Аудит лицензирования программного обеспечения или аудит соответствия программного обеспечения является важным подмножеством управления программными активами и компонентом корпоративного управления рисками. Когда компания не знает, какое программное обеспечение установлено и используется на ее машинах, это может привести к многоуровневому раскрытию. [1]
Основные выгоды, которые корпорация получает от проведения аудита лицензирования ПО, — это больший контроль и различные формы экономии средств. Аудит используется как механизм повышения эффективности для улучшения распространения ПО в организации, так и как превентивный механизм для предотвращения судебного преследования за нарушение авторских прав со стороны компаний-разработчиков ПО. Аудиты лицензирования ПО являются важной частью управления программными активами, но также служат методом управления корпоративной репутацией , гарантируя, что компания действует в рамках правовых и этических норм.
Аудит программного обеспечения не следует путать с аудитом кода , который проводится в отношении исходного кода программного проекта.
Если аудиторская компания самостоятельно сканирует кодовую базу, одной из серьезных проблем является смена лицензий между версиями. Некоторые библиотеки программного обеспечения начинают с одной лицензии, а затем переключаются на другую. Типичными примерами являются переход с единой разрешительной лицензии на модель двойного лицензирования (выбор между сильной взаимной или платной коммерческой), как для iText , переход с более взаимной на более разрешительную лицензию (как для Qt Extended ) и открытие исходного кода ранее коммерческого кода (как для OpenJDK ). В таких случаях недостаточно обнаружить, что была использована некоторая библиотека или фрагмент кода — необходимо правильно определить точную используемую версию. Дополнительные трудности могут возникнуть, если владелец библиотеки удалит устаревшие версии (которые находились под другой лицензией) из общедоступных источников.
Некоторые лицензии (например, LGPL ) имеют совершенно разные условия для простого связывания и создания производных работ. В таком случае надлежащий аудит должен учитывать, была ли библиотека связана или была ли создана производная работа (пользовательская ветвь).
Наконец, некоторые программные пакеты могут содержать внутри себя фрагменты исходного кода (например, исходный код Oracle Java), которые могут быть предоставлены только для справки или иметь различные другие лицензии, не обязательно совместимые с внутренней политикой компании. Если команда разработчиков программного обеспечения фактически не использует (или даже не знает) о таких фрагментах, это следует рассматривать иначе, чем в случае, если бы они были напрямую связаны.
Все эти проблемы относительно легко решить, если аудиторская группа сотрудничает с командой разработчиков программного обеспечения, которая обычно должна знать используемые версии и т. д. Если команде разработчиков программного обеспечения не доверяют, некомпетентный аудит может обнаружить множество «несоответствий» и «нарушений» там, где их нет.
Управление программными активами — это организационный процесс, описанный в ISO/IEC 19770 -1. Теперь он также включен в ISO/IEC 27001 :2005 Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Требования [2] и ISO/IEC 17799 :2005 Информационные технологии — Методы обеспечения безопасности — Кодекс практики управления информационной безопасностью. [3]
Управление программными активами — это комплексная стратегия, которая должна быть реализована сверху донизу в организации, чтобы быть эффективной и минимизировать риск. Аудит соответствия программного обеспечения — это важный подмножество управления программными активами, который рассматривается в вышеупомянутых стандартах. В самом простом варианте он включает в себя следующее:
Сам процесс аудита должен быть непрерывным действием, и современное программное обеспечение SAM определяет, что установлено, где оно установлено, его использование и обеспечивает сверку этого обнаружения с использованием. Это очень полезный способ контроля установок программного обеспечения и снижения затрат на лицензирование. Крупные организации не смогли бы сделать это без приложений обнаружения и инвентаризации.
Время от времени внутренние или внешние (крупными аудиторскими фирмами) аудиты могут использовать судебный подход, чтобы установить, что установлено на компьютерах в организации, с целью обеспечения того, что все это законно и авторизовано, и обеспечения того, что процесс обработки транзакций или событий является правильным. Хотя можно столкнуться с аудитом поставщика программного обеспечения справедливыми договорными и правовыми средствами, следует знать и сохранять свои основные права в ситуации аудита. [4]
Аудиты программного обеспечения являются компонентом корпоративного управления рисками, и они, безусловно, минимизируют риск судебного преследования за нарушение авторских прав из-за использования нелицензионного программного обеспечения. Большинство поставщиков разрешают компании урегулировать спор без судебного преследования, хотя в серьезных случаях судебное преследование, безусловно, имеет место. Кроме того, при строгой политике использования программного обеспечения риск компьютерных вирусов сводится к минимуму за счет предотвращения неконтролируемого копирования программного обеспечения.
Поставщики подписываются на такие организации, как Federation Against Software Theft (FAST) и Business Software Alliance (BSA), как на средства обеспечения отраслевого подхода к контролю пиратства, контрафакции и незаконного использования программного обеспечения. Они публикуют кампании против незаконного использования программного обеспечения и вознаграждают любых сотрудников, которые сообщают им о любых нарушениях, которые приводят к успешному судебному преследованию и/или взысканию лицензионных сборов.