多年來，全球的安全、開發和法務團隊一直依靠 Black Duck（隸屬于新思科技）管理使用開源軟件帶來的風險?；?Black Duck 知識庫？， Black Duck 軟件組成分析解決方案和開源審計為企業提供必要的洞見，用于跟蹤代碼中的開源、降低安全性和許可合規性風險。奧林巴斯軟件技術公司是Black Duck其中一位用戶。

概述

奧林巴斯軟件技術公司（O－Soft）是奧林巴斯公司的一個部門，為各種奧林巴斯產品開發軟件，包括醫療和工業設備以及數碼相機軟件。該公司的使命是通過加強軟件開發來提升奧林巴斯產品的價值。

O－Soft軟件戰略辦公室首席工程師Nobuko Hattori 指出：“嵌入式軟件正在成為我們產品中更重要的元素。軟件越來越多地控制產品功能、質量和可用性。”

O－Soft開發人員使用多種類軟件，包括專有軟件和開源軟件（OSS），這也給治理帶來挑戰，尤其是與OSS許可相關的問題。

挑戰：獲得在公司范圍使用開源的政策支持

O－Soft高管采取積極主動的方法來解決OSS治理挑戰。他們意識到，更好地了解公司軟件代碼庫的元素至關重要。雖然他們了解開發人員使用開源組件的好處，但他們也知道這也會帶來治理難題。他們的目標是開源代碼管理自動化，從開始使用開源代碼，到整個開發過程以及在供應鏈中。這將有助于公司能夠系統地控制開源成功地集成到軟件的開發和部署中。

實現這種自動化水平使公司能夠避免無意中發送包含未知OSS代碼的產品，同時避免許可違規帶來的潛在法律風險?？紤]到這一點，該部門著手制定一項合規政策，以便在母公司以及分部內部實施。

首先，他們建立了一個OSS委員會，研究和制定全面的開源合規管理政策。該委員會由奧林巴斯質量與環境部門領導，其成員包括法律、知識產權、IT和研發部門的代表。每個業務部門的軟件開發人員也參與了制定政策的工作。 Nobuko Hattori致力于提高OSS許可證使用和重用的合規性，而無需對產品團隊的各個軟件開發流程進行大幅更改。風險等級因產品而異，因此OSS委員會制定了單獨的OSS使用指南，以應用于每種產品。

委員會面臨的一個挑戰是確保開發人員和其他員工遵守新準則。他們還必須確定如何將公司政策整合到各個產品組的開發流程中、為代碼掃描選擇可靠的工具和解決方案，并持續使用OSS實現敏捷軟件開發。

O－Soft技術開發部門的部門經理和技術官員Koji Asari解釋道：“我們很快就會明白，整個公司都需要積極推動政策合規性。”

Koji Asari補充說：“即使我們制定了官方政策，很明顯我們仍然需要讓所有利益相關者了解軟件開發中OSS許可證合規性的重要性。但并非所有這些利益相關者都是軟件專家，他們不一定了解OSS。讓利益相關者了解這些問題需要花費大量精力和時間?！?/p>

自動化工具簡化了OSS治理，促進政策實施

作為新的OSS使用政策的一部分，O－Soft官員部署了Black Duck解決方案進行開源合規管理。Black Duck軟件公司隸屬于新思科技。

使用Black Duck Hub可以開展下述工作：

確定正在使用中的特定開源組件以及依賴關系

自動將已知漏洞映射到正在使用的開源軟件中

評估安全風險并對漏洞進行分類

落實安全性及許可證政策，管理風險敞口

安排和跟蹤修復措施

識別開源許可證并跟蹤社區活動

Nobuko Hattori解釋說：“Black Duck在業界享有盛譽。由于公司必須處理的代碼量很龐大，我們需要一個自動化解決方案?！?/p>

Black Duck通過與其它現有開發工具集成，自動掃描，發現并識別軟件代碼的來源。從Black Duck掃描中獲得的有價值的信息可以幫助委員會從公司利益相關者那里獲得支持。

她補充道：“委員會的部分成員成為了積極的倡導者，在他們的支持下，我們在推動開發人員采用新政策方面取得了關鍵進展?！?/p>

她說：“我們有很多海外子公司，因此很難知道軟件的開發地點以及是否包含OSS。得益于Black Duck解決方案，我們可以更輕松判斷出使用非預期OSS的位置。許可證侵權的風險已大幅降低?！?/p>

現在O－Soft的產品在交付前都需要進行Black Duck掃描。

知識共享方式可確保開發人員了解使用策略

每個產品系列中的軟件開發都遵循不同的標準。因此，每個組的OSS使用指南是定制的，以反映這些標準要求，例如任命一個人負責OSS監督，檢查外包軟件是否存在非預期的OSS等。為了便于在內部共享這些標準，O－Soft創建了一個名為OSS Knowledge Site的企業知識數據庫。該站點包括用于OSS使用指南內部教育的報告格式、指南、模板和材料。

OSS Knowledge Site企業知識數據庫允許奧林巴斯的開發人員訪問，提供有關企業OSS使用的許可信息、用例和解決方案信息。該公司還提供培訓材料，以促進海外子公司采用新政策。

培訓和教育是促成合規的關鍵

O－Soft對開發OSS使用策略的公司的建議是從小規模開始著手，再逐步擴展整個公司的合規性。Koji Asari和Nobuko Hattori提出，培訓和教育也很關鍵。

Nobuko Hattori總結道：“理解每個團隊的職能并采取切實的方法非常重要。例如，銷售人員和不熟悉軟件的人可能甚至不知道開源是什么，因此必須對其進行解釋。同樣重要的是不要只是強調風險，因為這可能會阻礙OSS的使用。雖然開發人員的支持至關重要，但如果還可以將市場營銷、銷售和呼叫中心代理的工作人員都納入培訓活動，這可以推動OSS治理。”