{"guid":"e6516672-88a5-5746-8590-64cd30cb359b","title":"Open Source Software und Compliance im Unternehmen: Ein Sheriff im Wilden Westen","subtitle":null,"slug":"glt24-448-open-source-software-und-compliance-im-unternehmen-ein-sheriff-im-wilden-westen","link":"https://pretalx.linuxtage.at/glt24/talk/GSVKTF/","description":"Wenn wir uns vorstellen, dass OSS der Wilde Westen ist, können viele Dinge sehr frei gemacht und umgesetzt werden – jedoch auch zum Vorteil Einzelner und nicht zwingend im Interesse der Gemeinschaft.\n\nUm gewisse Grenzen und Rahmenbedingungen in der Prärie aufzuzeigen, wird im Wilden Westen ein Sheriff ernannt. In Unternehmen werden im OSS-Kontext Open Source Program Offices (OSPOs) als eigene Instanzen etabliert, um die Rahmenbedingungen der OSS-Nutzung zu definieren und die Interessen des Unternehmens und der Community zu schützen.\n\nIn diesem Talk betrachten wir das WAS und das WIE der Etablierung eines OSPOs in Unternehmen und teilen Erfahrungen und Einblicke aus der Praxis.\n\nNachdem Unternehmen die tlw. strategische Entscheidung getroffen haben, Open Source Software einzusetzen, gilt es sicherzustellen, dass diese nicht willkürlich und unkontrolliert eingesetzt wird.\nZiel ist es, die Balance zwischen Unternehmenszielen und freier Software-Entwicklung herzustellen, um den technischen Fortschritt zu fördern, die Potenziale von OSS auszuschöpfen, und Compliance-Einhaltung sicherzustellen.\n\nWarum?\n- Herausfordernd ist (1) die Einhaltung der komplexen und oftmals unübersichtlichen Rechte und Pflichten von Lizenz-Anforderungen, Identifikation von Lizenz-Inkompatibilitäten, Umgang mit Lizenz-Änderungen, oder die verpflichtende Anzeige von OSS-Lizenztexten. Zudem spielt (2) die Rückverfolgbarkeit von OSS-Komponenten entlang der Supply Chain eine Rolle und die verlässliche Erstellung einer Software Bill of Material. (3) Bei OSS ist aufgrund des öffentlichen Sourcecodes die Anzahl an gezielt gesuchten und gefundenen Vulnerabilities höher als bei proprietärer Software.\n- Mögliche Konsequenzen von Lizenz-Verstößen beinhalten Rechtsstreitigkeiten, Vertragsbrüche, Reputationsverluste, Produktrückrufe, Blacklisting,…\n\nWas?\n- Häufig wird eine eigene interdisziplinäre Instanz – ein Open Source Program Office – im Unternehmen etabliert \n- Die Lizenz.Konformität und Compliance von Produkten wird vor Release sichergestellt.\n\nWie?\n- Die Aspekte Prozesse, Methoden, Tools, Organisationsstrukturen werden betrachtet und OSS-Compliance-Standards dahingehend etabliert.\n- Die rechtlichen Anforderungen werden aufgenommen und in die technischen Entwicklungsprozesse und in die CI/CD und Build Pipleline integriert.\n- Einführung von standardisierten Formaten wie SPDX, CycloneDX,…, um eine unternehmensübergreifende Zusammenarbeit sicherzustellen.\n\nWas kann da noch schief laufen?\n- Prozesse können den Time-to-market verlängern und den Entwicklungsprozess verlangsamen, wenn wichtige Prozessschritte nicht korrekt verortet sind.\n- Tools: Nach dem Motto ”A fool with a tool is still a fool” ist eine Tooleinführung nicht inhärent eine Produktivitätssteigerung.\n- Organisationsstrukturen: Organizational Change durch Veränderung von Verantwortlichkeiten, Veränderung bestehender Job-Descriptions, Bürokratien,….\n\nWas erwartet uns im Vortrag?\n- Einblicke und Erfahrungen aus der Praxis in der Etablierung eines OSPOs in Unternehmen","original_language":"deu","persons":["Birgit Brandstetter","Nepomuk Trauttmansdorff"],"tags":["glt24","448","2024","Sicherheit"],"view_count":137,"promoted":false,"date":"2024-04-06T11:35:00.000+02:00","release_date":"2024-04-06T00:00:00.000+02:00","updated_at":"2026-01-11T14:30:23.713+01:00","length":1506,"duration":1506,"thumb_url":"https://static.media.ccc.de/media/events/glt/2024/448-e6516672-88a5-5746-8590-64cd30cb359b.jpg","poster_url":"https://static.media.ccc.de/media/events/glt/2024/448-e6516672-88a5-5746-8590-64cd30cb359b_preview.jpg","timeline_url":"https://static.media.ccc.de/media/events/glt/2024/448-e6516672-88a5-5746-8590-64cd30cb359b.timeline.jpg","thumbnails_url":"https://static.media.ccc.de/media/events/glt/2024/448-e6516672-88a5-5746-8590-64cd30cb359b.thumbnails.vtt","frontend_link":"https://media.ccc.de/v/glt24-448-open-source-software-und-compliance-im-unternehmen-ein-sheriff-im-wilden-westen","url":"https://api.media.ccc.de/public/events/e6516672-88a5-5746-8590-64cd30cb359b","conference_title":"Grazer