多年來,全球的安全、開發(fā)和法務(wù)團(tuán)隊(duì)一直依靠 Black Duck(隸屬于新思科技)管理使用開源軟件帶來的風(fēng)險(xiǎn)。基于 Black Duck 知識(shí)庫?, Black Duck 軟件組成分析解決方案和開源審計(jì)為企業(yè)提供必要的洞見,用于跟蹤代碼中的開源、降低安全性和許可合規(guī)性風(fēng)險(xiǎn)。奧林巴斯軟件技術(shù)公司是Black Duck其中一位用戶。
概述
奧林巴斯軟件技術(shù)公司(O-Soft)是奧林巴斯公司的一個(gè)部門,為各種奧林巴斯產(chǎn)品開發(fā)軟件,包括醫(yī)療和工業(yè)設(shè)備以及數(shù)碼相機(jī)軟件。該公司的使命是通過加強(qiáng)軟件開發(fā)來提升奧林巴斯產(chǎn)品的價(jià)值。
O-Soft軟件戰(zhàn)略辦公室首席工程師Nobuko Hattori 指出:“嵌入式軟件正在成為我們產(chǎn)品中更重要的元素。軟件越來越多地控制產(chǎn)品功能、質(zhì)量和可用性。”
O-Soft開發(fā)人員使用多種類軟件,包括專有軟件和開源軟件(OSS),這也給治理帶來挑戰(zhàn),尤其是與OSS許可相關(guān)的問題。
挑戰(zhàn):獲得在公司范圍使用開源的政策支持
O-Soft高管采取積極主動(dòng)的方法來解決OSS治理挑戰(zhàn)。他們意識(shí)到,更好地了解公司軟件代碼庫的元素至關(guān)重要。雖然他們了解開發(fā)人員使用開源組件的好處,但他們也知道這也會(huì)帶來治理難題。他們的目標(biāo)是開源代碼管理自動(dòng)化,從開始使用開源代碼,到整個(gè)開發(fā)過程以及在供應(yīng)鏈中。這將有助于公司能夠系統(tǒng)地控制開源成功地集成到軟件的開發(fā)和部署中。
實(shí)現(xiàn)這種自動(dòng)化水平使公司能夠避免無意中發(fā)送包含未知OSS代碼的產(chǎn)品,同時(shí)避免許可違規(guī)帶來的潛在法律風(fēng)險(xiǎn)。考慮到這一點(diǎn),該部門著手制定一項(xiàng)合規(guī)政策,以便在母公司以及分部?jī)?nèi)部實(shí)施。
首先,他們建立了一個(gè)OSS委員會(huì),研究和制定全面的開源合規(guī)管理政策。該委員會(huì)由奧林巴斯質(zhì)量與環(huán)境部門領(lǐng)導(dǎo),其成員包括法律、知識(shí)產(chǎn)權(quán)、IT和研發(fā)部門的代表。每個(gè)業(yè)務(wù)部門的軟件開發(fā)人員也參與了制定政策的工作。 Nobuko Hattori致力于提高OSS許可證使用和重用的合規(guī)性,而無需對(duì)產(chǎn)品團(tuán)隊(duì)的各個(gè)軟件開發(fā)流程進(jìn)行大幅更改。風(fēng)險(xiǎn)等級(jí)因產(chǎn)品而異,因此OSS委員會(huì)制定了單獨(dú)的OSS使用指南,以應(yīng)用于每種產(chǎn)品。
委員會(huì)面臨的一個(gè)挑戰(zhàn)是確保開發(fā)人員和其他員工遵守新準(zhǔn)則。他們還必須確定如何將公司政策整合到各個(gè)產(chǎn)品組的開發(fā)流程中、為代碼掃描選擇可靠的工具和解決方案,并持續(xù)使用OSS實(shí)現(xiàn)敏捷軟件開發(fā)。
O-Soft技術(shù)開發(fā)部門的部門經(jīng)理和技術(shù)官員Koji Asari解釋道:“我們很快就會(huì)明白,整個(gè)公司都需要積極推動(dòng)政策合規(guī)性。”
Koji Asari補(bǔ)充說:“即使我們制定了官方政策,很明顯我們?nèi)匀恍枰屗欣嫦嚓P(guān)者了解軟件開發(fā)中OSS許可證合規(guī)性的重要性。但并非所有這些利益相關(guān)者都是軟件專家,他們不一定了解OSS。讓利益相關(guān)者了解這些問題需要花費(fèi)大量精力和時(shí)間。”
