Yazılım lisanslama denetimi - Software licensing audit

Bir yazılım lisanslama denetimi veya yazılım uygunluk denetimi yazılım varlık yönetiminin önemli bir alt kümesi ve kurumsal risk yönetimi bileşenidir. Bir şirket, makinelerinde hangi yazılımın kurulduğunun ve kullanıldığının farkında olmadığında, birden fazla maruz kalma katmanına neden olabilir.[1]

Bir şirketin, bir yazılım lisanslama denetimi gerçekleştirerek elde ettiği başlıca faydalar, daha fazla kontrol ve çeşitli maliyet tasarrufu biçimleridir. Denetim, hem bir kuruluş içindeki yazılım dağıtımını iyileştirmek için bir verimlilik mekanizması olarak hem de yazılım tarafından telif hakkı ihlali soruşturmasını önlemek için önleyici bir mekanizma olarak kullanılır. şirketler. Yazılım lisanslama denetimleri, yazılım varlık yönetiminin önemli bir parçasıdır, ancak aynı zamanda bir kurumsal itibar yönetimi Şirketin yasal ve etik kurallar çerçevesinde faaliyet göstermesini sağlayarak.

Yazılım denetimleri ile karıştırılmamalıdır kod denetimleri, üzerinde gerçekleştirilen kaynak kodu bir yazılım projesinin.

Zorluklar

Denetim şirketi kod tabanını bağımsız olarak tararsa, ciddi zorluklardan biri sürümler arasındaki lisans değişiklikleridir. Bazı yazılım kitaplıkları bir lisansla başlar ve daha sonra diğerine geçer. Tipik örnekler, tek izinli lisanstan ikili lisanslama modeline (güçlü karşılıklı veya ücretli ticari arasında seçim) geçmektir. iText, daha karşılıklı lisanstan daha izin verici lisansa geçiş (olduğu gibi Qt Genişletilmiş ) ve önceki ticari kodu ( OpenJDK ). Bu gibi durumlarda, bazı kitaplık veya kod parçalarının kullanıldığını tespit etmek yeterli değildir - kullanılan tam sürüm doğru şekilde tanımlanmalıdır. Kütüphane sahibi eski sürümleri (farklı lisans kapsamındaki) kamu kaynaklarından kaldırırsa daha fazla zorluk ortaya çıkabilir.

Bazı lisanslar (gibi LGPL ) türev çalışmaların basit bağlanması ve oluşturulması için çok farklı koşullara sahiptir. Böyle bir durumda uygun denetim, kitaplığın bağlanıp bağlanmadığını veya türev çalışmanın (özel dal) oluşturulmuş olup olmadığını dikkate almalıdır.

Son olarak, bazı yazılım paketleri dahili olarak, yalnızca referans için sağlanabilen veya şirketin iç politikalarıyla uyumlu olmayan çeşitli diğer lisanslara sahip olan kaynak kodun parçalarını (Oracle Java'nın kaynak kodu gibi) içerebilir. Yazılım ekibi bu tür parçaları gerçekten kullanmıyorsa (veya hatta farkında değilse), doğrudan bağlanacaklarsa, bu durumdan farklı bir şekilde görülmelidir.

Denetleme grubu, normalde kullanılan sürümleri bilmesi gereken yazılım ekibiyle işbirliği yaparsa, tüm bu sorunların çözülmesi nispeten kolaydır. Yazılım ekibine güvenilmiyorsa, yetersiz bir denetim, bulunmayan birçok "tutarsızlık" ve "ihlal" bulabilir.

