在我的前两篇文章中,我总结了一些原因:各种类型和规模的客户都会影响公司的开源软件策略。今天,我们探索了一些方法来确保客户对您的开放源码软件策略和策略规则没有影响,或者至少影响很小。
开发一个有效的开放源码供应策略。
通过记录所有开放源码软件的使用、版本信息和许可信息当开放源码进入一个组织时,您的公司已经准备好自信地、快速地回答客户关于公开这些信息的请求。取决于您的行业和您的客户是谁,您可能选择提供这些信息,也可能不选择提供这些信息,但是至少您已经准备好了一个关于开源软件资产基线清单的答案。供应记录可以通过一个简单的手动过程创建并在一个扩展表上跟踪,或者通过使用供应管理工具自动跟踪从指定代码存储库中下载的开放源码。
使开发人员能够继续通过实施要求和审批过程中使用新的开放源代码。
创建一个简单的请求和批准流程,要求组织中的开源用户记录某些信息,这与其他类型的成功项目管理并没有什么不同。大多数有效管理开源使用的组织通过三类应用于开源产品和许可类型来简化这个过程:1)预先批准使用,2)禁止使用,3)使用需要有条件的批准。无论是在小型、中型还是大型的团队中,积极的沟通都是成功的关键。在这种情况下,沟通需要集中于对继续利用开放源码有共同兴趣的组织:技术、法律和业务涉众都需要主动发起这些讨论。
通过扫描工具确认你确实知道你认为你知道的东西。
在我们的博客和这个行业中,一个共同的主题是创建一种“信任但验证”的开源文化。如果您在开源供应阶段和请求批准过程中积极记录使用情况,那么确认这些记录是准确的是有意义的。用…作类比我的第一篇博客文章:如果我要成功一样简单的事情)赚钱,让它在一个银行账户,和花钱的银行账户,然后我需要定期B)仔细检查的钱从哪里来,知道多少钱在账户,确保我知道钱最终,当它离开我的帐户。通过定期使用开源扫描工具,或者通过自动化扫描并将扫描集成到开发环境中,您将能够轻松地将扫描结果与供应记录、请求和批准报告交叉引用,以验证您的策略管理过程。
定期召开开源评审委员会会议
拥有成熟的开源策略管理策略的公司至少每月召开一次OSRB会议。这些会议的议程可能包括:
- 查看开放源码供应或下载报告,了解策略规则违规和安全漏洞
- 检查未完成的开源请求,以确定批准或拒绝状态
- 基于供应报告和未完成的请求批准决定的发现,潜在地编写新的OSS策略规则
- 查看政策违规和安全漏洞所有OSS扫描结果
- 根据扫描结果报告可能写入新的OSS策略规则
- 查看许可证合规性行动项目的所有OSS扫描结果
- 如果需要遵守的行动,或者如果安全漏洞被发现,内部整治所有权分配给完成
希望本文能够帮助您在今年开始在您的开源管理策略中实现这些过程!
