掌握代码库中包含哪些开源软件是保证安全的第一步。开源治理意味着不仅要知道正在使用哪些开源库,还要知道它们的使用地点和方式。新思科技的解决方案采用了多因素方法来发现开源代码,有助于获得最完整的物料清单,提高准确性并减少误报。采用新思科技的解决方案,用户可以在应用生命周期中自动管理开源安全和许可证风险。奥林巴斯软件技术公司凭借新思科技的解决方案,获益良多。
概述
奥林巴斯软件技术公司(O-Soft)是奥林巴斯公司的一个部门,为各种奥林巴斯产品开发软件,包括医疗和工业设备以及数码相机软件。该公司的使命是通过加强软件开发来提升奥林巴斯产品的价值。
O-Soft软件战略办公室首席工程师Nobuko Hattori 指出:“嵌入式软件正在成为我们产品中更重要的元素。软件越来越多地控制产品功能、质量和可用性。”
O-Soft开发人员使用多种类软件,包括专有软件和开源软件(OSS),这也给治理带来挑战,尤其是与OSS许可相关的问题。
挑战:获得在公司范围使用开源的政策支持
O-Soft高管采取积极主动的方法来解决OSS治理挑战。他们意识到,更好地了解公司软件代码库的元素至关重要。虽然他们了解开发人员使用开源组件的好处,但他们也知道这也会带来治理难题。他们的目标是开源代码管理自动化,从开始使用开源代码,到整个开发过程以及在供应链中。这将有助于公司能够系统地控制开源成功地集成到软件的开发和部署中。
实现这种自动化水平使公司能够避免无意中发送包含未知OSS代码的产品,同时避免许可违规带来的潜在法律风险。考虑到这一点,该部门着手制定一项合规政策,以便在母公司以及分部内部实施。
首先,他们建立了一个OSS委员会,研究和制定全面的开源合规管理政策。该委员会由奥林巴斯质量与环境部门领导,其成员包括法律、知识产权、IT和研发部门的代表。每个业务部门的软件开发人员也参与了制定政策的工作。 Nobuko Hattori致力于提高OSS许可证使用和重用的合规性,而无需对产品团队的各个软件开发流程进行大幅更改。风险等级因产品而异,因此OSS委员会制定了单独的OSS使用指南,以应用于每种产品。
委员会面临的一个挑战是确保开发人员和其他员工遵守新准则。他们还必须确定如何将公司政策整合到各个产品组的开发流程中、为代码扫描选择可靠的工具和解决方案,并持续使用OSS实现敏捷软件开发。
O-Soft技术开发部门的部门经理和技术官员Koji Asari解释道:“我们很快就会明白,整个公司都需要积极推动政策合规性。”
Koji Asari补充说:“即使我们制定了官方政策,很明显我们仍然需要让所有利益相关者了解软件开发中OSS许可证合规性的重要性。但并非所有这些利益相关者都是软件专家,他们不一定了解OSS。让利益相关者了解这些问题需要花费大量精力和时间。”
自动化工具简化了OSS治理,促进政策实施
作为新的OSS使用政策的一部分,O-Soft官员部署了Black Duck解决方案进行开源合规管理。Black Duck软件公司隶属于新思科技。
使用Black Duck Hub可以开展下述工作:
确定正在使用中的特定开源组件以及依赖关系
自动将已知漏洞映射到正在使用的开源软件中
评估安全风险并对漏洞进行分类
落实安全性及许可证政策,管理风险敞口
安排和跟踪修复措施
识别开源许可证并跟踪社区活动
Nobuko Hattori解释说:“Black Duck在业界享有盛誉。由于公司必须处理的代码量很庞大,我们需要一个自动化解决方案。”
Black Duck通过与其它现有开发工具集成,自动扫描,发现并识别软件代码的来源。从Black Duck扫描中获得的有价值的信息可以帮助委员会从公司利益相关者那里获得支持。
她补充道:“委员会的部分成员成为了积极的倡导者,在他们的支持下,我们在推动开发人员采用新政策方面取得了关键进展。”
她说:“我们有很多海外子公司,因此很难知道软件的开发地点以及是否包含OSS。得益于Black Duck解决方案,我们可以更轻松判断出使用非预期OSS的位置。许可证侵权的风险已大幅降低。”
现在O-Soft的产品在交付前都需要进行Black Duck扫描。
知识共享方式可确保开发人员了解使用策略
每个产品系列中的软件开发都遵循不同的标准。因此,每个组的OSS使用指南是定制的,以反映这些标准要求,例如任命一个人负责OSS监督,检查外包软件是否存在非预期的OSS等。为了便于在内部共享这些标准,O-Soft创建了一个名为OSS Knowledge Site的企业知识数据库。该站点包括用于OSS使用指南内部教育的报告格式、指南、模板和材料。
OSS Knowledge Site企业知识数据库允许奥林巴斯的开发人员访问,提供有关企业OSS使用的许可信息、用例和解决方案信息。该公司还提供培训材料,以促进海外子公司采用新政策。
培训和教育是促成合规的关键
O-Soft对开发OSS使用策略的公司的建议是从小规模开始着手,再逐步扩展整个公司的合规性。Koji Asari和Nobuko Hattori提出,培训和教育也很关键。
Nobuko Hattori总结道:“理解每个团队的职能并采取切实的方法非常重要。例如,销售人员和不熟悉软件的人可能甚至不知道开源是什么,因此必须对其进行解释。同样重要的是不要只是强调风险,因为这可能会阻碍OSS的使用。虽然开发人员的支持至关重要,但如果还可以将市场营销、销售和呼叫中心代理的工作人员都纳入培训活动,这可以推动OSS治理。”