在OLEX的请求和审批机制提供了奋力向前审计跟踪治理的部分要求。您可以通过政策,决定一个特定的项目可以放弃使用,需要审批,或应该被拒绝。策略可以应用到特定的开源包,包的特定版本,和/或许可证。用户只需提交在线表单,它被路由到审阅批准(如有必要),储存以备将来审计的目的。最终结果是:OLEX确保企业中所有的开源来自单一来源,坚持同样的政策,并能在将来的任何一点很容易审计。同样,进入图书馆是免费的,但额外的治理功能需要订阅)。
管理
所以,现在:
- 您已经有了自己的开放源码策略
- 您已经扫描了企业中安装的开放源码的所有机器和应用程序,并根据您的策略交叉引用了结果
- 你已经做了一些补救措施,并建立接受使用开源软件包的基线
- 您已经有了一个向前的解决方案,并且员工正在使用像OLEX这样的系统来输入使用特定开源包的请求
这将为您在公司中有效地管理开放源码使用铺平道路,并且我们都同意管理是治理的关键方面。但是在这一点上,您还需要查看一下您的构建和开发实践,并重新启用扫描选项。在您的实践中添加一个源代码扫描,如果您要将项目发布到下游,也要扫描任何第三方的源代码。
这组扫描真的是唯一的方法,以确保你满足所有开源许可义务,这是有效、合法使用开放源码的关键因素。不同的许可要求代表用户采取不同的操作,从完全不存在到确认原始作者,再到包含修改过的源代码。建立并维护您的许可证义务是在您的企业中成功使用开放源码的关键。
审计
政策?检查。库存?检查。库用于配置?检查。审批程序?检查。
到目前为止,您应该已经很好地掌握了开源的使用方法。但是,你还是要时不时地检查一下自己。审计会告诉你你所有的政策和流程是如何运作的。
你可能想审核软件应用程序或解决方案基于在开发过程的最后阶段发展的里程碑,新的应用程序投入生产或得到释放之前。您可能还需要审计的定期系统,如每季或每年采样。
通常你会使用一个或多个扫描工具进行审核。应该对所有结果进行跟踪、存储,并将其与您的政策规定和已批准的结果进行比较。你可以找出任何危险的信号——你所使用的与你所想的不同的地方——这样你就可以改进你的过程(也许还可以和冒犯者进行一次友好的交谈)。OLEX Enterprise Edition允许您上传扫描结果,并提供报告,显示任何地方的开放源码使用不符合您的政策和批准。
重点是,扫描应该在你的前进策略中扮演一个持续的角色。您将希望建立一个进程,通过该进程在机器和应用程序上例行地(每年或更频繁地)运行扫描,并将结果与已批准的内容的报告进行比较。OLEX根据提交和批准的开源使用请求提供这些报告,如果任何正在使用的包违反了您的策略,它还会提醒您。此外,OLEX还可以帮助您查看您是否在发布版本方面落后,并提醒您正在使用的开源包中存在的任何安全漏洞。很酷,不是吗?
掌握了这些信息之后,您还需要一个流程来评估审计结果所指出的违规结果的纠正。
报告
我们曾与一个客户端在播放4000台 - 绝对不是信息最称职的系统管理员可以保持她的头。这就是为什么,你选择你的管理的一切需求的解决方案的,你会想要一个堆栈,包括报告。大量的报道。例如,你会想:
1.库存报告:作为内部开发项目的一部分,在哪些机器上使用了哪些开放源码包。这将使您能够
- 评估技术支持需求
- 管理安全补丁和版本更新
- 评估潜在的风险
- 评估版本的老化和增殖
2.政策合规报告:我在哪里出符合内部政策的?
3.许可证合规性报告:我说到哪儿去了符合开放源码许可吗?
而这仅仅是个开始。OLEX企业版可以为您提供这些报告,这样您就可以满足“西装”和开发人员的开发需求。
结论
我们还能多说什么?我们已经考虑了很久的思想。这是我们的业务。
剔除她自己去追求写作生涯之前,金佰利麦克林托克带领技术写作团队OpenLogic这是负责在现场OLEX所有的技术含量,还有的选择,编辑,协调,和这里的内容在娃子管理。她为许多不同的受众的已开发内容 - 教师和学生和销售人员,仅举几例 - 在她的职业生涯中,但没有一直尽可能多的乐趣,因为写开源。她是一个heckuva做饭,有一个极其丰富的词汇,你可能有理由感到害怕她的狗,名为萝拉一个大的女孩。
开放源码治理的六个要素最初出现在Wazi网站上,该网站提供关于开源技术、治理和许可的深入文章。Wazi是一个同伴网站OpenLogic交易所(OLEX),综合治理和企业开源软件的供应一个软件即服务(SaaS)解决方案。
OpenLogic的解决方案,使企业能够安全地获取,支持和控制开源软件的领先供应商。OpenLogic提供的成千上万的开源软件包,其中包括数百名已被认证可用于企业使用的库。OpenLogic还提供扫描和治理工具,许可证合规性解决方案,赔偿,更新和商业级的技术支持开源和CentOS Linux支持由OpenLogic专家社区。欲了解更多关于OpenLogic,请访问:www.openlogic.com。