Yazılım Müdürü

Ana makale: Yazılım Müdürü

Yazılım varlık yönetimi, aşağıda özetlenen bir organizasyon sürecidir. ISO / IEC 19770 -1. Aynı zamanda şimdi içinde kucaklanıyor ISO / IEC 27001: 2005 Bilgi Teknolojisi - Güvenlik Teknikleri - Bilgi Güvenliği Yönetim Sistemleri - Gereksinimler[2] ve ISO / IEC 17799: 2005 Bilgi Teknolojisi - Güvenlik Teknikleri - Bilgi Güvenliği Yönetimi Uygulama Kuralları.[3]

Yazılım varlık yönetimi, bir organizasyonda riski en aza indirmek için etkili olması için yukarıdan aşağıya doğru ele alınması gereken kapsamlı bir stratejidir. Yazılım uygunluk denetimi, yazılım varlık yönetiminin önemli bir alt kümesidir ve yukarıda referans verilen standartlar kapsamındadır. En basit haliyle aşağıdakileri içerir:

  1. Yazılım Varlıklarının Tanımlanması.
  2. Lisanslar, kullanım ve haklar dahil olmak üzere Yazılım Varlıklarını Doğrulama.
  3. Kurulumlarda mevcut olanlar ile sahip olunan lisanslar ve kullanım hakları arasında olabilecek boşlukların belirlenmesi.
  4. Herhangi bir boşluğu kapatmak için harekete geçmek.
  5. Sonuçları, Satın Alma Kanıtı kayıtları ile merkezi bir konuma kaydetmek.

Denetim sürecinin kendisi sürekli bir eylem olmalıdır ve modern SAM yazılımı, neyin kurulduğunu, nerede kurulduğunu, kullanımını tanımlar ve bu keşfin kullanıma karşı bir mutabakatını sağlar. Bu, yazılım kurulumlarını kontrol etmenin ve lisanslama maliyetlerini düşürmenin çok faydalı bir yoludur. Büyük kuruluşlar, keşif ve envanter uygulamaları olmadan bunu yapamazdı.

Zaman zaman iç veya dış (büyük muhasebe firmaları tarafından) denetimler, tümünün yasal ve yetkili olmasını sağlamak ve işleme sürecini sağlamak amacıyla bir organizasyondaki bilgisayarlarda kurulu olanları belirlemek için adli bir yaklaşım benimseyebilir. işlemler veya olaylar doğrudur. Adil sözleşmeye dayalı ve yasal yollarla bir yazılım satıcısı denetimi ile karşılaşılabilecek olsa da, denetim durumunda da kişinin önemli haklarını bilmeli ve saklamalıdır.[4]

Yazılım denetimleri, kurumsal risk yönetiminin bir bileşenidir ve bunlar için kovuşturma riskini kesinlikle en aza indirirler. Telif hakkı ihlali lisanssız yazılım kullanımı nedeniyle. Çoğu satıcı, şirketin herhangi bir kovuşturma olmaksızın çözülmesine izin verir, ancak ciddi davalarda kesinlikle kovuşturmalar meydana gelir. Sıkı bir yazılım kullanım politikasına ek olarak, bilgisayar virüsleri kontrolsüz yazılım kopyalamasını engelleyerek minimize edilmiştir.

Organizasyonlar

Satıcılar, aşağıdaki gibi kuruluşlara abone olur: Yazılım Hırsızlığına Karşı Federasyon (HIZLI) ve Business Software Alliance (BSA) korsanlığı, sahteciliği ve yasadışı yazılım kullanımını kontrol etmek için bir endüstri yaklaşımı sağlama aracı olarak. Yazılımın yasadışı kullanımına karşı kampanyaları duyururlar ve başarılı bir kovuşturmaya ve / veya lisans ücretlerinin geri alınmasına neden olan ihlalleri kendilerine bildiren tüm çalışanları ödüllendirirler.

Ayrıca bakınız

Referanslar

  1. ^ "Yazılım Lisans Yönetimi". Dell KACE. Alındı 2012-07-06.
  2. ^ "ISO / IEC 27001: 2005". 2005. Alındı 2008-03-23.
  3. ^ "ISO / IEC 17799: 2005". 2005. Alındı 2008-03-23.
  4. ^ "Satıcı Denetimi - Duyurudan Anlaşmaya Kadar İlk 10 Müşteri Hakları". OMTCO Operations Management Technology Consulting GmbH. Alındı 4 Haziran 2013.