Май 2015 скачать эту статью как PDF

Вопрос: нужно ли фирмы разработки программного обеспечения открытым исходным кодом политики?

А. Разработка превратилась из охраняемой подход создания коммерческих продуктов полностью собственного здания, вместе piecing собственности, сторонних, открытым исходным кодом и код подрядчика. Широкая доступность программного обеспечения с открытым исходным кодом (ПСОК) избавляет разработчиков от необходимости заново изобретать колесо, а ускорение развития и сокращение расходов. Действительно, широкая доступность, простота доступа и отсутствие финансовых затрат ПСОК привести многие разработчики считают, что это решение без риска для многих их насущных проблем в области развития. Однако как и любое коммерческое программное обеспечение сторонних, разработчикам необходимо уважать лицензирование и авторского права условия, которые регулируют, как можно использовать код OSS, адрес уязвимостей в системе безопасности, которые могут быть связаны с программным обеспечением и соблюдать правила экспортного контроля, если используемое программное обеспечение содержит реализации алгоритмов шифрования.

Лицензирование может быть особенно сложным вопросом для организаций, желающих использовать ПСОК в рамках своих программных продуктов. Хотя есть много различных типов лицензий ПСОК, они, как правило, подпадают под категории "авторское лево" или либеральными лицензиями. Как правило, лицензии с авторским левом, такие, как GNU General Public лицензия (GPL), требуют, выпущен продукты, содержащие код лицензии GPL лицензии. В отличие от разрешительной лицензии, например лицензии MIT, предоставьте пользователю большую гибкость с точки зрения как можно использовать программное обеспечение. Например Лицензия MIT позволяет пользователям делать все, что они хотят с программным обеспечением, до тех пор, пока копия лицензии сопровождает скопированного программного обеспечения. Возлагается на пользователя компонента OSS чтобы убедиться, что они соблюдают обязательства лицензии.

Как и своих собственных партнеров, ПСОК не устойчива к уязвимости системы безопасности. Разработчики должны убедиться, что определенные версии компонента OSS, которые они используют не связаны с нарушениями безопасности, которые могли бы подвергнуть их клиентов. Разработчики должны принять соответствующие меры, например, для обновления до новых версий, которые свободны от уязвимостей или заменить уязвимый компонент с другим открытым исходным компонентом. Наконец поставщики программного обеспечения, которые планируют экспортировать Программное обеспечение должно быть известно, что многих юрисдикциях, включая Соединенные Штаты, Великобритания и Канада, среди многих других, размещать строгие правила экспорта программного обеспечения, которое содержит алгоритмы шифрования или криптографии. Эти ограничения действуют независимо от алгоритмов шифрования являются частью модуля открытым исходным кодом, интегрированные в программный продукт или являются частью проприетарные кода.

Во всех но наименьший из кода портфелей управление вышеупомянутыми рисками может быть сложной. Эти проблемы могут препятствовать Организации от использования ПСОК в своих продуктах. Таким образом чтобы убедиться, что лицензия и авторские права обязательства рассматриваются, понесенные минимальное прерывание цикла разработки продукта и используют возможность использовать имеющиеся высококачественные OSS, фирмы разработки программного обеспечения должны осуществлять политику внутренней открытым исходным кодом.

Открытым исходным кодом политики четко определяет цели использования ПСОК в предпринимательстве, и описывает, как эти цели галстук в общей бизнес-стратегии. В качестве примера использование ПСОК компонентов может позволить компании сосредоточить свои усилия программного обеспечения исключительно на областях технологии, которые действительно отличают предложение компании. Или развертывание ПСОК может ускорить разработку продукта, который может связать перехитрить предприятия стратегии сокращения времени на рынок. Политика также определяет правила, которые управляют внутреннего и внешнего использования открытого программного обеспечения. В качестве примера, в то время как политика может быть снисходительным с точки зрения лицензий используется внутренним образом для создания и тестирования продукта, это может быть очень жесткими с точки зрения ограничения, какие компоненты могут быть отправлены как часть продукта (например, политика может заявить, что без лицензии GPL программное обеспечение необходимо частью распределенного продукта).

Кроме того политика должна четко определить команды, которая отвечает за свое развитие, эволюции и осуществления. Представители бизнес группы (например, менеджеры линии продуктов) и развития команды (например, архитекторы) может быть ответственность за развитие и эволюции политики, в то время как группа разработчиков может отвечать за его выполнение.

Другие аспекты, определенные политикой должна включать:

  • источники, из которых ПСОК компоненты могут быть получены (например, основного проекта веб-сайтов по сравнению с раздвоенным сайтов)
  • формы, в которых компоненты могут быть загружены (например, исходные файлы или двоичные файлы)
  • Текущее обслуживание OSS компонентов, используемых (например, процессы для применения регулярного обновления компонентов и аварийных исправлений, такие как исправления для уязвимостей системы безопасности)
  • шаги, которые следует предпринять, если обнаружено нарушение политики

В поддержку своей политики открытым исходным кодом компания может использовать инструменты соответствия открытым исходным кодом, которые могут быть интегрированы в любой или все этапы цикла разработки. Эти инструменты похожи на инструменты статического анализа кода, разработчики используют как часть их контроль качества тестирования. В то время как последние используются для проверки программного обеспечения для потенциальных вопросов кодирования, бывший используются для проверки кода на наличие открытых компонентов и отчет о связанных лицензий и авторские права, известные проблемы безопасности и шифрования содержимого. Инструменты статического анализа кода и открытым исходным кодом инструменты управления имеют схожие схемы использования, хотя сообщество пользователей для последнего больше и может включать юридические и лицензионные группы. Некоторые организации развития развернуть эти инструменты в конце цикла разработки, в то время как другие предпочитают интегрировать инструменты на протяжении всего цикла разработки, который уменьшает усилий по исправлению положения, которые могут потребоваться до выпуска продукта.

Средства управления открытым исходным кодом могут быть интегрированы в среду разработки, где они непрерывно контролировать использование ПСОК в режиме реального времени и помочь разработчикам с раннего обнаружения и исправления возможных нарушений политики, как они возникают. Кроме того эти средства могут быть интегрированы с инфраструктурой построения продукции; в качестве примера ночные сборки может вызвать инструмент для проверки базы кода для любых новых используемых ПСОК и лицензий, уязвимостей и другие атрибуты. Этот подход похож на как компании используют платформы модульного тестирования (например, Junit), где выполнение наборов тестов инициируется процесс построения программного обеспечения.

Таким образом растущее утверждение ПСОК компонентов в производстве программных продуктов мандатов, что пользователи такого программного обеспечения и реализации политики внутреннего открытого источника, которые управляют и управлять использованием такого программного обеспечения. Введение и осуществление такой политики лучше всего поддерживается использование инструментов управления открытым исходным кодом, которые автоматизируют анализ программного кода портфелей и помощи удаления любой неопределенности вокруг принятия открытого программного обеспечения.

Доля этой статьи:

Цитируете эту статью:

Оцените содержание: 
Нет голосов были поданы еще. Скажи свое слово!

Ключевые слова: открыть источник соответствия лицензии, управление открытого источника, уязвимостей в системе безопасности

Добавить новый комментарий

Обычный текст

  • Теги HTML не разрешены.
  • Адреса электронной почты и адреса страниц включите в ссылки автоматически.
  • Строки и параграфы переносятся автоматически.