Open Source Software Tooling

Ihr Experte für Fragen

Marcel Scholze
Director Open Source Software Services & IT Sourcing bei PwC Deutschland
Tel.: +49 69 9585-1746
E-Mail

Wieviel Aufwand erzeugt Ihre manuelle Open Source Compliance?

Open Source Software ist Software, die von ihren Urhebern im Source Code der Allgemeinheit zur Verfügung gestellt wird. Häufig steht dabei die Software für die Urheber nicht als Produkt, sondern als Mittel zum Zweck im Vordergrund und in Entwicklungsprojekten können Synergieeffekte einer öffentlichen Kooperation überwiegen. Die Zusammenarbeit wird jedoch meist unter Auflagen gestellt. Welche dies sind, obliegt den Urhebern, die ihren Source Code unter Open Source Lizenzbedingungen stellen.

Besonders die Open Source Initiative und die Free Software Foundation tragen maßgeblich dazu bei, diese Auflagen in Form von Lizenzen zu standardisieren. Diese Lizenzen können unter anderem die Offenlegung des Quellcodes oder eine namentliche Nennung der Komponenten und ihrer Urheber verlangen. Eine verlässliche, sichere Basis für die Verwendung von Open Source zu schaffen, ist die elementare Herausforderung der Open Source Lizenz Compliance.

Quelle: Bitkom Open Source Monitor, veröffentlicht Februar 2020

Die Chancen von Open Source Software nutzen zu können bedeutet den Source Code entsprechend der Lizenzbedingungen zu verwenden und mit der Software einhergehende Verpflichtungen zu erfüllen. Lizenzdeklarationen weichen nicht selten auch innerhalb eines OSS-Projektes in Form und Inhalt mehrfach voneinander ab. Um diese komplexen Sachverhalte in den Griff zu bekommen etablieren Initiativen wie das OpenChain Project dazu organisatorische Leitfäden. Ohne technische Hilfsmittel ist es aber oft aufgrund der schnell in die Tausende gehenden Komponentenanzahl nicht möglich den Überblick zu bewahren und alle Anforderungen zu erfüllen.

Compliance Toolchain in Prozesse einbetten

Der Informationsaustausch zwischen Entwicklungsteams, Compliance Offices und Software Empfängern ist eine weitere Herausforderung der Open Source Compliance. Heutzutage ist Software in vielen Fällen ein sich veränderndes Podukt. Etwa kann eine beauftragte Softwareentwicklung oder ein Zulieferer zu verschiedenen Zeitpunkten neue Komponenten einbinden. Kurzfristig sollten diese neuen Softwarekomponenten an die Empfänger der Software kommunizierbar sein- und etwaige lizenzrechtliche Schwierigkeiten adressiert werden, bevor essenzielle Teile der Entwicklung darauf basieren.

Anhand der Suche nach widerrechtlich verwendeten, fehlerhaft deklarierten oder kopierten Code-Passagen in eigener oder gelieferter Software wird deutlich, wie notwendig technische Hilfsmittel bei der Erstellung und Bewertung einer verlässlichen Datengrundlage sind.

‚Off the Shelf‘ oder Open Source Compliance Tools?

Eine Stärke von Open Source ist gemeinschaftliches Lösen von Herausforderungen – dieser Ansatz wird zunehmend auch in Bezug auf die Compliance von Open Source selbst verfolgt. Einige Open Source Projekte befassen sich mit Toolentwicklung und Wissensaufbau zu OSS Compliance, sowie der Etablierung von Prozessen. Diese Bausteine stellen die Grundlage des Ökosystems dar. Zusätzlich bieten Dienstleister spezialisierte Werkzeuge mit einem großen Funktionsumfang und darauf abgestimmten Dienstleistungen an.

Für die passgenaue Einrichtung von Open Source Compliance in Unternehmen ist häufig ein Mittelweg aus Open Source und proprietären Services sinnvoll. Etwa sind Arbeitsschritte der identifizierenden Phasen - wie das Auflösen der Softwareabhängigkeiten oder die Detektion von Lizenzdeklarationen – durch Open Source gut gestützt. Sie betten sich nahtlos in Entwicklungsprozesse ein. In Ergänzung dazu dominieren forensische Arbeitsschritte, wie Snippet- und Security Vulnerability Scanning eigener oder gelieferter Artefakte am proprietären Markt. Darüber hinaus können qualitative Überlegungen, etwa Reifegrad, Umfang, Kosten und verfügbarer Support einer Lösung, sowie strategische Entscheidung wie Data-Ownership, Vertraulichkeit und Skalierbarkeit in die Entscheidung mit eingehen.

So kann anhand verschiedener Kriterien abgewogen werden, ob etwa ein proprietärer Dienstleister, ein Open Source Dienstleister oder eigens angepasste OSS Applikationen die wirtschaftlich, technisch und juristisch beste Lösung für Ihr Unternehmen ist.

PwC begleitet Sie von der Konzeption bis zur Zertifizierung

Das Team der OSS-Experten bei PwC unterstützt Sie von der interdisziplinären Planung bis zur Implementierung Ihres maßgeschneiderten Open Source Compliance Prozesses. Wir beraten Sie zu Aspekten der rechtlichen Rahmenbedingungen, der strukturellen Anforderungen und der technischen Umsetzung, sowie der individuellen Auswahl von Tools, Lösungen und möglichen Dienstleistern.

Abschließend kann die PwC Attestierung nach OpenChain, als Gütesiegel eines gelungenen Open Source Compliance Management Systems für Sie und Ihre Produkte stehen. So schaffen Sie bei Ihren Kunden Vertrauen in die ordnungsgemäße Verwendung von Open Source Software in Ihren Produkten und Services.