Tooling für Open Source Software Compliance ist notwendig

25 Juni, 2020

Open Source Compliance ist kein singulärer Prozess oder ein einzelnes Tool, geschweige denn ein Selbstläufer, sondern ein Ökosystem, das eine Kombination aus verschiedenen Werkzeugen, Methoden und Verantwortlichkeiten erfordert. Einzelne Tools bedienen zumeist nur einen Teilaspekt oder einen Betrachtungswinkel des Compliance Prozesses.

Somit ist häufig Integrationsarbeit zu leisten, von der technischen Ebene der Datenerhebung, über die effektive Übersicht für Compliance-Beauftragte, bis hin zur Erzeugung der Compliance Artefakte. Zudem kann ein Flickenteppich aus diversen Open Source Compliance Prozessen und Tools schnell zu einer bürokratischen Hürde werden und Innovation und Produktivität ausbremsen.

Ihr Experte für Fragen

Julian Schauder
Manager bei PwC Deutschland
Tel.: +49 211 981-4786
E-Mail

Wieviel Aufwand erzeugt Ihre manuelle Open Source Compliance?

Open Source Software ist Software, die von ihren Urhebern im Source Code der Allgemeinheit zur Verfügung gestellt wird. Häufig steht dabei die Software für die Urheber nicht als Produkt, sondern als Mittel zum Zweck im Vordergrund und in Entwicklungsprojekten können Synergieeffekte einer öffentlichen Kooperation überwiegen. Die Zusammenarbeit wird jedoch meist unter Auflagen gestellt. Welche dies sind, obliegt den Urhebern, die ihren Source Code unter Open Source Lizenzbedingungen stellen.

Besonders die Open Source Initiative und die Free Software Foundation tragen maßgeblich dazu bei, diese Auflagen in Form von Lizenzen zu standardisieren. Diese Lizenzen können unter anderem die Offenlegung des Quellcodes oder eine namentliche Nennung der Komponenten und ihrer Urheber verlangen. Eine verlässliche, sichere Basis für die Verwendung von Open Source zu schaffen, ist die elementare Herausforderung der Open Source Lizenz Compliance.

43 % aller befragten Unternehmen gaben an, einen OSS-Compliance-Prozess zu haben und bereits 17 % bestätigen eine niedergeschriebene Policy für den Umgang mit Open Source.

Quelle: Bitkom Open Source Monitor, veröffentlicht Februar 2020

Die Chancen von Open Source Software nutzen zu können bedeutet den Source Code entsprechend der Lizenzbedingungen zu verwenden und mit der Software einhergehende Verpflichtungen zu erfüllen. Lizenzdeklarationen weichen nicht selten auch innerhalb eines OSS-Projektes in Form und Inhalt mehrfach voneinander ab. Um diese komplexen Sachverhalte in den Griff zu bekommen etablieren Initiativen wie das OpenChain Project dazu organisatorische Leitfäden. Ohne technische Hilfsmittel ist es aber oft aufgrund der schnell in die Tausende gehenden Komponentenanzahl nicht möglich den Überblick zu bewahren und alle Anforderungen zu erfüllen.

Compliance Toolchain in Prozesse einbetten

Der Informationsaustausch zwischen Entwicklungsteams, Compliance Offices und Software Empfängern ist eine weitere Herausforderung der Open Source Compliance. Heutzutage ist Software in vielen Fällen ein sich veränderndes Podukt. Etwa kann eine beauftragte Softwareentwicklung oder ein Zulieferer zu verschiedenen Zeitpunkten neue Komponenten einbinden. Kurzfristig sollten diese neuen Softwarekomponenten an die Empfänger der Software kommunizierbar sein- und etwaige lizenzrechtliche Schwierigkeiten adressiert werden, bevor essenzielle Teile der Entwicklung darauf basieren.

