Best Practices für Open-Source-Compliance in Software-Projekten

Lizenzbestimmungen und Richtlinien bei der Open-Source-Integration 6 Tipps für Open-Source-Compliance

18.01.2024 Ein Gastbeitrag von Johannes Stock * 3 min Lesedauer

Anbieter zum Thema

Hyland Software Germany GmbH

Cloudgermany.de GmbH

Yorizon GmbH & Co. KG

Im Zuge der Nutzung quelloffener Komponenten werden schnell mehrere tausend Open-Source-Pakete direkt oder indirekt in eigener Software verbaut. Sechs Best Practices helfen dabei, die Compliance selbst in agilen Software-Projekten reibungslos sicherzustellen.

Das Inventarisieren von Open-Source-Komponten und ihre korrekte Nutzung im Zuge der Lizenzierung sind zwei Dinge, die es zu beachten gilt.(© ipuwadol - stock.adobe.com) — Das Inventarisieren von Open-Source-Komponten und ihre korrekte Nutzung im Zuge der Lizenzierung sind zwei Dinge, die es zu beachten gilt.
(© ipuwadol - stock.adobe.com)

Um das Rad nicht ständig neu erfinden zu müssen, nutzen Unternehmen häufig Open-Source-Pakete zum Erweitern der Kernfunktionen eigener Softwareprodukte. In der modernen Software-Entwicklung ist das inzwischen Best Practice. Open-Source-Compliance kümmert sich dabei um das Einhalten verschiedener Lizenzbestimmungen und Richtlinien beim Verwenden, Modifizieren und Verbreiten der Open-Source-Software (OSS).

Die zur OSS gehörigen Open-Source-Lizenzen fordern etwa, dass Autoren genannt werden und abgeleitete Arbeiten unter denselben Bedingungen veröffentlicht werden müssen (Copyleft). Daher sind sie für alle relevant, die OSS verwenden und in eigene Softwareprodukte integrieren.

Um rechtliche Risiken zu minimieren, gilt es, Open-Source-Compliance sinnvoll in Entwicklungsprozesse zu integrieren und konsequent umzusetzen. Beim Überprüfen von Software (Due Diligence) im Falle einer Unternehmensfusion oder -übernahme verhindert sorgfältig integrierte Open-Source-Compliance Lizenzmängel, sofern sie den spezifischen Standards entspricht.

Die folgenden sechs Punkte stellen Open-Source-Compliance auch für agile, schlanke Software-Entwicklungsprozesse sicher:

1. Definieren der Lizenzanforderungen auf Basis des Geschäftsmodells: Handelt es sich um eine proprietäre Software oder um eine vom Unternehmen getriebene Open-Source-Lösung? Die Antwort auf die Frage legt fest, ob etwa Lizenzpakete mit Copyleft-Bedingungen verwendet werden können.

2. Sensibilisieren der Mitarbeiter: Durch Schulungen und Bewusstseinsbildung für Open-Source-Compliance und informieren über die Auswirkungen von Lizenzverletzungen.

3. Erstellen einer Software-Stückliste („Bill of Materials“): Idealerweise automatisiert durch Tools im Rahmen der Entwicklungsprozesse. Dadurch entsteht ein sich selbst pflegender Katalog mit allen genutzten Software Paketen.

4. Definieren klarer Richtlinien und Prozesse: Auf Basis der eingangs definierten Lizenzanforderungen zum Verwenden von Open-Source-Software. Integrieren von Compliance-Checks in den Entwicklungsprozess. Die Freigabe erfolgt idealerweise automatisiert anhand einer Whitelist von Lizenztypen (statt manuell mit Einzelpaketen). Dadurch bleibt das Einbinden neuer Pakete ein schlanker Prozess, der die Entwicklerproduktivität hochhält.

5. Automatisiert dokumentieren und bei Bedarf veröffentlichen der Autoren: Genaues Aufzeichnen der verwendeten Open-Source-Komponenten und deren Lizenzen, um Transparenz und Nachvollziehbarkeit zu schaffen.

6. Regelmäßig überprüfen: Implementieren regelmäßiger Audits, um sicherzustellen, dass sämtliche Software erfasst wird und Compliance-Richtlinien eingehalten werden (anpassen bei Bedarf).

Das gewissenhafte Integrieren von Open-Source-Compliance in die Geschäftsprozesse erfordert kontinuierliche Aufmerksamkeit und Engagement. Durch klare Richtlinien, Schulungen und gezieltes Einsetzen geeigneter Tools erfüllen Unternehmen ihre Open-Source-Lizenzen dauerhaft zuverlässig mit überschaubarem Aufwand.

Fallbeispiel

Eigene Software-Produkte und -Services zählen inzwischen zur geschäftlichen Basis des spezialisierten Softwareherstellers IPD Dynamics. Rund 12.000 direkt und indirekt in eigene Software verbaute Open-Source-Pakete erweitern deren Kernfunktionen. Um die Open-Source-Compliance effektiv zu gestalten, unterstützt die IT-Beratung MAKONIS das Unternehmen bereits im Code-Repository: Bestehender und neuer Code wird dort auf direkt und indirekt referenzierte Open-Source-Pakete gescannt.

Diese werden auf Sicherheitslücken und Lizenz-Compliance geprüft und automatisch zugelassen oder abgelehnt. Dadurch wird sichergestellt, dass neue Pakete immer dem definierten Prozess folgen. Ein schlankes Regelwerk bestimmt, welche Open-Source-Lizenztypen für die Einsatzzwecke geeignet sind, sodass die Software-Assets innerhalb proprietärer Software einsetzbar sind. Durch regelmäßiges Revalidieren werden auch neu auftretende Änderungen zuverlässig sichtbar. Aufwändige Einzelgenehmigungen von Paketen und Paketversionen entfallen dabei.

* Über den Autor
Johannes Stock ist Mitgründer und CTO bei MAKONIS. Der Cloud- und OSS-Spezialist leitet das Beratungsgeschäft rund um die Microsoft-Azure-Cloud mit den Fokusthemen Cloud-Adoption und -Governance. Zum Angebot seins Unternehmens zählen auch das Optimieren von Cloud-Software-Engineering-Prozessen und das Verankern von Cloud-DevSecOps-Prozessen.

Bildquelle: Makonis

(ID:49862993)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Cloud Computing

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Stand: 08.12.2025

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.