绵阳新闻网

首页 > 正文

新思科技助力奥林巴斯业务部门推进开源合规管理政策实施

www.tgyhc.com2019-09-11

可以分享2019.8.9我想分享

掌握代码库中包含的开源软件是确保安全性的第一步。开源治理不仅意味着知道正在使用哪些开源库,还意味着它们的使用位置和方式。 Synopsys的解决方案使用多因素方法来发现开源代码,帮助获得最完整的材料清单,提高准确性并减少误报。借助Synopsys的解决方案,用户可以在整个应用程序生命周期内自动管理开源安全和许可风险。奥林巴斯软件技术公司受益于Synopsys的解决方案。

概述

奥林巴斯软件技术公司(O-Soft)是奥林巴斯的一个部门,为各种奥林巴斯产品开发软件,包括医疗和工业设备以及数码相机软件。该公司的使命是通过加强软件开发来提升奥林巴斯产品的价值。

O-Soft软件战略办公室首席工程师Nobuko Hattori表示:“嵌入式软件正在成为我们产品中更重要的元素。软件越来越多地控制产品功能,质量和可用性。”

O-Soft开发人员使用各种软件,包括专有软件和开源软件(OSS),这也给治理带来了挑战,特别是那些与OSS许可相关的问题。

挑战:获取整个公司的开源政策支持

O-Soft高管采取积极主动的方法来应对OSS治理挑战。他们意识到,更好地了解公司软件代码库的要素非常重要。虽然他们了解为开发人员使用开源组件的好处,但他们也知道这也会带来治理挑战。他们的目标是实现开源代码管理的自动化,从开源代码开始,到整个开发过程以及供应链。这将有助于公司系统地控制开源成功集成到软件的开发和部署中。

实现这种自动化水平使公司能够避免无意中发送包含未知OSS代码的产品,同时避免许可违规的潜在法律风险。考虑到这一点,该部门开始实施合规政策,以在母公司内部和部门内实施。

首先,他们建立了OSS委员会,以研究和制定全面的开源合规管理政策。该委员会由奥林巴斯质量与环境部门领导,其代表包括法律,知识产权,IT和研发部门的代表。每个业务部门的软件开发人员也参与政策制定。 Nobuko Hattori致力于提高OSS许可证使用和重用的合规性,而无需对产品团队的产品开发过程进行重大更改。风险等级因产品而异,因此OSS委员会为每种产品开发了单独的OSS使用指南。

委员会面临的挑战之一是确保开发人员和其他员工遵守新准则。他们还必须确定如何将公司策略集成到每个产品组的开发过程中,为代码扫描选择可靠的工具和解决方案,并继续使用OSS进行敏捷软件开发。

O-Soft技术开发部门的部门经理兼技术官员Koji Asari解释说:“我们很快就会明白整个公司需要积极推动政策合规。”

Koji Asari补充道:“即使我们有一个官方政策,很明显我们仍然需要让所有利益相关者意识到OSS许可证合规性在软件开发中的重要性。但并非所有这些涉众都是软件专家,他们不一定理解OSS。利益相关者理解这些问题需要大量的努力和时间。

0×251d

自动化工具简化了OSS管理并促进了策略的实施

作为新OSS使用政策的一部分,O-Soft官员部署了用于开源合规管理的黑鸭解决方案。黑鸭子软件是Synopsys的一部分。

使用黑鸭轮毂执行以下操作:

确定使用中的特定开源组件和依赖项

自动将已知漏洞映射到正在使用的开源软件

评估安全风险并对漏洞进行分类

实施安全和许可政策并管理风险敞口

?计划和轨道维修

确定开源许可证并跟踪社区活动

小野信雄解释说:“黑鸭子在业界享有盛誉。因为公司要处理的代码量很大,我们需要一个自动化解决方案。

黑鸭子通过与其他现有的开发工具集成,自动扫描、发现和识别软件代码的来源。从黑鸭子扫描获得的宝贵信息可以帮助委员会获得企业利益相关者的支持。

她补充说:“委员会的一些成员已经成为积极的倡导者,在他们的支持下,我们在推动开发人员采用新政策方面取得了关键进展。”

“我们有很多海外分支机构,因此很难知道软件的开发位置以及是否包含OSS。借助Black Duck解决方案,我们可以更轻松地确定在何处使用非预期的OSS。许可证侵权的风险,“她说。已经大大减少。“

现在,O-Soft产品在交付前需要进行黑鸭扫描。

知识共享可确保开发人员了解使用策略

每个产品系列中的软件开发遵循不同的标准。因此,每个组的OSS使用指南都是定制的,以反映这些标准要求,例如任命一个人负责OSS监督,检查出于非预期OSS的软件等等。为了便于在内部共享这些标准,O-Soft创建了一个名为OSS Knowledge Site的企业知识数据库。该站点包括OSS用户指南中的内部教育的报告格式,指南,模板和材料。

OSS知识站点数据库允许Olympus开发人员访问有关企业OSS使用的许可信息,用例和解决方案信息。该公司还提供培训材料,以促进海外子公司采用新政策。

培训和教育是实现合规的关键

O-Soft对开发OSS使用策略的公司的建议是从小规模开始,然后逐步扩大公司的合规性。 Koji Asari和Nobuko Hattori表示,培训和教育也很重要。

Nobuko Hattori总结道:“了解每个团队的职能并采取切实可行的方法非常重要。例如,销售人员和不熟悉软件的人可能甚至不知道开源是什么,因此必须对其进行解释。同样重要的是不要仅仅强调风险,因为这可能会阻碍OSS的使用。虽然开发人员支持至关重要,但如果您还可以在培训活动中包含营销,销售和呼叫中心代理,则可以推动OSS治理。“

