有传言说的全部开源的治理是扫描。扫描一个有效治理自保”吗?胡说,我们说。一个组件,而不是故事的全部。扫描将帮助你找出你,好了,但是然后呢?你怎么知道你有什么,你在做什么,没有一两个政策是极好的?一旦你已经做了的工作找出你有什么,你如何使用它,和你有这些政策,如何保持当前的信息?
这些问题表面划痕的问题我们认为是紧急的,和他们不是仅仅通过扫描来解决。
造谣者有一个议程,你会怀疑我们,太。毕竟,我们是公司OpenLogic交易所(OLEX),这有一个企业版旨在涵盖所有基地的开源治理。然而,放心,这篇文章的目的是推动我们的解决方案,分享我们的解决方案背后的思想。如果你能把另一个堆栈,涵盖了基地我们躺在这里为你,给你更多的权力。
治理的开源企业——六个元素
什么是你真正想要的开源治理简单到你(和用户)将几乎不知道它的存在。我们做过无数次,我们煮了六个要素:
- 政策——首先,决定什么是好,什么是不可以
- 库存——找出你所得到的
- 供应——找出你会得到更多…
- 管理-…而遵守规则# 1
- 审计——圆回来,确认一切都还好
- 报告包装纸,“OK”给你护理(和给他们闪光幻灯片)
方法这些元素大致步骤,他们会引导你通过一组练习决定舒适度和当前使用情况,建立监测和控制的使用和前进,并导致建立一个可持续的系统。
你会发现这里没有提到的“扫描”。这是因为我们相信扫描是一种手段,而不是终点。
政策
扫描到你的核心内容,但除非你有一个政策或政策,世界上如何你知道如果你找到的开源的使用在你的企业是“好的”,或不呢?“好”是什么?
要回答这个问题,你需要知道的一些东西,然后你需要创建一个开源的政策。下面的问题包括你和你的组织的基本问题需要回答。全面开放源码政策包括的项目通过# 6 # 2在这个列表中,我们会给你更多细节的。
1。合法的东西:如何以及为什么你使用开源软件?政策应该反映更广泛的策略——你有一个吗?你的法律团队审查开放源码许可吗?哪些开放资源许可企业友好为你的用例?是不同的许可证接受开源内部所使用的包和包在分布式嵌入式产品(例如,产品给合作伙伴或出售)?分布是这里的关键概念,因为许多开放源码许可包含特殊条款只在调用代码的情况下分布式下游。
2。得到:如何开源目前在您的组织评估和批准?用户从哪里得到源一旦批准使用一个包吗?有一个开源的审查委员会定义了请求和审批流程,或请求提交给部门经理,每一个都有不同的审查过程和风险承受能力阈值?有库,用户可以找到并下载包批准,还是员工随时从互联网下载开源吗?所有这些使用信息跟踪在哪里?谁是负责党在组织内?这些问题的目的是决定整个企业的标准是什么。治理的关键是确保用户都遵循相同的过程,使其政策。
3所示。使用它:是员工允许修改开源的代码,他们可以回到开源社区贡献代码改变吗?如果允许代码贡献,员工可以使用公司电子邮件地址当发布更改吗?员工被允许参与在线讨论使用他们公司的电子邮件地址吗?这些政策如何适用于承包商,海上资源,或合作伙伴吗?
4所示。更新:管理版本更新的指导方针是什么?开源项目通常比商业软件发布更多的公司,和大多数cio不想30种不同版本的一个特定的包部署整个企业。新版本发布需要通过评估和批准流程才可以部署?版本升级出于安全原因是必要的,但也可以存在多个版本问题时支持。让我们……
5。支持:是开源的支持您使用所需的一些包,所有的包,还是具体的?员工可以支持开源社区邮件列表,,如果是这样的话,他们可以发布问题使用公司电子邮件地址吗?或者做一些/所有特定的包需要商用技术支持(顺便说一下,你可以从OpenLogic——只是一个供参考,因为说真的,我们在这个金钱以及荣耀)。
6。沟通:组织如何跟踪和审计上述所有(或者至少是最相关的部分),和结果报告怎么样?多久也进行的审计,负责审计和报告是谁?你的政策如何适用于软件目前已经在使用和软件开发吗?