Linuxtage 2024","conference_url":"https://api.media.ccc.de/public/conferences/glt24","related":[],"recordings":[{"size":221,"length":1506,"mime_type":"video/webm","language":"deu","filename":"glt24-448-deu-Open_Source_Software_und_Compliance_im_Unternehmen_Ein_Sheriff_im_Wilden_Westen_webm-hd.webm","state":"new","folder":"webm-hd","high_quality":true,"width":1920,"height":1080,"updated_at":"2024-04-07T04:22:06.892+02:00","recording_url":"https://cdn.media.ccc.de/events/glt24/webm-hd/glt24-448-deu-Open_Source_Software_und_Compliance_im_Unternehmen_Ein_Sheriff_im_Wilden_Westen_webm-hd.webm","url":"https://api.media.ccc.de/public/recordings/77037","event_url":"https://api.media.ccc.de/public/events/e6516672-88a5-5746-8590-64cd30cb359b","conference_url":"https://api.media.ccc.de/public/conferences/glt24"},{"size":85,"length":1506,"mime_type":"video/webm","language":"deu","filename":"glt24-448-deu-Open_Source_Software_und_Compliance_im_Unternehmen_Ein_Sheriff_im_Wilden_Westen_webm-sd.webm","state":"new","folder":"webm-sd","high_quality":false,"width":720,"height":576,"updated_at":"2024-04-06T20:02:25.262+02:00","recording_url":"https://cdn.media.ccc.de/events/glt24/webm-sd/glt24-448-deu-Open_Source_Software_und_Compliance_im_Unternehmen_Ein_Sheriff_im_Wilden_Westen_webm-sd.webm","url":"https://api.media.ccc.de/public/recordings/77007","event_url":"https://api.media.ccc.de/public/events/e6516672-88a5-5746-8590-64cd30cb359b","conference_url":"https://api.media.ccc.de/public/conferences/glt24"},{"size":22,"length":1506,"mime_type":"audio/mpeg","language":"deu","filename":"glt24-448-deu-Open_Source_Software_und_Compliance_im_Unternehmen_Ein_Sheriff_im_Wilden_Westen_mp3.mp3","state":"new","folder":"mp3","high_quality":false,"width":0,"height":0,"updated_at":"2024-04-06T14:54:02.947+02:00","recording_url":"https://cdn.media.ccc.de/events/glt24/mp3/glt24-448-deu-Open_Source_Software_und_Compliance_im_Unternehmen_Ein_Sheriff_im_Wilden_Westen_mp3.mp3","url":"https://api.media.ccc.de/public/recordings/76909","event_url":"https://api.media.ccc.de/public/events/e6516672-88a5-5746-8590-64cd30cb359b","conference_url":"https://api.media.ccc.de/public/conferences/glt24"},{"size":16,"length":1506,"mime_type":"audio/opus","language":"deu","filename":"glt24-448-deu-Open_Source_Software_und_Compliance_im_Unternehmen_Ein_Sheriff_im_Wilden_Westen_opus.opus","state":"new","folder":"opus","high_quality":false,"width":0,"height":0,"updated_at":"2024-04-06T14:53:34.477+02:00","recording_url":"https://cdn.media.ccc.de/events/glt24/opus/glt24-448-deu-Open_Source_Software_und_Compliance_im_Unternehmen_Ein_Sheriff_im_Wilden_Westen_opus.opus","url":"https://api.media.ccc.de/public/recordings/76908","event_url":"https://api.media.ccc.de/public/events/e6516672-88a5-5746-8590-64cd30cb359b","conference_url":"https://api.media.ccc.de/public/conferences/glt24"},{"size":53,"length":1506,"mime_type":"video/mp4","language":"deu","filename":"glt24-448-deu-Open_Source_Software_und_Compliance_im_Unternehmen_Ein_Sheriff_im_Wilden_Westen_sd.mp4","state":"new","folder":"h264-sd","high_quality":false,"width":720,"height":576,"updated_at":"2024-04-06T14:52:03.776+02:00","recording_url":"https://cdn.media.ccc.de/events/glt24/h264-sd/glt24-448-deu-Open_Source_Software_und_Compliance_im_Unternehmen_Ein_Sheriff_im_Wilden_Westen_sd.mp4","url":"https://api.media.ccc.de/public/recordings/76905","event_url":"https://api.media.ccc.de/public/events/e6516672-88a5-5746-8590-64cd30cb359b","conference_url":"https://api.media.ccc.de/public/conferences/glt24"},{"size":226,"length":1506,"mime_type":"video/mp4","language":"deu","filename":"glt24-448-deu-Open_Source_Software_und_Compliance_im_Unternehmen_Ein_Sheriff_im_Wilden_Westen_hd.mp4","state":"new","folder":"h264-hd","high_quality":true,"width":1920,"height":1080,"updated_at":"2024-04-06T14:44:18.410+02:00","recording_url":"https://cdn.media.ccc.de/events/glt24/h264-hd/glt24-448-deu-Open_Source_Software_und_Compliance_im_Unternehmen_Ein_Sheriff_im_Wilden_Westen_hd.mp4","url":"https://api.media.ccc.de/public/recordings/76902","event_url":"https://api.media.ccc.de/public/events/e6516672-88a5-5746-8590-64cd30cb359b","conference_url":"https://api.media.ccc.de/public/conferences/glt24"}]}