開展下述工作：

確定正在使用中的特定開源組件以及依賴關(guān)系

自動將已知漏洞映射到正在使用的開源軟件中

評估安全風(fēng)險并對漏洞進行分類

落實安全性及許可證政策，管理風(fēng)險敞口

安排和跟蹤修復(fù)措施

識別開源許可證并跟蹤社區(qū)活動

Nobuko Hattori解釋說：“Black Duck在業(yè)界享有盛譽。由于公司必須處理的代碼量很龐大，我們需要一個自動化解決方案。”

Black Duck通過與其它現(xiàn)有開發(fā)工具集成，自動掃描，發(fā)現(xiàn)并識別軟件代碼的來源。從Black Duck掃描中獲得的有價值的信息可以幫助委員會從公司利益相關(guān)者那里獲得支持。

她補充道：“委員會的部分成員成為了積極的倡導(dǎo)者，在他們的支持下，我們在推動開發(fā)人員采用新政策方面取得了關(guān)鍵進展。”

她說：“我們有很多海外子公司，因此很難知道軟件的開發(fā)地點以及是否包含OSS。得益于Black Duck解決方案，我們可以更輕松判斷出使用非預(yù)期OSS的位置。許可證侵權(quán)的風(fēng)險已大幅降低。”

現(xiàn)在O－Soft的產(chǎn)品在交付前都需要進行Black Duck掃描。

知識共享方式可確保開發(fā)人員了解使用策略

每個產(chǎn)品系列中的軟件開發(fā)都遵循不同的標準。因此，每個組的OSS使用指南是定制的，以反映這些標準要求，例如任命一個人負責(zé)OSS監(jiān)督，檢查外包軟件是否存在非預(yù)期的OSS等。為了便于在內(nèi)部共享這些標準，O－Soft創(chuàng)建了一個名為OSS Knowledge Site的企業(yè)知識數(shù)據(jù)庫。該站點包括用于OSS使用指南內(nèi)部教育的報告格式、指南、模板和材料。

OSS Knowledge Site企業(yè)知識數(shù)據(jù)庫允許奧林巴斯的開發(fā)人員訪問，提供有關(guān)企業(yè)OSS使用的許可信息、用例和解決方案信息。該公司還提供培訓(xùn)材料，以促進海外子公司采用新政策。

培訓(xùn)和教育是促成合規(guī)的關(guān)鍵

O－Soft對開發(fā)OSS使用策略的公司的建議是從小規(guī)模開始著手，再逐步擴展整個公司的合規(guī)性。Koji Asari和Nobuko Hattori提出，培訓(xùn)和教育也很關(guān)鍵。

Nobuko Hattori總結(jié)道：“理解每個團隊的職能并采取切實的方法非常重要。例如，銷售人員和不熟悉軟件的人可能甚至不知道開源是什么，因此必須對其進行解釋。同樣重要的是不要只是強調(diào)風(fēng)險，因為這可能會阻礙OSS的使用。雖然開發(fā)人員的支持至關(guān)重要，但如果還可以將市場營銷、銷售和呼叫中心代理的工作人員都納入培訓(xùn)活動，這可以推動OSS治理。”