Open Source Software und Compliance im Unternehmen: Ein Sheriff im Wilden Westen (glt24)

Chaos Computer Club - recent events feed (high quality)

内容由CCC media team提供。所有播客内容（包括剧集、图形和播客描述）均由 CCC media team 或其播客平台合作伙伴直接上传和提供。如果您认为有人在未经您许可的情况下使用您的受版权保护的作品，您可以按照此处概述的流程进行操作https://zh.player.fm/legal。

1M ago 25:06

MP4•单集首页

Wenn wir uns vorstellen, dass OSS der Wilde Westen ist, können viele Dinge sehr frei gemacht und umgesetzt werden – jedoch auch zum Vorteil Einzelner und nicht zwingend im Interesse der Gemeinschaft. Um gewisse Grenzen und Rahmenbedingungen in der Prärie aufzuzeigen, wird im Wilden Westen ein Sheriff ernannt. In Unternehmen werden im OSS-Kontext Open Source Program Offices (OSPOs) als eigene Instanzen etabliert, um die Rahmenbedingungen der OSS-Nutzung zu definieren und die Interessen des Unternehmens und der Community zu schützen. In diesem Talk betrachten wir das WAS und das WIE der Etablierung eines OSPOs in Unternehmen und teilen Erfahrungen und Einblicke aus der Praxis. Nachdem Unternehmen die tlw. strategische Entscheidung getroffen haben, Open Source Software einzusetzen, gilt es sicherzustellen, dass diese nicht willkürlich und unkontrolliert eingesetzt wird. Ziel ist es, die Balance zwischen Unternehmenszielen und freier Software-Entwicklung herzustellen, um den technischen Fortschritt zu fördern, die Potenziale von OSS auszuschöpfen, und Compliance-Einhaltung sicherzustellen. Warum? - Herausfordernd ist (1) die Einhaltung der komplexen und oftmals unübersichtlichen Rechte und Pflichten von Lizenz-Anforderungen, Identifikation von Lizenz-Inkompatibilitäten, Umgang mit Lizenz-Änderungen, oder die verpflichtende Anzeige von OSS-Lizenztexten. Zudem spielt (2) die Rückverfolgbarkeit von OSS-Komponenten entlang der Supply Chain eine Rolle und die verlässliche Erstellung einer Software Bill of Material. (3) Bei OSS ist aufgrund des öffentlichen Sourcecodes die Anzahl an gezielt gesuchten und gefundenen Vulnerabilities höher als bei proprietärer Software. - Mögliche Konsequenzen von Lizenz-Verstößen beinhalten Rechtsstreitigkeiten, Vertragsbrüche, Reputationsverluste, Produktrückrufe, Blacklisting,… Was? - Häufig wird eine eigene interdisziplinäre Instanz – ein Open Source Program Office – im Unternehmen etabliert - Die Lizenz.Konformität und Compliance von Produkten wird vor Release sichergestellt. Wie? - Die Aspekte Prozesse, Methoden, Tools, Organisationsstrukturen werden betrachtet und OSS-Compliance-Standards dahingehend etabliert. - Die rechtlichen Anforderungen werden aufgenommen und in die technischen Entwicklungsprozesse und in die CI/CD und Build Pipleline integriert. - Einführung von standardisierten Formaten wie SPDX, CycloneDX,…, um eine unternehmensübergreifende Zusammenarbeit sicherzustellen. Was kann da noch schief laufen? - Prozesse können den Time-to-market verlängern und den Entwicklungsprozess verlangsamen, wenn wichtige Prozessschritte nicht korrekt verortet sind. - Tools: Nach dem Motto ”A fool with a tool is still a fool” ist eine Tooleinführung nicht inhärent eine Produktivitätssteigerung. - Organisationsstrukturen: Organizational Change durch Veränderung von Verantwortlichkeiten, Veränderung bestehender Job-Descriptions, Bürokratien,…. Was erwartet uns im Vortrag? - Einblicke und Erfahrungen aus der Praxis in der Etablierung eines OSPOs in Unternehmen about this event: https://pretalx.linuxtage.at/glt24/talk/GSVKTF/

1886集单集

#Tech #Ccc Congress Hacking Security Netzpolitik #Germany #CCC media team #Video