自動(dòng)化工具簡(jiǎn)化了OSS治理,促進(jìn)政策實(shí)施
作為新的OSS使用政策的一部分,O-Soft官員部署了Black Duck解決方案進(jìn)行開源合規(guī)管理。Black Duck軟件公司隸屬于新思科技。
使用Black Duck Hub可以開展下述工作:
確定正在使用中的特定開源組件以及依賴關(guān)系
自動(dòng)將已知漏洞映射到正在使用的開源軟件中
評(píng)估安全風(fēng)險(xiǎn)并對(duì)漏洞進(jìn)行分類
落實(shí)安全性及許可證政策,管理風(fēng)險(xiǎn)敞口
安排和跟蹤修復(fù)措施
識(shí)別開源許可證并跟蹤社區(qū)活動(dòng)
Nobuko Hattori解釋說:“Black Duck在業(yè)界享有盛譽(yù)。由于公司必須處理的代碼量很龐大,我們需要一個(gè)自動(dòng)化解決方案。”
Black Duck通過與其它現(xiàn)有開發(fā)工具集成,自動(dòng)掃描,發(fā)現(xiàn)并識(shí)別軟件代碼的來源。從Black Duck掃描中獲得的有價(jià)值的信息可以幫助委員會(huì)從公司利益相關(guān)者那里獲得支持。
她補(bǔ)充道:“委員會(huì)的部分成員成為了積極的倡導(dǎo)者,在他們的支持下,我們?cè)谕苿?dòng)開發(fā)人員采用新政策方面取得了關(guān)鍵進(jìn)展。”
她說:“我們有很多海外子公司,因此很難知道軟件的開發(fā)地點(diǎn)以及是否包含OSS。得益于Black Duck解決方案,我們可以更輕松判斷出使用非預(yù)期OSS的位置。許可證侵權(quán)的風(fēng)險(xiǎn)已大幅降低。”
現(xiàn)在O-Soft的產(chǎn)品在交付前都需要進(jìn)行Black Duck掃描。
知識(shí)共享方式可確保開發(fā)人員了解使用策略
每個(gè)產(chǎn)品系列中的軟件開發(fā)都遵循不同的標(biāo)準(zhǔn)。因此,每個(gè)組的OSS使用指南是定制的,以反映這些標(biāo)準(zhǔn)要求,例如任命一個(gè)人負(fù)責(zé)OSS監(jiān)督,檢查外包軟件是否存在非預(yù)期的OSS等。為了便于在內(nèi)部共享這些標(biāo)準(zhǔn),O-Soft創(chuàng)建了一個(gè)名為OSS Knowledge Site的企業(yè)知識(shí)數(shù)據(jù)庫。該站點(diǎn)包括用于OSS使用指南內(nèi)部教育的報(bào)告格式、指南、模板和材料。
OSS Knowledge Site企業(yè)知識(shí)數(shù)據(jù)庫允許奧林巴斯的開發(fā)人員訪問,提供有關(guān)企業(yè)OSS使用的許可信息、用例和解決方案信息。該公司還提供培訓(xùn)材料,以促進(jìn)海外子公司采用新政策。
培訓(xùn)和教育是促成合規(guī)的關(guān)鍵
O-Soft對(duì)開發(fā)OSS使用策略的公司的建議是從小規(guī)模開始著手,再逐步擴(kuò)展整個(gè)公司的合規(guī)性。Koji Asari和Nobuko Hattori提出,培訓(xùn)和教育也很關(guān)鍵。
Nobuko Hattori總結(jié)道:“理解每個(gè)團(tuán)隊(duì)的職能并采取切實(shí)的方法非常重要。例如,銷售人員和不熟悉軟件的人可能甚至不知道開源是什么,因此必須對(duì)其進(jìn)行解釋。同樣重要的是不要只是強(qiáng)調(diào)風(fēng)險(xiǎn),因?yàn)檫@可能會(huì)阻礙OSS的使用。雖然開發(fā)人員的支持至關(guān)重要,但如果還可以將市場(chǎng)營(yíng)銷、銷售和呼叫中心代理的工作人員都納入培訓(xùn)活動(dòng),這可以推動(dòng)OSS治理。”