„Wir erleben die Wahrnehmung Open Source Compliance sei eine einfache und optionale Dokumentationsarbeit. Dabei ist eine nachträgliche Aufarbeitung jahrelanger Entwicklung weder schnell noch einfach. Eine frühzeitige Bindung, etwa an zum Beispiel die GPL, kann signifikante rechtliche Verpflichtungen nach sich ziehen und womöglich sind betroffene Produkte zur Prüfzeit schon auf dem Markt.“

Julian Schauder, Manager bei PwC für Open Source Software Management und Compliance Services

Anhand der Suche nach widerrechtlich verwendeten, fehlerhaft deklarierten oder kopierten Code-Passagen in eigener oder gelieferter Software wird deutlich, wie notwendig technische Hilfsmittel bei der Erstellung und Bewertung einer verlässlichen Datengrundlage sind.

‚Off the Shelf‘ oder Open Source Compliance Tools?

Eine Stärke von Open Source ist gemeinschaftliches Lösen von Herausforderungen – dieser Ansatz wird zunehmend auch in Bezug auf die Compliance von Open Source selbst verfolgt. Einige Open Source Projekte befassen sich mit Toolentwicklung und Wissensaufbau zu OSS Compliance, sowie der Etablierung von Prozessen. Diese Bausteine stellen die Grundlage des Ökosystems dar. Zusätzlich bieten Dienstleister spezialisierte Werkzeuge mit einem großen Funktionsumfang und darauf abgestimmten Dienstleistungen an.

Für die passgenaue Einrichtung von Open Source Compliance in Unternehmen ist häufig ein Mittelweg aus Open Source und proprietären Services sinnvoll. Etwa sind Arbeitsschritte der identifizierenden Phasen - wie das Auflösen der Softwareabhängigkeiten oder die Detektion von Lizenzdeklarationen – durch Open Source gut gestützt. Sie betten sich nahtlos in Entwicklungsprozesse ein. In Ergänzung dazu dominieren forensische Arbeitsschritte, wie Snippet- und Security Vulnerability Scanning eigener oder gelieferter Artefakte am proprietären Markt. Darüber hinaus können qualitative Überlegungen, etwa Reifegrad, Umfang, Kosten und verfügbarer Support einer Lösung, sowie strategische Entscheidung wie Data-Ownership, Vertraulichkeit und Skalierbarkeit in die Entscheidung mit eingehen.

So kann anhand verschiedener Kriterien abgewogen werden, ob etwa ein proprietärer Dienstleister, ein Open Source Dienstleister oder eigens angepasste OSS Applikationen die wirtschaftlich, technisch und juristisch beste Lösung für Ihr Unternehmen ist.

PwC begleitet Sie von der Konzeption bis zur Zertifizierung

„Eine maßgeschneiderte OSS Compliance Tool Chain bildet ein wichtiges Element einer funktionierenden und effizienten OSS Compliance innerhalb von Unternehmen!“

Marcel Scholze, Head of Open Source Software Management und Compliance Services bei PwC

Das Team der OSS-Experten bei PwC unterstützt Sie von der interdisziplinären Planung bis zur Implementierung Ihres maßgeschneiderten Open Source Compliance Prozesses. Wir beraten Sie zu Aspekten der rechtlichen Rahmenbedingungen, der strukturellen Anforderungen und der technischen Umsetzung, sowie der individuellen Auswahl von Tools, Lösungen und möglichen Dienstleistern.

Abschließend kann die PwC Attestierung nach OpenChain, als Gütesiegel eines gelungenen Open Source Compliance Management Systems für Sie und Ihre Produkte stehen. So schaffen Sie bei Ihren Kunden Vertrauen in die ordnungsgemäße Verwendung von Open Source Software in Ihren Produkten und Services.

Contact us

Marcel Scholze

Marcel Scholze

Director, PwC Germany

Tel.: +49 69 9585-1746

Charlotte Schaber

Charlotte Schaber

Senior Manager, Rechtsanwältin, PwC Legal AG, PwC Germany

Tel.: +49 89 5790-5984

Julian Schauder

Julian Schauder

Manager, PwC Germany

Tel.: +49 211 981-4786

Follow us