computerwoche.de

Software-Infrastruktur

Auch Open Source braucht Lizenz-Management

03.04.2008
Von Sven Euteneuer und Frank Simon

Reifestufen für die Open-Source-Verwendung

Die Messung von Prozessreife entlang eines Stufenmodells ist in der Praxis sehr weit verbreitet und bewährt. Damit bietet es sich auch für das License Compliance Management an. Einem Unternehmen ist es damit möglich, das aktuelle Lizenzrisiko zu bewerten und gleichzeitig die strategische Zielfindung voranzutreiben. Für den Bereich des License Compliance Managements sind folgende fünf Reifegrade sinnvoll:

Unsensibilisiert (Stufe 1): Auf dieser Stufe existiert innerhalb eines Unternehmens kein Bewusstsein dafür, dass OSS nur unter bestimmten Bedingungen in kommerziellen Systemen eingesetzt werden kann. Die Organisation ist sich weder im Fall einer offenen, noch im Fall einer heimlichen Verwendung von Open-Source-Komponenten dieser Tatsache bewusst. Es existiert weder eine Einschätzung über die rechtlichen Auswirkungen der Lizenzen der verwendeten Komponenten, noch eine Beurteilung der Art der Verwendung und ihrer Konsequenzen.

Folgende Verbesserungen empfehlen sich für ein solches Unternehmen:

  • Einrichtung von Rollen in betroffenen Projekten, die Buch über freigegebene und verwendete externe Komponenten führen;

  • Schulung der Mitarbeiter bezüglich der Verwendung von Open-Source;

  • Erfassen aller verwendeten externen Komponenten in betroffenen Projekten

  • Erstellen einer Bibliothek freigegebener Komponenten mit ihren Versionen, Bezugsquellen und der Art der Freigabe;

  • Abgleich der freigegebenen Komponenten mit den verwendeten Komponenten.

Ungeprüft (Stufe 2): Auf dieser Stufe existiert innerhalb der Projekte ein Bauplan mit den vermeintlich verwendeten Komponenten und ihren Abhängigkeiten. Der Bauplan selbst ist allerdings nicht verifiziert und nicht auf Vollständigkeit geprüft. Es existieren lediglich konzeptuelle Regeln, die die Verwendung externer Komponenten in einigen Softwaresystemen festlegen. Diese Regeln unterliegen jedoch keiner Kontrolle. Ihre Verletzung bleibt also in der Regel ohne Konsequenz. Die Nutzung nicht korrekt verwendeter Komponenten kann nur zufällig entdeckt werden.

Mögliche Verbesserungsmaßnahmen sind:

  • Einführung punktueller Prüfprozesse;

  • Integration der Prüfungen in die projektspezifischen Vorgehensmodelle;

  • Abgleich der durch Prüfung ermittelten Ist-Zustände mit den dokumentierten Soll-Zuständen;

  • Falls nötig, Ableitung kurzfristiger und strategischer Maßnahmen zur Wiederherstellung juristisch einwandfreier Verwendung externer Komponenten.

Ad-Hoc geprüft (Stufe 3): Auf dieser Stufe existiert für einzelne Projekte ein geprüfter Bauplan mit den verwendeten Komponenten. Zugleich ist sichergestellt, dass diese gemäß den Lizenzbestimmungen eingesetzt sind. Die Ad-Hoc-Prüfung erfolgt zum Beispiel in von Kunden, Eigentümern oder Stakeholdern geforderten Due-Diligence-Analysen oder bei konkreten Vermutungen. Prüfungen erfolgen aber weder kontinuierlich, noch organisationsweit. Compliance kann also nicht für jeden Zeitpunkt und für jedes zu prüfende System zugesichert werden.

Mögliche Verbesserungsmaßnahmen sind:

  • Unternehmensweiter Ausbau der bisher nur punktuell eingesetzten LCM-Prüfinfrastruktur für eine kontinuierliche Prüfung aller zu untersuchenden Softwaresysteme;

  • Einbindung der Prüfprozesse in organisationsweite Stan-dardprozesse;

  • Schaffung von Rollen und Kompetenzen für die Einhaltung der Regeln.

Kontinuierlich geprüft (Stufe 4): Auf dieser Stufe existiert eine automatisierte Infrastruktur innerhalb eines Unternehmens, die fortwährend die juristische Korrektheit der Art und Weise der Wiederverwendung von OSS sicherstellt. Ein zentrales Management der verwendeten Lizenzen findet jedoch nicht statt. Dadurch geht für die Komponenten, die unter kommerziellen Lizenzen stehen, Effizienz durch potenzielle Über- oder Unterlizenzierung verloren. Eine Rückverfolgung der Komponenten zu den Projekten, die sie verwenden, ist nicht oder nur mit erheblichem Aufwand möglich.

Mögliche Verbesserungsmaßnahmen sind:

  • Aufbau eines umfassenden Lizenz-Managements mit LCM als Kernkomponente.

Strategisch geprüft (Stufe 5): Auf dieser Stufe macht es die kontinuierlich verfügbare Transparenz möglich, das Linzenz-Management im Rahmen einer Gesamtstrategie zu steuern. Diese Strategie stellt sicher, dass Software unternehmensweit entsprechend ihrer Lizenz verwendet wird. Dies schließt für Open-Source-Software die Prüfung auf Compliance ein, während für kommerzielle Software vorhandene und verwendete Lizenzen verwaltet und somit eine Unter- beziehungsweise Überlizenzierung vermieden wird.