Audyt licencji oprogramowania

Audyt licencjonowania oprogramowania lub audyt zgodności oprogramowania jest ważnym podzbiorem zarządzania zasobami oprogramowania i elementem zarządzania ryzykiem korporacyjnym. Gdy firma nie jest świadoma tego, jakie oprogramowanie jest zainstalowane i używane na jej komputerach, może to skutkować wieloma warstwami narażenia.

Podstawowymi korzyściami, jakie korporacja uzyskuje z przeprowadzenia audytu licencji na oprogramowanie, są większa kontrola i różne formy oszczędności kosztów. Audyt jest wykorzystywany zarówno jako mechanizm zwiększania wydajności w celu poprawy dystrybucji oprogramowania w organizacji, jak i jako mechanizm prewencyjny w celu uniknięcia ścigania naruszeń praw autorskich przez firmy produkujące oprogramowanie. Audyty licencji na oprogramowanie są ważną częścią zarządzania zasobami oprogramowania, ale służą również jako metoda zarządzania reputacją firmy poprzez zapewnienie, że firma działa zgodnie z wytycznymi prawnymi i etycznymi.

Audytów oprogramowania nie należy mylić z audytami kodu , które są przeprowadzane na kodzie źródłowym projektu oprogramowania.

Wyzwania

Jeśli firma audytorska samodzielnie skanuje bazę kodu, jednym z poważnych wyzwań są zmiany licencji pomiędzy wersjami. Niektóre biblioteki oprogramowania zaczynają się od jednej licencji, a później przechodzą na inną. Typowe przykłady to przejście z pojedynczej licencji liberalnej na model licencjonowania podwójnego (wybór między silnie wzajemną a płatną komercyjną) jak w przypadku iText , przejście z licencji bardziej wzajemnej na bardziej liberalną (jak w przypadku Qt Extended ) oraz open source do wcześniej komercyjnego kodu (w przypadku OpenJDK ). W takich przypadkach nie wystarczy wykryć, że użyto jakiejś biblioteki lub fragmentu kodu - trzeba poprawnie zidentyfikować dokładnie używaną wersję. Dalsze trudności mogą się pojawić, jeśli właściciel biblioteki usunie przestarzałe wersje (które były objęte inną licencją) ze źródeł publicznych.

Niektóre licencje (jak LGPL ) mają bardzo różne warunki prostego łączenia i tworzenia dzieł pochodnych. W takim przypadku właściwy audyt musi wziąć pod uwagę, czy biblioteka została podlinkowana lub czy powstała praca pochodna (custom branch).

Wreszcie, niektóre pakiety oprogramowania mogą wewnętrznie zawierać fragmenty kodu źródłowego (takie jak kod źródłowy Oracle Java), które mogą być udostępniane wyłącznie w celach informacyjnych lub mieć różne inne licencje, niekoniecznie zgodne z wewnętrznymi zasadami firmy. Jeśli zespół programistyczny faktycznie nie korzysta (lub nawet nie jest świadomy) o takich fragmentach, należy to postrzegać inaczej niż w przypadku, gdyby były one bezpośrednio powiązane.

Wszystkie te problemy są stosunkowo łatwe do rozwiązania, jeśli grupa audytująca współpracuje z zespołem programistycznym, który normalnie powinien znać używane wersje i tak dalej. Jeśli zespół programistyczny nie jest zaufany, niekompetentny audyt może znaleźć wiele „niespójności” i „naruszeń”, tam gdzie ich nie ma.

Zarządzanie zasobami oprogramowania

Zarządzanie zasobami oprogramowania to proces organizacyjny opisany w normie ISO/IEC 19770-1 . Obecnie jest również objęty normą ISO/IEC 27001 :2005 Technologia informatyczna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Wymagania oraz normą ISO/IEC 17799 :2005 Technika informatyczna – Techniki bezpieczeństwa – Kodeks postępowania w zakresie zarządzania bezpieczeństwem informacji.

Zarządzanie zasobami oprogramowania to kompleksowa strategia, którą należy realizować od góry do dołu w organizacji, aby była skuteczna i minimalizowała ryzyko. Audyt zgodności oprogramowania jest ważnym podzbiorem zarządzania zasobami oprogramowania i jest objęty wyżej wymienionymi standardami. W najprostszym przypadku obejmuje to:

Identyfikacja zasobów oprogramowania.
Weryfikacja Zasobów oprogramowania, w tym licencji, użytkowania i praw.
Identyfikacja luk, które mogą istnieć między tym, co istnieje w instalacjach, a posiadanymi licencjami i prawami użytkowania.
Podejmowanie działań w celu zamknięcia wszelkich luk.
Rejestrowanie wyników w scentralizowanej lokalizacji z zapisami Dowodów zakupu.

Sam proces audytu powinien być ciągłym działaniem, a nowoczesne oprogramowanie SAM identyfikuje, co jest zainstalowane, gdzie jest zainstalowane, jakie jest jego użycie i zapewnia uzgodnienie tego odkrycia z użytkowaniem. Jest to bardzo przydatny sposób kontrolowania instalacji oprogramowania i obniżania kosztów licencji. Duże organizacje nie mogłyby tego zrobić bez aplikacji do wykrywania i inwentaryzacji.

Od czasu do czasu audyty wewnętrzne lub zewnętrzne (przeprowadzane przez duże firmy księgowe) mogą przyjąć podejście kryminalistyczne w celu ustalenia, co jest zainstalowane na komputerach w organizacji, w celu upewnienia się, że wszystko to jest zgodne z prawem i autoryzowane oraz w celu zapewnienia, że proces przetwarzania transakcje lub zdarzenia są prawidłowe. Chociaż ktoś może zostać skonfrontowany z audytem dostawcy oprogramowania za pomocą uczciwych środków umownych i prawnych, należy znać i zastrzec swoje kluczowe prawa również w sytuacji audytu.

Audyty oprogramowania są elementem zarządzania ryzykiem korporacyjnym iz pewnością minimalizują ryzyko ścigania za naruszenie praw autorskich w związku z korzystaniem z nielicencjonowanego oprogramowania. Większość dostawców zezwala firmie na zawarcie ugody bez ścigania, chociaż w poważnych przypadkach z pewnością dochodzi do ścigania. Ponadto dzięki ścisłej polityce użytkowania oprogramowania ryzyko wirusów komputerowych jest zminimalizowane poprzez zapobieganie niekontrolowanemu kopiowaniu oprogramowania.

Organizacje

Dostawcy subskrybują organizacje, takie jak Federation Against Software Theft (FAST) i Business Software Alliance (BSA), aby zapewnić branżowe podejście do kontroli piractwa, fałszerstw i nielegalnego korzystania z oprogramowania. Nagłaśniają kampanie przeciwko nielegalnemu używaniu oprogramowania i nagradzają pracowników, którzy powiadomią ich o wszelkich naruszeniach, które skutkują skutecznym ściganiem i/lub odzyskaniem opłat licencyjnych.

Zobacz też