Kein Einzelner, egal wie geschickt, kann Open-Source-Compliance im gesamten Unternehmen erfolgreich implementieren. Die Verfolgung, wo und wie Open Source Code verwendet, genehmigt und ausgeliefert wird, muss eine funktionsübergreifende Teamarbeit sein.

Angefangen bei den Kernteams für Technik und Produkte, über Rechtsberater bis hin zum oberen Management, umfasst Compliance Personen in vielen Funktionen aus verschiedenen Abteilungen im gesamten Unternehmen.

In diesem Artikel, geben wir einen Überblick über die Rollen und Verantwortlichkeiten, die jedes Open Source Compliance-Programm beinhalten sollte. Zusammen sind dies die Personen, die dafür sorgen, dass Ihr Unternehmen stets auf dem neuesten Stand ist und mit den Open-Source-Lizenzen im Code, den Sie verwenden und ausliefern, konform ist.

3 Schlüsselrollen in einem Open-Source-Compliance-Team

Es gibt in der Regel zwei Teams, die an der Erreichung der Compliance beteiligt sind: ein Kernteam und ein erweitertes Team, wobei letzteres typischerweise eine Obermenge des ersteren darstellt. Das Kernteam, das oft als Open Source Review Board (OSRB) bezeichnet wird, besteht aus drei wichtigen Vertretern von Entwicklungs- und Produktteams, einem oder mehreren Rechtsberatern und dem Compliance Officer/ Open Source Program Office Manager.

Gesetzlicher Vertreter: Ein Rechtsberater oder Rechtsanwaltsfachangestellter, je nach Aufgabenstellung. Überprüft und genehmigt die Verwendung, Änderung und Verteilung von Freier und Open Source Software (FOSS), gibt Anleitungen zur Lizenzierung, trägt zur Compliance-Schulung bei, prüft und genehmigt Open Source-Mitteilungen und vieles mehr.

Vertreter des Engineering- und Produktteams: Befolgt Compliance-Richtlinien und -Prozesse; bittet um Genehmigung, Open-Source-Projekte zu nutzen (und/oder beizutragen); beantwortet schnell alle Fragen; führt Design-, Architektur- und Code-Reviews durch; bereitet Softwarepakete für die Verteilung vor; und vieles mehr.

Open-Source-Compliance-Beauftragter, -Manager oder -Direktor: Diese Person ist nicht notwendigerweise eine dedizierte Ressource, sondern steuert alle Compliance-Aktivitäten; koordiniert Quellcode-Scans und -Audits sowie die Verteilung des Quellcode-Pakets; sie trägt zu Compliance-Schulungen und zur Entwicklung neuer Tools bei, um die Automatisierung und FOSS-Erkennung in einer Entwicklungsumgebung zu erleichtern; und vieles mehr.

Andere, die sich mit Open-Source-Compliance befassen

Das erweiterte Team besteht aus einer größeren Gruppe von Personen aus verschiedenen Abteilungen, die kontinuierlich zur Einhaltung der Open-Source-Richtlinien beitragen. Im Gegensatz zum Kernteam (in substanziellen Organisationen) arbeiten die Mitglieder des erweiterten Teams jedoch nur auf Teilzeitbasis an der Compliance, basierend auf den Aufgaben, die sie vom Kernprüfungsausschuss erhalten. Rollen und Verantwortlichkeiten umfassen:

Dokumentation – Enthält Open-Source-Lizenzinformationen und Hinweise in der Produktdokumentation, einschließlich Lizenztext, schriftliches Angebot, Urheberrechte und Zuschreibungshinweise.

Supply Chain – beauftragt Softwareanbieter von Drittanbietern, Open Source in lizenzierten oder gekauften Softwarekomponenten offenzulegen, und hilft beim Eindringen von Software von Drittanbietern, die mit und/oder einschließlich Open Source-Software gebündelt ist.

Unternehmensentwicklung – Fordert die Einhaltung der Open-Source-Richtlinien vor einer Fusion oder Übernahme oder beim Empfang von Quellcode von ausgelagerten Entwicklungszentren oder Drittanbietern von Software.

IT – Bietet Support und Wartung – wie z.B. der IT-Dienstleister hagel IT-Services – für die Tools und die Automatisierungsinfrastruktur des Compliance-Programms und erstellt und/oder erwirbt neue Tools auf der Grundlage von OSRB-Anforderungen.
Lokalisierung – Übersetzt grundlegende Informationen in Zielsprachen über Open-Source-Informationen, die sich auf das Produkt oder den Software-Stack beziehen.

Open Source Executive Committee (OSEC) – Enthält in der Regel Führungskräfte aus den Bereichen Technik und Recht. Die OSEC prüft und genehmigt Vorschläge zur Freigabe von IP und proprietärem Quellcode unter einer Open-Source-Lizenz.