有传言说开源治理是扫描。扫描有效的CYA治理?胡说,我们说。一个部分,但不是整个故事。扫描将帮助你弄清楚你得到了什么,好吧,但是接下来呢?如果没有一两个政策,你怎么知道你所拥有的和你用它做的是合适的呢?一旦你弄清楚你拥有什么,你如何使用它,你有了这些政策,你如何保持信息的时效性?
这些问题中的每一个都触及了我们认为迫切需要关注的问题的表面,而这些问题并不是仅通过扫描就能解决的。
造谣者有自己的目的,你也有理由怀疑我们也有。毕竟,我们是落后的公司开放逻辑交换(OLEX),它在an中企业版它的目的是覆盖开源治理的所有基础。但是,请放心,本文的目的并不是推动我们的解决方案,而是分享我们的解决方案背后的思想。如果你能把我们在这里为你安排的基础的另一个堆栈放在一起,给你更多的权力。
企业中的开源治理——六个要素
你真正想要的是开源治理,它如此简单,以至于你(和你的用户)几乎不知道它在那里。我们已经做了无数次了,我们把它归结为六个元素:
- 政策-首先,决定什么是好的什么是不好的
- 库存-弄清楚你得到了什么
- 供应-想办法得到更多。。。
- 管理-…同时遵守#1中的规则
- 审计-回圈确认一切正常
- 报告-用“OK”包装礼物来表达你的关心(并让它们在幻灯片上闪闪发光)
将这些元素大致作为步骤来处理,它们将引导您完成一系列练习,确定舒适度水平和当前使用情况,建立对所用内容和未来方向的监控,并最终创建一个可持续的系统。
你会发现这里根本没有提到“扫描”。那是因为我们相信扫描是一种手段,而不是目的。
政策
扫描到你内心的内容,但是除非你有一个或多个政策,否则你怎么知道你在企业中使用的开源是“好的”,还是不好?什么是“好的”?
要回答这个问题,你需要知道一些东西,然后你需要创建开放源代码策略。下面的问题包括您和您的组织需要能够回答的基本问题。一个全面的开源策略包括这个列表中的第2到第6项,稍后我们将为您详细介绍每一项。
一。法律事务:你是如何以及为什么使用开源软件的?政策应该反映出更广泛的战略——你有吗?您的法律团队是否审查过开源许可证?对于您的用例,哪些开源许可证被认为是企业友好的?对于内部使用的开源软件包和嵌入在分布式产品(例如,提供给合作伙伴或出售的产品)中的软件包,是否可以接受不同的许可证?分发是这里的关键概念,因为许多开放源代码许可证都包含特殊的子句,只有在代码向下分发的情况下才会调用这些子句。
2.得到:您的组织目前如何评估和批准开源?一旦软件包被批准使用,用户从何处获得源代码?是否有一个开放源代码评审委员会来定义请求和批准流程,或者是否将请求提交给部门经理,每个部门经理都有不同的评审流程和风险容忍阈值?是否有一个存储库供用户查找和下载经批准的软件包,或者员工可以随时从Internet下载开源软件?这些使用信息在哪里被跟踪?谁是组织内的责任方?这些问题的目的是确定整个企业的标准是什么。治理的关键是通过制定it策略来确保所有用户都遵循相同的流程。
三。使用它:是否允许员工修改开源代码,他们是否可以将代码更改反馈给开源社区?如果允许贡献代码,员工在发布更改时可以使用公司的电子邮件地址吗?员工是否可以使用公司邮箱参与在线讨论?这些政策如何适用于承包商、离岸资源或合作伙伴?
4.更新:管理版本更新的指导原则是什么?开源项目通常比商业软件公司发布的频率更高,而且大多数CIO不希望在整个企业中部署30个不同版本的特定包。在部署新版本之前,是否需要重新检查评估和批准流程?出于安全原因,版本升级通常是必需的,但在支持方面,多个版本也可能出现问题。这让我们想到。。。
5个。支持它:是开源的支持对于您使用的某些软件包、所有软件包或仅特定软件包是必需的?员工是否可以从开源社区邮件列表中获得支持,如果可以,他们是否可以使用公司电子邮件地址发布问题?或者做一些/all/specific包需要商业级的技术支持(顺便说一句,你可以从OpenLogic获得这些支持——只是一个参考信息,因为,说真的,我们这样做是为了钱,也是为了荣耀)。
6。沟通:组织如何跟踪和审核上述所有内容(或至少最相关的部分),结果如何报告?还有,多久进行一次审计,谁负责审计和报告?您的政策如何适用于已经在使用的软件和正在开发的软件?