收集报告投诉

掌握代码库中包含的开源软件是确保安全性的第一步。开源治理不仅意味着知道正在使用哪些开源库,还意味着它们的使用位置和方式。 Synopsys的解决方案使用多因素方法来发现开源代码,帮助获得最完整的材料清单,提高准确性并减少误报。借助Synopsys的解决方案,用户可以在整个应用程序生命周期内自动管理开源安全和许可风险。奥林巴斯软件技术公司受益于Synopsys的解决方案。

概述

奥林巴斯软件技术公司(O-Soft)是奥林巴斯的一个部门,为各种奥林巴斯产品开发软件,包括医疗和工业设备以及数码相机软件。该公司的使命是通过加强软件开发来提升奥林巴斯产品的价值。

O-Soft软件战略办公室首席工程师Nobuko Hattori表示:“嵌入式软件正在成为我们产品中更重要的元素。软件越来越多地控制产品功能,质量和可用性。”

O-Soft开发人员使用各种软件,包括专有软件和开源软件(OSS),这也给治理带来了挑战,特别是那些与OSS许可相关的问题。

挑战:获取整个公司的开源政策支持

O-Soft高管采取积极主动的方法来应对OSS治理挑战。他们意识到,更好地了解公司软件代码库的要素非常重要。虽然他们了解为开发人员使用开源组件的好处,但他们也知道这也会带来治理挑战。他们的目标是实现开源代码管理的自动化,从开源代码开始,到整个开发过程以及供应链。这将有助于公司系统地控制开源成功集成到软件的开发和部署中。

实现这种自动化水平使公司能够避免无意中发送包含未知OSS代码的产品,同时避免许可违规的潜在法律风险。考虑到这一点,该部门开始实施合规政策,以在母公司内部和部门内实施。

首先,他们建立了OSS委员会,以研究和制定全面的开源合规管理政策。该委员会由奥林巴斯质量与环境部门领导,其代表包括法律,知识产权,IT和研发部门的代表。每个业务部门的软件开发人员也参与政策制定。 Nobuko Hattori致力于提高OSS许可证使用和重用的合规性,而无需对产品团队的产品开发过程进行重大更改。风险等级因产品而异,因此OSS委员会为每种产品开发了单独的OSS使用指南。

委员会面临的挑战之一是确保开发人员和其他员工遵守新准则。他们还必须确定如何将公司策略集成到每个产品组的开发过程中,为代码扫描选择可靠的工具和解决方案,并继续使用OSS进行敏捷软件开发。

O-Soft技术开发部门的部门经理兼技术官员Koji Asari解释说:“我们很快就会明白整个公司需要积极推动政策合规。”

Koji Asari补充道:“即使我们有官方政策,我们仍然需要让所有利益相关者都意识到OSS许可证合规性在软件开发中的重要性。但并非所有这些利益相关者都是软件专家,他们不一定了解OSS。利益相关者需要花费大量精力和时间来理解这些问题。“

自动化工具简化了OSS治理并促进了政策实施

作为新的OSS使用政策的一部分,O-Soft官员部署了Black Duck解决方案,用于开源合规性管理。 Black Duck Software是Synopsys的一部分。

使用Black Duck Hub执行以下操作:

确定使用中的特定开源组件和依赖项

自动将已知漏洞映射到正在使用的开源软件

评估安全风险并对漏洞进行分类

实施安全和许可政策并管理风险敞口

?安排和跟踪维修

识别开源许可证并跟踪社区活动

Nobuko Hattori解释说:“黑鸭在业界享有盛誉。由于公司必须处理的代码量很大,我们需要一个自动化解决方案。“

Black Duck通过与其他现有开发工具集成,自动扫描,发现和识别软件代码的来源。从Black Duck扫描中获得的有价值信息可以帮助委员会获得公司利益相关者的支持。

她补充说:“委员会的一些成员已成为积极的倡导者,在他们的支持下,我们在推动开发商采用新政策方面取得了重要进展。”

“我们有很多海外分支机构,因此很难知道软件的开发位置以及是否包含OSS。借助Black Duck解决方案,我们可以更轻松地确定在何处使用非预期的OSS。许可证侵权的风险,“她说。已经大大减少。“

现在,O-Soft产品在交付前需要进行黑鸭扫描。

知识共享可确保开发人员了解使用策略

每个产品系列中的软件开发遵循不同的标准。因此,每个组的OSS使用指南都是定制的,以反映这些标准要求,例如任命一个人负责OSS监督,检查出于非预期OSS的软件等等。为了便于在内部共享这些标准,O-Soft创建了一个名为OSS Knowledge Site的企业知识数据库。该站点包括OSS用户指南中的内部教育的报告格式,指南,模板和材料。

OSS知识站点数据库允许Olympus开发人员访问有关企业OSS使用的许可信息,用例和解决方案信息。该公司还提供培训材料,以促进海外子公司采用新政策。

培训和教育是实现合规的关键

O-Soft对开发OSS使用策略的公司的建议是从小规模开始,然后逐步扩大公司的合规性。 Koji Asari和Nobuko Hattori表示,培训和教育也很重要。

Nobuko Hattori总结道:“了解每个团队的职能并采取切实可行的方法非常重要。例如,销售人员和不熟悉软件的人可能甚至不知道开源是什么,因此必须对其进行解释。同样重要的是不要仅仅强调风险,因为这可能会阻碍OSS的使用。虽然开发人员支持至关重要,但如果您还可以在培训活动中包含营销,销售和呼叫中心代理,则可以推动OSS治理。“

热门浏览
热门排行榜
热门标签
日期归档