Lizenzen, Exportbestimmungen, Schwachstellen: Open Source Code effektiv verwalten

Das Stichwort „Open Source“ assoziiert man mit „kostenlos“, „frei zugänglich“ und „Community“. Aber der Einsatz von Open Source Code bringt auch Aufgaben und Pflichten mit sich. Damit man hier nicht den Überblick verliert, sind sorgfältig definierte Prozesse nötig.

In den letzten Jahren ist Open-Source Software zu einem wesentlichen und nicht mehr weg zu denkenden Bestandteil der Software-Entwicklung geworden. Open Source wird von den verschiedensten Unternehmen, ob Start-up oder multinationales Großunternehmen, eingesetzt, um Entwicklungszeiten zu verkürzen und Kosten zu senken. Durch die steigende Nutzung bzw. Einbindung von Open-Source Software wurde es jedoch notwendig, Richtlinien und Prozesse zu definieren, die die Open-Source Software und deren ­Lizenzverpflichtungen, potenzielle ­Sicherheitslücken und Exportbestimmungen verwalten. Die manuelle Überprüfung auf Einhaltung dieser Richtlinien wird heutzutage allerdings mehr und mehr durch Software unterstützt.

Dabei ist die Verwaltung von Open-Source mit der Vorgehensweise ­anderer Fremd-Software zu vergleichen. Es geht dabei insbesondere darum, alle verwendeten Programmteile zusammen mit deren Lizenz- und Urheberrechten sowie Schwachstellen und Exportbestimmungen zu identifizieren und aufzulisten.

Wie bei anderen Aspekten der Qualitätssicherung auch sollte die Verwaltung von Open-Source Software bereits in den frühen Entwicklungsphasen beginnen. In vielen Organisationen wird dabei die Verwendung von Open-­Source Software durch eindeutige ­Firmenrichtlinien geregelt. Die Einhaltung dieser Richtlinien wird bereits vor der Nutzung bzw. Einbindung der Open-Source Software in die Entwicklungsumgebung durch entsprechende Workflow-Prozesse überprüft. Bei eventuellen Verstößen wird die Software für die weitere Verwendung nicht freigegeben.

Erstellen von Open-Source-­Richtlinien

Die Grundlage für ein erfolgreiches und effektives Software-Lizenzmanagement bilden Unternehmensrichtlinien, die den Erwerb und die Nutzung von Open-Source Software regeln. Diese basieren auf den Anforderungen der verschiedenen Interessengruppen und beschreiben den Beschaffungsprozess, die Entscheidungsträger sowie akzeptable Open-Source-Lizenzen und Communities. Die Gruppe der Entscheidungsträger besteht aus Repräsentanten der Rechtsabteilung, Forschung und Entwicklung sowie des Produktmanagements. Im Beschaffungsprozess wird der Arbeitsablauf/Workflow-Prozess zur Beantragung und Genehmigung von Open Source beschrieben und es wird festgelegt, wie mit Nichteinhaltungen der Richtlinien zu verfahren ist.

Eine der Grundanforderungen in Open-Source-Richtlinien besteht darin, eventuelle Lizenzverletzungen so früh wie möglich zu erkennen und den Aufwand zur Behebung auf ein Minimum zu ­reduzieren. Aus diesem Grund sollte ein Prozess zur Vorabgenehmigung von Open-Source Software ebenfalls in den Richtlinien definiert werden. Dieser Prozess beschreibt die notwendigen Schritte, um die Nutzung bestimmter Open-Source Software zu beantragen. Im Weiteren werden diese Anträge von Fachkräften auf Übereinstimmung mit den Richtlinien überprüft und je nach Resultat genehmigt oder abgelehnt.