TrustSource macht Ihren FOSS-Prozess OpenChain-konform
OpenChain ist eine Spezifikation von Anforderungen, die entwickelt wurde, um Unternehmen dabei zu helfen, eine grundsolide Verfarhensweise für den Umgang mit OpenSource zu etablieren. Stark verkürzt stellt die Spezifikation fünf zentrale Forderungen:
- Kläre die Verantwortlichkeiten – Typischerweise findet diese Definition ihren Niederschlag in Policies, hier wird jedoch auch gefordert, dass diese bekannt sind/gelebt werden.
- Organisiere Verantwortlichkeit – Zudem fordert die Spezifikation die Zuweisung und das Wahrnehmen der identifizeirten/beschriebenen Rollen.
- Analysiere und begutachte FOSS – FOSS Artefakte sind entsprechend zu identifizieren, analysieren und dokumentieren. Es soll genügend Kapazität vorhanden sein, die Aufgaben kompetent durchzuführen.
- Erstelle FOSS Dokumentation – Die erforderlichen Artefakte (z.Bsp. Notice File) müssen erstellt werden
- Verstehe (unterstütze) die Community – Sorge für die Verfügbarkeit von Regelungen und Commiter-Policies, um die Zulieferungen / Mitarbeit an Open Source zu ermöglichen
Die Spezifikation sieht darüber hinaus noch als sechstes Ziel die Zertifizierung dieser Prozesse an. Von einem operativem Standpunkt betrachtet, macht das jedoch keinen Unterschied, sind die 5 ersten Ziele erst einmal implementiert. (Na gut, vielleicht im Marketing…)
Lesen Sie hier, wie TrustSource Ihnen helfen kann, diese Ziele zu erreichen:
Holen Sie sich die Zusammenfassung
Wir – Mitgleider des Openchain Gremiums – haben die OpenChain Spezifikation leicht lesbar zusammengefasst und gleich notiert, wie TrustSource Sie bei der Erreichung der Ziele unterstützen kann. Holen Sie sich das siebenseitige PDF-Dokument!
Verbreiten und Bekanntmachen der OS-Policy
TrustSource bietet dem Compliance Manager die Möglichkeit, Benutzer auf Neuigkeiten und Änderungen in den Policies aufmerksam zu machen und die Akzeptanz (Leserate, Akzeptanzrate) zu verfolgen, bzw. Kommunikationsbedarf zu identifizieren.
Automatiserte Analyse der Abhängigkeiten
Mit Hilfe vieler Integrationen in die gängigen CD/CI-Werkzeuge und Build-Tools automatisert TrustSource die Analyse. Alle verbauten Abhängigkeiten werden im Moment des Bauens erfasst und als Struktuliste an das TrustSource-API zur Analyse übermittelt. Somit bleibt ihr Quellcode privat, die wichitige rechtliche Eignungsprüfung kann jedoch vollständig erfolgen.
Alle Integrationen sind selbst open source. Sie sehen also genau, was übermittelt wird. Auch können Sie dem Pronzip folgend, eigene Integrationen erstellen, wenn wir ein Werkzeug noch nicht unterstützen sollten.
Keep it green!!!
TrustSource macht Compliance greifbar. Durch ein simples Ampelfarben-Prinzip wird Handlunsgbedarf sofort ersichtlich. Die einfache Handlungsdirekttive lautet „Sorge dafür, dass es grün ist“. Damit wird Open Source Compliance zu einem leicht uz verstehenden und zu erreichendem Ziel. Ob es dabei um rechtliche Verpflichtung oder um Vulnerabilities (Schwachstellen) geht, trustSource macht den Handlunsgbedarf sichtbar.
Mächtige Filter-Einstellungen, ausführliche Berichte und kompakte Übersichten, geben den Entwicklern alle erforderlichen Informationen an die Hand, um für Compliance zu sorgen. Integration in Jira oder Team foundation Services erlauben es zudem, Tickets zu erstellen und in ihre Umsetzung nachzuverfolgen.
Den Anwalt automatisiert
Die rechtliche Interpretation des Anwendungsfalles und das zugehörige Auflösen der Verpflichtungen basiert auf vielen Faktoren, die es bisher nur rechtlich geschultem Personal möglich gemacht haben, die Verpflichtungen in einer konkreten Situation abzuleiten. Wir haben einen Legal Solver entwickelt, der diese Aufgabe automatisiert und die Verpflichtungen zusammentragen kann. Dies ermöglicht es, den Anwalt quasi in den CI/CD-prozess einzubauen und mit jedem Build aktuallisert zu prüfen.
Hier unterstützt TrustSource die OpenChain-Forderung, hinreichend rechtliche Kompetenz zur Verfügung zu stellen, um die OpenSource-Anwendungsfälle zu behandeln.
Generatoren für die Compliance Artefakte
Aufsetzend auf dem detailleirten Verständnis, wie es sich um den Komponenten-Status verhält und welche Verpflichtugen damit einhergehen, kann TrustSource auf die Erstellung von Compliance-Artefakten wie Bill of Materials oder Notice File unterstützen. So generiert TrustSource beispielsweise das komplette Notice-File auf Knopfdruck und hilft bei der der Fertigstellung mit Hinweisen und ToDos. APIs helfen bei der Veröffentlichung der Ergebnisse.
Damit unterstützt TrustSource die OpenChain-Forderung nach der Erstellung geeigneter Compliance Artefakte.
Starten Sie Ihren Test noch heute
Um mehr über die genialen Eigenschaften von TrustSource zu erfahren oder Sie gleich auzuprobieren, starten Sie ihren Test im Free Account oder kontaktieren Sie uns für eine Unternehmensevaluation. Unsere Kollegen freuen sich, Sie dabei zu unterstützen, wie Sie TrustSource mit Ihrem compliance Programm in Einklang bringen.