Weniger Lizenzverletzungen und Schwachstellen NTT Data hilft beim rechtskonformen Einsatz von Open-Source-Software

Anbieter zum Thema

NTT DATA Deutschland SE

netfiles GmbH

Hyland Software Germany GmbH

Yorizon GmbH & Co. KG

NTT Data präsentiert mit Licensight ein Tool für Open-Source-Compliance. Es lasse sich nahtlos in Entwicklungsprozesse einfügen, liefere einen Überblick über verwendete Open-Source-Komponenten und überwache die Einhaltung interner Richtlinien zum Einsatz quelloffener Software.

Den meisten Unternehmen, die Open Source in der Software-Entwicklung nutzen, fehlt der Überblick, welche Komponenten sie tatsächlich einsetzen, unter welcher Lizenz diese stehen und welche Pflichten sich daraus ergeben, sagt NTT Data. So würden einige Lizenzen eine Veröffentlichung des Quellcodes von Software vorschreiben, die mithilfe der quelloffenen Frameworks oder Bibliotheken erstellt wurde, andere würden eine Nennung der genutzten Komponenten und ihrer Urheber verlangen. Verschärft werde diese Problematik noch dadurch, dass viele Open-Source-Komponenten externe Abhängigkeiten aufweisen und beispielsweise Bibliotheken von Drittanbietern einbinden.

Neben lizenzrechtlichen Risiken berge die Vielzahl an Open-Source-Komponenten auch Sicherheitsrisiken, weil häufig unklar sei, welche Komponenten kritische Schwachstellen aufweisen und welche womöglich gar nicht mehr gepflegt werden. Ohne technische Hilfsmittel sei es für Unternehmen nahezu unmöglich, alle Sicherheitsrisiken zu erkennen und zu beseitigen und sämtliche Anforderungen zu erfüllen, die sich aus den Lizenzen ergeben.

Mit Licensight könne NTT Data nun ein Tool zur Verfügung stellen, das Rechts- und Compliance-Abteilungen, Sicherheitsverantwortliche sowie Entwicklerinnen und Entwickler bei allen Aufgaben rund ums Open-Source-Management unterstützt. Es werde vom IT-Dienstleister selbst bei internen Entwicklungsprozessen genutzt und habe sich in der Praxis bereits bewährt.

Mehr Sicherheit in der Supply Chain

TeleTrusT veröffentlicht Leitfaden zu „Software Bill of Materials“

Ein Policy Wizard hilft beim Anlegen von Richtlinien zum Einsatz von Open Source. Anschließend könne Licensight die Einbindung von Open-Source-Komponenten in Softwareprojekte überwachen und die Einführung problematischer Pakete verhindern. Informationen zu Lizenzen und Schwachstellen könne das Tool automatisch über Schnittstellen aus öffentlichen Verzeichnissen oder von den Websites der Projekte einholen. Für Grenzfälle, Ausnahmen oder bislang unbekannte Lizenzen bringe es Werkzeuge für Review- und Freigabeprozesse mit der Rechtsabteilung mit und ermögliche damit einen effizienten, rechtssicher dokumentierten Austausch ohne langen, unübersichtlichen Mailverkehr, so NTT Data.

Damit könne Licensight beim Herstellen von Open-Source-Compliance und der Umsetzung von Vorgaben helfen, die sich aus Gesetzen und Verordnungen wie dem EU Cyber Resilience Act (CRA) und dem Digital Operational Resilience Act (DORA) ergeben. Diese verlangen von Unternehmen beispielsweise, dass sie Schwachstellen in ihren Systemen und Anwendungen identifizieren und beseitigen. Neben aussagekräftigen Compliance-Reports könne Licensight auch eine sogenannte Copyright Notice mit allen notwendigen Informationen sowie eine Software Bill Of Materials (SBOM) erstellen. Eine solche werde von vielen Kunden inzwischen eingefordert, weil sie genau wissen müssen, welche Komponenten von Drittanbietern sie sich mit einer Software ins Haus holen, um eigene Compliance-Vorgaben umzusetzen.

EU Cyber Resilience Act

Stücklisten für Software kommen bald

(ID:50256370)