Аудит лицензирования ПО - Software licensing audit

А аудит лицензирования программного обеспечения или же аудит соответствия программного обеспечения является важным подразделом управления программными активами и компонентом корпоративного управления рисками. Когда компания не знает, какое программное обеспечение установлено и используется на ее машинах, это может привести к множеству уровней воздействия.[1]

Основными преимуществами, которые корпорация получает от проведения аудита лицензирования программного обеспечения, являются больший контроль и различные формы экономии затрат. Аудит используется как в качестве механизма повышения эффективности для улучшения распространения программного обеспечения внутри организации, так и в качестве превентивного механизма, позволяющего избежать судебного преследования за нарушение авторских прав со стороны программного обеспечения. компании. Аудиты лицензирования программного обеспечения являются важной частью управления программными активами, но также служат методом корпоративной управление репутацией гарантируя, что компания действует в рамках юридических и этических норм.

Не следует путать аудит программного обеспечения с аудит кода, которые проводятся на исходный код программного проекта.

Вызовы

Если аудиторская компания самостоятельно сканирует кодовую базу, одной из серьезных проблем является изменение лицензии между версиями. Некоторые программные библиотеки начинаются с одной лицензии, а затем переходят на другую. Типичными примерами являются переход от единой разрешительной лицензии к модели двойного лицензирования (выбор между строгой взаимной или платной коммерческой) в отношении iText, переходя от более ответной к более разрешительной лицензии (как для Qt Extended ) и открывает исходный код ранее коммерческого кода (как для OpenJDK ). В таких случаях недостаточно обнаружить, что была использована какая-то библиотека или фрагмент кода - необходимо правильно определить точную используемую версию. Дополнительные трудности могут возникнуть, если владелец библиотеки удалит устаревшие версии (которые были под другой лицензией) из общедоступных источников.

Некоторые лицензии (например, LGPL ) имеют очень разные условия для простого связывания и создания производных работ. В таком случае надлежащий аудит должен учитывать, была ли библиотека связана или была создана производная работа (настраиваемая ветвь).

Наконец, некоторые программные пакеты могут содержать внутренние фрагменты исходного кода (например, исходный код Oracle Java), которые могут быть предоставлены только для справки или иметь различные другие лицензии, необязательно совместимые с внутренней политикой компании. Если команда разработчиков программного обеспечения на самом деле не использует (или даже не знает) о таких фрагментах, это следует рассматривать иначе, чем в случае, если бы они были напрямую связаны.

Все эти проблемы относительно легко решить, если аудиторская группа будет сотрудничать с командой разработчиков программного обеспечения, которая обычно должна знать используемые версии и так далее. Если команде разработчиков программного обеспечения не доверяют, некомпетентный аудит может обнаружить множество «несоответствий» и «нарушений» там, где их нет.

Управление программными активами

Управление программными активами - это организационный процесс, описанный в ISO / IEC 19770 -1. Это также теперь охвачено ISO / IEC 27001: 2005 Информационные технологии - Методы безопасности - Системы управления информационной безопасностью - Требования.[2] и ISO / IEC 17799: 2005 Информационные технологии - Методы безопасности - Свод правил управления информационной безопасностью.[3]

Управление программными активами - это комплексная стратегия, которая должна быть реализована сверху вниз в организации, чтобы быть эффективной и минимизировать риски. Аудит соответствия программного обеспечения является важным подмножеством управления программными активами и охватывается вышеуказанными стандартами. В простейшем случае он включает в себя следующее:

  1. Идентификация программных активов.
  2. Проверка Программных Активов, включая лицензии, использование и права.
  3. Выявление пробелов, которые могут существовать между тем, что существует на установках, и имеющимися лицензиями, и правами использования.
  4. Принятие мер, чтобы закрыть любые пробелы.
  5. Запись результатов в централизованном месте с записями доказательств покупки.

Сам процесс аудита должен быть непрерывным действием, и современное программное обеспечение SAM определяет, что установлено, где оно установлено, его использование, и обеспечивает согласование этого обнаружения с использованием. Это очень полезное средство контроля установки программного обеспечения и снижения затрат на лицензирование. Крупные организации не смогли бы сделать это без приложений для обнаружения и инвентаризации.

Время от времени внутренние или внешние (крупные бухгалтерские фирмы) аудиты могут использовать криминалистический подход для установления того, что установлено на компьютерах в организации, с целью убедиться, что все это законно и разрешено, а также гарантировать, что процесс обработки транзакции или события верны. Несмотря на то, что кто-то может столкнуться с аудитом поставщика программного обеспечения с помощью справедливых договорных и юридических средств, следует также знать и сохранять свои ключевые права в ситуации аудита.[4]

Аудит программного обеспечения является компонентом корпоративного управления рисками и, безусловно, сводит к минимуму риск преследования за Нарушение авторского права из-за использования нелицензионного программного обеспечения. Большинство поставщиков разрешают компании производить расчет без судебного преследования, хотя в серьезных случаях судебное преследование обязательно. В дополнение к строгой политике использования программного обеспечения существует риск компьютерные вирусы сводятся к минимуму за счет предотвращения неконтролируемого копирования программного обеспечения.

Организации

Продавцы подписываются на такие организации, как Федерация против кражи программного обеспечения (БЫСТРО) и Альянс программного обеспечения для бизнеса (BSA) как средство обеспечения отраслевого подхода к борьбе с пиратством, контрафакцией и незаконным использованием программного обеспечения. Они рекламируют кампании против незаконного использования программного обеспечения и вознаграждают всех сотрудников, которые уведомляют их о любых нарушениях, которые приводят к успешному судебному преследованию и / или взысканию лицензионных сборов.

Смотрите также

Рекомендации

  1. ^ «Управление лицензиями на программное обеспечение». Dell KACE. Получено 2012-07-06.
  2. ^ «ISO / IEC 27001: 2005». 2005. Получено 2008-03-23.
  3. ^ «ISO / IEC 17799: 2005». 2005. Получено 2008-03-23.
  4. ^ «Проверка поставщиков - 10 основных прав клиентов от объявления до заключения сделки». OMTCO Operations Management Technology Consulting GmbH. Получено 4 июн 2013.