Lizenzmanagement Tool open Source

Das Lizenzmanagementtool Open Source

Kennst du eine Open Source oder Freeware Lizenzmanagement-Software? Lizenzverwaltung für Open Source Programme in der Verwaltungspraxis Konformität und Security sind zentrale Themen für die Informationstechnologie im Gesundheitswesen. Egal ob es sich um Wahlzettel, Steuererklärungen oder digitale Auszeichnungsverfahren handelt - im E-Government müssen Applikationen strengen Anforderungen genügen und die hohen Sicherheitshürden überwinden. Bis zu 50 Prozentpunkte der eingesetzten Programme bestehen aus Quelltext. Obwohl OSS-Komponenten per definitionem kostenfrei und freiverfügbar sind, bleiben die entsprechenden Lizenzbedingungen bestehen.

Häufig tritt das Problem erst bei Mergers & Acquisitions, beim Informationsaustausch mit OEMs oder wenn große Konzerne Open Source oder Handelscode zur Überprüfung durch eine unabhängige Partei anfordern, auf. Softwareanbieter, die keinen Einblick in die Verwendung von Drittanbieterkomponenten haben, sind ebenfalls kaum in der Situation, auf berichtete Sicherheitslücken zu antworten und innerhalb kürzester Frist Patchs und Aktualisierungen bereitzustellen.

Ordnungsgemäß integriert, verfolgt und protokolliert, verheißt der Umgang mit Open Source jedoch ein Höchstmaß an Übersicht. Gerade bei unternehmenskritischen Applikationen im Öffentlichen Sektor ist es erforderlich, entweder eine Open Source Lizenz für die Bereitstellung von Fremdsoftware zur Verfügung zu stellen oder mindestens den Source Code zur Verifikation offen zu legen. Im Rahmen einer Studie (PDF) wies der CCC auf erhebliche Sicherheitslücken in einer vielfach genutzten Wahlsoftware hin und verlangte als Mindestmassnahme die Publikation einer Wahlsoftware als Published Source mit öffentlich lesbarem Zugang zu den genutzten Quelltext-Revisionssystemen.

Durch geeignete Vorgehensweisen kann die Unbedenklichkeit der vertriebenen Programme auch bei ihrer Publikation garantiert werden. Beispielsweise haftet ein Unternehmer für die Beachtung der Lizenzbedingungen beim Verkauf seiner Produkte. Dies betrifft sowohl nicht dokumentierte Softwareabhängigkeiten als auch über die Software-Lieferkette in den Markt gebrachte Bauteile. Letztendlich obliegt die Verantwortlichkeit dem jeweiligen Produzenten - unabhängig davon, ob es sich um die Entwicklung eigener Softwareentwickler oder um Entwicklungs-Kits, Bauteile, Betriebssysteme und andere lauffähige Programme von Drittanbietern ausführt.

Infolgedessen werden die Compliance-Anforderungen des Open-Source-Bereichs zunehmend in Lieferantenverträge eingebettet, um Routineverpflichtungen wie z. B. Lizenztexte und Quellcodebundles einzuhalten und ein korrektes und zeitnahes Management von Abhängigkeitsbeziehungen zu gewährleisten. Verträge können auch eine detaillierte Dokumentierung aller Sicherheitsrisiken und Vorgehensweisen bei der Bearbeitung von Warnungen und Aktualisierungen beinhalten. Der erste Schritt ist die Einführung eines Freigabeprozesses für geistiges Eigentum und Open Source.

Die vorhandene Applikation wird auf die korrekte Zulassung aller Open-Source- und kommerzieller Software-Komponenten geprüft und in einer Offenlegungsdokumentation aufgeführt. Wird eine Lizenzverletzung festgestellt, muss sie korrigiert oder die betreffende Komponenten beseitigt und ihre Funktionsfähigkeit durch eine normkonforme Komponenten ergänzt werden. Im Falle veralteter Softwarepakete müssen Aktualisierungen durchgeführt und mögliche Schwächen beseitigt werden.

Falls das Projekt als Open Source verfügbar sein soll, bestimmt die finale Paketlizenz, welche anderen Open Source- oder Handelskomponenten mit dem für das Projekt gewählten Lizenzensystem vereinbar sind. Dies wird verwendet, um Sicherheitslücken im Quelltext des Produktes oder im Security-Modell für die ganze Applikation zu erkennen. So wird die firmeneigene Applikation sowohl für Open-Sourcing als auch für Third-Party-Reviews aufbereitet.

Dabei unterstützen uns unabhängige Fachleute - sowohl bei der fachlichen Umsetzung als auch im Dialog mit der Open Source Community. Um den Anforderungen an mehr Offenheit und Offenheit gerecht zu werden, müssen festgelegte Verfahren implementiert werden, die es ermöglichen, Open-Source- und Handelskomponenten in einem Softwareprodukt zu durchsuchen, zu verfolgen und zu verwalten. Denn nur so können Software-Anbieter das für sicherheitsrelevante Applikationen erforderliche Höchstmaß an Schutz gewährleisten - im Öffentlichen Dienst, in der Wirtschaft oder in Betrieben.

Hinweis: Wie gut kennst du Open Source?

Mehr zum Thema