Аудит лицензирования программного обеспечения
Эта статья нуждается в дополнительных цитатах для проверки . ( июль 2007 г. ) |
Аудит лицензирования программного обеспечения или аудит соответствия программного обеспечения является важным подразделом управления программными активами и компонентом корпоративного управления рисками. Когда компания не знает, какое программное обеспечение установлено и используется на ее машинах, это может привести к множеству уровней воздействия. [1]
Основными преимуществами, которые корпорация получает от проведения аудита лицензирования программного обеспечения, являются больший контроль и различные формы экономии средств.Аудит используется как в качестве механизма повышения эффективности распространения программного обеспечения внутри организации, так и в качестве превентивного механизма, позволяющего избежать судебного преследования за нарушение авторских прав со стороны компаний-разработчиков программного обеспечения. Аудит лицензирования программного обеспечения является важной частью управления активами программного обеспечения, но также служит методом управления корпоративной репутацией , гарантируя, что компания действует в соответствии с правовыми и этическими нормами.
Аудит программного обеспечения не следует путать с аудитом кода , который проводится на исходном коде программного проекта.
Проблемы
[ редактировать ]Если аудиторская компания самостоятельно сканирует базу кода, одной из серьезных проблем становится смена лицензий между версиями. Некоторые библиотеки программного обеспечения начинаются с одной лицензии, а затем переходят на другую. Типичными примерами являются переход от единой разрешительной лицензии к модели двойного лицензирования (выбор между строгой взаимной или платной коммерческой) как для iText , переход от более взаимной к более разрешительной лицензии (как для Qt Extended ) и открытый исходный код ранее коммерческого кода. (как для OpenJDK ). В таких случаях недостаточно обнаружить, что использовалась какая-то библиотека или фрагмент кода — необходимо правильно идентифицировать точную используемую версию. Дополнительные трудности могут возникнуть, если владелец библиотеки удалит устаревшие версии (которые находились под другой лицензией) из общедоступных источников.
Некоторые лицензии (например, LGPL ) предусматривают совершенно другие условия для простого связывания и создания производных работ. В таком случае при надлежащем аудите необходимо учитывать, была ли библиотека связана или была создана производная работа (пользовательская ветка).
Наконец, некоторые пакеты программного обеспечения могут содержать внутри себя фрагменты исходного кода (например, исходный код Oracle Java), которые могут предоставляться только для справки или иметь различные другие лицензии, не обязательно совместимые с внутренней политикой компании. Если команда разработчиков программного обеспечения фактически не использует (или даже не знает) о таких фрагментах, это следует рассматривать иначе, чем в случае, если бы они были напрямую связаны.
Все эти проблемы относительно легко решить, если группа аудита сотрудничает с командой разработчиков программного обеспечения, которая обычно должна знать используемые версии и так далее. Если команде разработчиков программного обеспечения не доверяют, некомпетентный аудит может обнаружить множество «несоответствий» и «нарушений» там, где их нет.
Управление программными активами
[ редактировать ]Управление программными активами — это организационный процесс, описанный в ISO/IEC 19770-1 . Теперь он также включен в ISO/IEC 27001 :2005 Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования. [2] и ISO/IEC 17799 :2005 Информационные технологии. Методы обеспечения безопасности. Кодекс практики управления информационной безопасностью. [3]
Управление активами программного обеспечения — это комплексная стратегия, которую необходимо реализовывать в организации сверху донизу, чтобы она была эффективной и минимизировала риски.Аудит соответствия программного обеспечения является важным подразделом управления программными активами и описан в вышеупомянутых стандартах. В самом простом случае это включает в себя следующее:
- Идентификация программных активов.
- Проверка программных активов, включая лицензии, использование и права.
- Выявление пробелов, которые могут существовать между тем, что имеется на установках, имеющимися лицензиями и правами на использование.
- Принятие мер по устранению любых пробелов.
- Запись результатов в централизованном месте с записями подтверждения покупки.
Сам процесс аудита должен быть непрерывным действием, и современное программное обеспечение SAM определяет, что установлено, где оно установлено, его использование, и обеспечивает сверку этого обнаружения с использованием. Это очень полезное средство контроля установки программного обеспечения и снижения затрат на лицензирование. Крупные организации не смогли бы сделать это без приложений для обнаружения и инвентаризации.
Время от времени внутренний или внешний (крупными аудиторскими фирмами) аудит может использовать криминалистический подход, чтобы установить, что установлено на компьютерах в организации, с целью убедиться в том, что все это является законным и авторизованным, а также гарантировать, что процесс его обработки транзакции или события верны. Хотя кто-то может столкнуться с аудитом поставщика программного обеспечения справедливыми договорными и юридическими средствами, он также должен знать и сохранять свои важные права в ситуации аудита. [4]
Аудит программного обеспечения является компонентом управления корпоративными рисками и, безусловно, минимизирует риск преследования за нарушение авторских прав из-за использования нелицензионного программного обеспечения. Большинство продавцов разрешают компании урегулировать ситуацию без судебного преследования, хотя в серьезных случаях судебное преследование, безусловно, имеет место. Кроме того, благодаря строгой политике использования программного обеспечения риск заражения компьютерными вирусами сводится к минимуму за счет предотвращения неконтролируемого копирования программного обеспечения.
Организации
[ редактировать ]Поставщики подписываются на такие организации, как Федерация по борьбе с кражей программного обеспечения (FAST) и Альянс программного обеспечения для бизнеса (BSA), чтобы обеспечить отраслевой подход к контролю над пиратством, подделкой и незаконным использованием программного обеспечения. Они рекламируют кампании против незаконного использования программного обеспечения и вознаграждают всех сотрудников, которые сообщают им о любых нарушениях, что приводит к успешному судебному преследованию и/или взысканию лицензионных сборов.
См. также
[ редактировать ]- Менеджер лицензий
- Альянс программного обеспечения для бизнеса
- Ассоциация индустрии программного обеспечения и информации
- Международная организация по стандартизации
- Австралийская ассоциация управления программными активами (ASAMA)
Ссылки
[ редактировать ]- ^ «Управление лицензиями на программное обеспечение» . Делл КАСЕ . Проверено 6 июля 2012 г.
- ^ «ИСО/МЭК 27001:2005» . 2005 . Проверено 23 марта 2008 г.
- ^ «ИСО/МЭК 17799:2005» . 2005 . Проверено 23 марта 2008 г.
- ^ «Аудит поставщиков – 10 основных прав клиента от объявления до расчета» . OMTCO Operations Management Technology Consulting GmbH . Проверено 4 июня 2013 г.