不要炫耀自己的角,但我们对这些东西明白事理。我们一直教学财富500强企业如何实现开源软件的好处了十年。我们提供开源政策研讨会以及一对一的指导组织寻求创造或改善他们的开源政策。我们还帮助组织评估和选择最适合他们的需求的开源软件包。只是说说而已。
好的,所以一旦你有你的政策,这是时间扫描。
库存
所有库存的作用是告诉你,开源软件和你在哪里使用它。
不要所有的存在,但是在你疯狂的库存,我们建议你先问为什么。你为什么,X Y公司的家伙,为什么你想要或需要一个你的开源库存?这里有一些原因我们听到我们的工作:
- 启动一个开源的政策
- 建立一个基线为正在进行的审计工作
- 计划的支持
- 管理安全更新
- 管理风险
- 准备分发、出售或捐赠软件
- 合并或收购做准备
- 遵守内部政策
- 遵守法规
- 遵守开放源码许可
- 管理知识产权问题
这些问题的重要性是不同的加权,如果开源的目的是用于在内部,或者它将被分发。例如,您的公司可能不需要过于担心“知识产权”问题如果你只在内部使用开源。一般来说,更重要的是扫描执照或代码片段在开源分布式企业外,和关注在技术支持更相关的开源软件内部使用的扫描。
简化了怎样的原因。有两种主要方法:如何问别人或扫描。要求人们告诉你它的开源软件包,许可证和/或代码片段使用他们有有明显的局限性。扫描工具更可靠,但有一群选择不同层次的成本和复杂性。与你的“为什么”信息,您可以选择扫描工具,给你你需要的信息符合上下文的资源(包括时间和金钱)。有几个开源扫描工具可以使用,但是下面列出的选项通常是一个很好的起点,如果你只是一个普通用户的开源——因为你不能击败价格(免费)。
- 扫描的开源软件包安装在服务器或桌面,你的最佳选择OSS发现,扫描应用程序由OpenLogic既免费和开源的。OSS发现会告诉你什么是安装在你的机器,或应用程序库是什么组成的,并且很容易下载和运行。OpenLogic还提供了一个免费的开源库存分析500使用OSS系统发现。相对无痛。
- 扫描开放源码许可,你可能想尝试像惠普解决方案FOSSology。FOSSology发现开放源码许可在源代码或二进制文件,这是一个自由和开放源码应用程序。学习曲线在这一点上有点高,但仍远低于行星物理。
如果你的软件公司或销售公司硬件包含开源软件,你可能想要考虑炮击的雄鹿一个专有的扫描工具。不过,请记住,这个选项还需要一些专家分析师运行工具和整理结果,所以确保你有在你的预算。
- 最复杂的扫描选项寻找开源的代码片段除了安装开源软件包和许可证。OpenLogic的扫描仪,扫描仪从黑鸭子和Palamida,是主要的选项如果你需要这种类型的工具。因为这些解决方案高,学习曲线和相关的成本,你不想走这条路,除非绝对必要。“绝对必要”,例如,如果你需要100%保证你不会有义务作为开源的代码发布,贵公司说,导弹防御系统计划卖给政府。如果你需要这种程度的报道,没有很多的选择,所以准备好花。幸运的是,大多数人可以靠一个更可行的勤奋。
重要的时候选择一个扫描解决方案是首先定义你的扫描目标。一旦你这样做,你可以选择正确的水平扫描能够满足您的需要。选择性和避免过度,但确保你覆盖你所有的基地——很可能你最终可能会使用不同的扫描工具来创建所需的结果在不同领域的组织。还有,记住,创建一个库存不会有一次活动。根据你的目标,你会想将来库存——例如当把一个新的应用程序投入生产或发布一个新产品。
接下来,你会想要一个地方和存储您的库存报告结果。你也想比较你的库存政策为了看到你可能,比方说,“规避”政策。一旦你收到你的库存反复核对与政策,你需要做一些补救,但后来你了,最新的,明确的。
和你将做什么政策和扫描结果之间反复核对的结果?最好是如果有一个地方来加载日志使用的扫描结果。如果这个地方应用你的政策,或针对政策和提供你检查报告违规行为,这将是最好的。中央开放源码管理工具,例如OLEX说,可能是一个不错的选择,但我们会进一步到一分钟。
供应
当你盘货的开源你已经有了,考虑建立一个前进的过程,将管理使用任何新的开源的用户需要。假设你采取我们的建议,把政策到位,你现在需要的是全面的的开源库这是安全,可靠,准备部署在企业。
有趣的是,开源OpenLogic图书馆就是这样一个地方。我们提供一个整洁的一站式免费通过OpenLogic交换(OLEX)来访问。OpenLogic库提供了最广泛的存储库的企业级开源软件。和“企业级”不仅仅是营销热点。如果你下载一个“认证”的开源包从OpenLogic图书馆,你知道它已经通过了我们42-point认证过程并符合质量的基本标准,可用性,和社区的支持。OLEX提供所有你需要的信息来决定是否一个包适合你的政策,我们也每天检查安全问题和提供补丁发布为所有关键业务项目。当我们发现这样一个问题,我们通过通知你OpenUpdate——一个HTML通讯OLEX企业版提供给用户。我们也卖支持开放源码如果你发现自己需要这样的服务。