别自吹自擂了,但我们对这件事有一两点了解。十年来,我们一直在教财富500强企业如何实现开源软件的好处。我们提供开放源码政策研讨会以及为希望创建或改进其开源策略的组织提供的一对一指导。我们还帮助组织评估和选择最适合其需要的开源包。只是说。
好吧,那么一旦你有了你的政策,是时候扫描了。
库存
清单所做的只是告诉你你得到的开源软件,以及你在哪里使用它。
不是要把所有存在主义的东西都放在你身上,但在你疯狂地列出清单之前,我们建议你先问问为什么。为什么你,Y公司的X人,为什么你想要或者需要一个开源的目录?以下是我们在工作中听到的一些理由:
- 启动开源策略
- 为正在进行的审计工作建立基线
- 支持计划
- 管理安全更新
- 管理风险
- 准备分发、剥离或捐赠软件
- 为合并或收购做准备
- 遵守内部政策
- 遵守法规
- 遵守开源许可证
- 管理知识产权问题
如果开放源代码打算在内部使用,或者它将被分发,那么这些问题的重要性是不同的。例如,如果您只在内部使用开源,您的公司可能不必太担心“知识产权”问题。一般来说,当涉及到分布在企业外部的开源时,扫描许可证或代码片段更为重要,而对技术支持的关注与扫描内部使用的开源软件更为相关。
为什么要简化。有两种主要的方法:询问别人或扫描。让人们告诉您哪些开源软件包、许可证和/或代码片段在使用中有明显的局限性。扫描工具更可靠,但有一系列的选择,成本和复杂程度各不相同。有了你的“为什么”信息,你可以选择扫描工具,给你所需要的信息,适合你的资源(包括时间和金钱)的背景。您可以使用几种开源扫描工具,但如果您只是一个普通的开源用户,下面列出的选项通常是一个很好的起点,因为您无法击败价格(免费)。
- 要扫描服务器或桌面上已安装的开源软件包,最好的选择是OSS发现,一个由OpenLogic开发的扫描应用程序,它既是免费的,也是开源的。OSS Discovery会告诉你你的机器上安装了什么,或者你的应用程序是由什么库组成的,并且很容易下载和运行。OpenLogic还为使用OSS Discovery的多达500个系统提供免费的开源清单分析。相对无痛。
- 要扫描开源许可,您可能想尝试一种类似HP的解决方案化石学. FOSSology在源代码或二进制文件中找到开源许可证,它是一个免费的开源应用程序。这次的学习曲线有点高,但仍远低于行星物理学。
如果你是一家软件公司的一员,或者是一家分发包含开源软件的硬件的公司的一员,你可以考虑花钱购买一个专有的扫描工具。不过,请记住,这个选项还需要一些专家分析师来运行这些工具并对结果进行排序,因此请确保您的预算中已经包含了这些内容。
- 除了已安装的开源软件包和许可证之外,最复杂的扫描选项还可以查找开源代码片段。开放逻辑如果你需要这种工具,扫描器,以及黑鸭子和帕拉米达的扫描器是主要的选择。因为这些解决方案的学习曲线很高,而且成本也很高,所以除非绝对必要,否则您不想走这条路。”“绝对必要性”可能是,例如,如果你需要百分之百确定你没有义务以开源的方式发布你公司计划出售给政府的导弹防御系统中的代码。如果你需要这种水平的保险,没有很多选择,所以要做好准备。幸运的是,大多数人都能以更实际的勤奋水平过日子。
选择扫描解决方案时,重要的是从定义扫描目标开始。一旦你这样做,你可以选择正确的扫描水平,满足你的需要。要有选择性,避免过度杀戮,但要确保你已经涵盖了所有的基础——很有可能你最终会使用不同的扫描工具,在组织的不同领域创建所需的结果。另外,请记住,创建库存并不是一次性的活动。根据您的目标,您将希望在将来再次清点库存,例如在将新应用程序投入生产或发布新产品时。
接下来,您需要一个地方来报告和存储库存结果。您还需要将您的库存与策略进行比较,以了解您可能在哪里“绕过”策略。一旦您将清单与策略进行了交叉检查,您就需要做一些补救工作,但是之后您就会了解最新的情况,并且不会有任何问题。
您将如何处理策略和扫描结果之间的交叉检查结果?如果有一个地方可以加载扫描结果,记录使用情况,那就最好不过了。如果这个地方应用了你的政策,或者对照你的政策,给你一份违规报告,那就最好不过了。一个中央开放源码治理工具,例如OLEX,可能是一个不错的选择,但是我们稍后将进一步讨论它。
供应
当您正在清点您已经拥有的开放源代码时,请考虑建立一个向前推进的过程,该过程将控制任何新的开放源代码用户需要的使用。假设你采纳了我们的建议并制定了你的政策,你现在需要的是一个全面的开放源码资料库这是安全的,可靠的,可以在企业中部署。
有趣的是,开源的OpenLogic库就是这样一个地方。我们提供一个整洁的一站式商店,可以通过OpenLogic Exchange(OLEX)自由访问。OpenLogic库提供了这个星球上最广泛的企业级开源软件库。在这种情况下,“企业准备就绪”不仅仅是营销的热门话题。如果您从OpenLogic库下载一个“认证”的开源包,您就知道它已经通过了42分认证流程并满足质量、可用性和社区支持的基本标准。OLEX为您提供了所有您需要的信息,以确定一个包是否适合您的策略,我们还每天检查安全问题,并为所有关键业务项目提供补丁。当我们发现这样的问题,我们通知你通过OpenUpdate-提供给OLEX企业版订阅者的HTML新闻稿。我们也卖对开源的支持万一你发现自己需要这样的服务。