NTT DATA präsentiert mit Licensight ein Tool für ein weitgehend automatisiertes und gut dokumentiertes Open-Source-Management. Es fügt sich nahtlos in Software-Entwicklungsprozesse ein, liefert einen Überblick über die verwendeten Open-Source-Komponenten und wacht über die Einhaltung aller internen Richtlinien zum Einsatz quelloffener Software.
Kaum ein Unternehmen kommt heute noch ohne Open Source in der Software-Entwicklung aus. Allerdings fehlt den meisten Unternehmen der Überblick, welche Komponenten sie tatsächlich einsetzen, unter welcher Lizenz diese stehen und welche Pflichten sich daraus ergeben.
So schreiben einige Lizenzen eine Veröffentlichung des Quellcodes von Software vor, die mithilfe der quelloffenen Frameworks oder Bibliotheken erstellt wurde, andere verlangen eine Nennung der genutzten Komponenten und ihrer Urheber. Verschärft wird diese Problematik noch dadurch, dass viele Open-Source-Komponenten externe Abhängigkeiten aufweisen und beispielsweise Bibliotheken von Drittanbietern einbinden.
Neben lizenzrechtlichen Risiken birgt die Vielzahl an Open-Source-Komponenten auch Sicherheitsrisiken, weil häufig unklar ist, welche Komponenten kritische Schwachstellen aufweisen und welche womöglich gar nicht mehr gepflegt werden. Ohne technische Hilfsmittel ist es für Unternehmen nahezu unmöglich, alle Sicherheitsrisiken zu erkennen und zu beseitigen und sämtliche Anforderungen zu erfüllen, die sich aus den Lizenzen ergeben.
Mit Licensight stellt NTT DATA ein Tool zur Verfügung, das Rechts- und Compliance-Abteilungen, Sicherheitsverantwortliche sowie Entwicklerinnen und Entwickler bei allen Aufgaben rund ums Open-Source-Management unterstützt. Es wird vom IT-Dienstleister selbst bei internen Entwicklungsprozessen genutzt und hat sich in der Praxis bereits bewährt.
Mit einem Policy Wizard erleichtert Licensight das Anlegen von Richtlinien zum Einsatz von Open Source. Anschließend wacht es über die Einbindung von Open-Source-Komponenten in Software-Projekte und verhindert die Einführung problematischer Pakete. Informationen zu Lizenzen und Schwachstellen holt sich das Tool automatisch über Schnittstellen aus öffentlichen Verzeichnissen oder von den Websites der Projekte.
Für Grenzfälle, Ausnahmen oder bislang unbekannte Lizenzen bringt es Werkzeuge für Review- und Freigabe-Prozesse mit der Rechtsabteilung mit und ermöglicht damit einen effizienten, rechtssicher dokumentierten Austausch ohne langen, unübersichtlichen Mail-Verkehr.
Damit hilft Licensight beim Herstellen von Open-Source-Compliance und der Umsetzung von Vorgaben, die sich aus Gesetzen und Verordnungen wie dem EU Cyber Resilience Act (CRA) und dem Digital Operational Resilience Act (DORA) ergeben. Diese verlangen von Unternehmen beispielsweise, dass sie Schwachstellen in ihren Systemen und Anwendungen identifizieren und beseitigen.
Neben aussagekräftigen Compliance-Reports erstellt Licensight auch eine sogenannte Copyright Notice mit allen notwendigen Informationen und eine Software Bill Of Materials (SBOM). Eine solche wird von vielen Kunden inzwischen eingefordert, weil sie genau wissen müssen, welche Komponenten von Drittanbietern sie sich mit einer Software ins Haus holen, um eigene Compliance-Vorgaben umzusetzen.