多年来,全球的安全、开发和法务团队一直依靠 Black Duck(隶属于新思科技)管理使用开源软件带来的风险。基于 Black Duck 知识库™, Black Duck 软件组成分析解决方案和开源审计为企业提供必要的洞见,用于跟踪代码中的开源、降低安全性和许可合规性风险。奥林巴斯软件技术公司是 Black Duck 其中一位用户。
 
概述
奥林巴斯软件技术公司(O-Soft)是奥林巴斯公司的一个部门,为各种奥林巴斯产品开发软件,包括医疗和工业设备以及数码相机软件。该公司的使命是通过加强软件开发来提升奥林巴斯产品的价值。
 
O-Soft 软件战略办公室首席工程师 Nobuko Hattori 指出:“嵌入式软件正在成为我们产品中更重要的元素。软件越来越多地控制产品功能、质量和可用性。”
 
O-Soft 开发人员使用多种类软件,包括专有软件和开源软件(OSS),这也给治理带来挑战,尤其是与 OSS 许可相关的问题。
 
挑战:获得在公司范围使用开源的政策支持
O-Soft 高管采取积极主动的方法来解决 OSS 治理挑战。他们意识到,更好地了解公司软件代码库的元素至关重要。虽然他们了解开发人员使用开源组件的好处,但他们也知道这也会带来治理难题。他们的目标是开源代码管理自动化,从开始使用开源代码,到整个开发过程以及在供应链中。这将有助于公司能够系统地控制开源成功地集成到软件的开发和部署中。
 
实现这种自动化水平使公司能够避免无意中发送包含未知 OSS 代码的产品,同时避免许可违规带来的潜在法律风险。考虑到这一点,该部门着手制定一项合规政策,以便在母公司以及分部内部实施。
 
首先,他们建立了一个 OSS 委员会,研究和制定全面的开源合规管理政策。该委员会由奥林巴斯质量与环境部门领导,其成员包括法律、知识产权、IT 和研发部门的代表。每个业务部门的软件开发人员也参与了制定政策的工作。 Nobuko Hattori 致力于提高 OSS 许可证使用和重用的合规性,而无需对产品团队的各个软件开发流程进行大幅更改。风险等级因产品而异,因此 OSS 委员会制定了单独的 OSS 使用指南,以应用于每种产品。
 
委员会面临的一个挑战是确保开发人员和其他员工遵守新准则。他们还必须确定如何将公司政策整合到各个产品组的开发流程中、为代码扫描选择可靠的工具和解决方案,并持续使用 OSS 实现敏捷软件开发。
 
O-Soft 技术开发部门的部门经理和技术官员 Koji Asari 解释道:“我们很快就会明白,整个公司都需要积极推动政策合规性。”
 
Koji Asari 补充说:“即使我们制定了官方政策,很明显我们仍然需要让所有利益相关者了解软件开发中 OSS 许可证合规性的重要性。但并非所有这些利益相关者都是软件专家,他们不一定了解 OSS。让利益相关者了解这些问题需要花费大量精力和时间。”
 
自动化工具简化了 OSS 治理,促进政策实施
作为新的 OSS 使用政策的一部分,O-Soft 官员部署了 Black Duck 解决方案进行开源合规管理。Black Duck 软件公司隶属于新思科技。
 
使用 Black Duck Hub 可以开展下述工作:
 
  确定正在使用中的特定开源组件以及依赖关系
 
  自动将已知漏洞映射到正在使用的开源软件中
 
  评估安全风险并对漏洞进行分类
 
  落实安全性及许可证政策,管理风险敞口
 
  安排和跟踪修复措施
 
  识别开源许可证并跟踪社区活动
 
Nobuko Hattori 解释说:“Black Duck 在业界享有盛誉。由于公司必须处理的代码量很庞大,我们需要一个自动化解决方案。” 
 
Black Duck 通过与其它现有开发工具集成,自动扫描,发现并识别软件代码的来源。从 Black Duck 扫描中获得的有价值的信息可以帮助委员会从公司利益相关者那里获得支持。
 
她补充道:“委员会的部分成员成为了积极的倡导者,在他们的支持下,我们在推动开发人员采用新政策方面取得了关键进展。”
 
她说:“我们有很多海外子公司,因此很难知道软件的开发地点以及是否包含 OSS。得益于 Black Duck 解决方案,我们可以更轻松判断出使用非预期 OSS 的位置。许可证侵权的风险已大幅降低。”
 
现在 O-Soft 的产品在交付前都需要进行 Black Duck 扫描。
 
知识共享方式可确保开发人员了解使用策略
每个产品系列中的软件开发都遵循不同的标准。因此,每个组的 OSS 使用指南是定制的,以反映这些标准要求,例如任命一个人负责 OSS 监督,检查外包软件是否存在非预期的 OSS 等。为了便于在内部共享这些标准,O-Soft 创建了一个名为 OSS Knowledge Site 的企业知识数据库。该站点包括用于 OSS 使用指南内部教育的报告格式、指南、模板和材料。
 
OSS Knowledge Site 企业知识数据库允许奥林巴斯的开发人员访问,提供有关企业 OSS 使用的许可信息、用例和解决方案信息。该公司还提供培训材料,以促进海外子公司采用新政策。
 
培训和教育是促成合规的关键
O-Soft 对开发 OSS 使用策略的公司的建议是从小规模开始着手,再逐步扩展整个公司的合规性。Koji Asari 和 Nobuko Hattori 提出,培训和教育也很关键。
 
Nobuko Hattori 总结道:“理解每个团队的职能并采取切实的方法非常重要。例如,销售人员和不熟悉软件的人可能甚至不知道开源是什么,因此必须对其进行解释。同样重要的是不要只是强调风险,因为这可能会阻碍 OSS 的使用。虽然开发人员的支持至关重要,但如果还可以将市场营销、销售和呼叫中心代理的工作人员都纳入培训活动,这可以推动 OSS 治理。”