Аудит лицензирования программного обеспечения или аудит соответствия программного обеспечения является важным подразделом управления программными активами и компонентом корпоративного управления рисками. Когда компания не знает, какое программное обеспечение установлено и используется на ее машинах, это может привести к множеству уровней воздействия. [1]
Основными преимуществами, которые корпорация получает от проведения аудита лицензирования программного обеспечения, являются больший контроль и различные формы экономии средств. Аудит используется как в качестве механизма повышения эффективности распространения программного обеспечения внутри организации, так и в качестве превентивного механизма, позволяющего избежать судебного преследования за нарушение авторских прав со стороны компаний-разработчиков программного обеспечения. Аудит лицензирования программного обеспечения является важной частью управления активами программного обеспечения, но также служит методом управления корпоративной репутацией , гарантируя, что компания действует в соответствии с правовыми и этическими нормами.
Аудит программного обеспечения не следует путать с аудитом кода , который проводится на исходном коде программного проекта.
Если аудиторская компания самостоятельно сканирует базу кода, одной из серьезных проблем становится смена лицензий между версиями. Некоторые библиотеки программного обеспечения начинаются с одной лицензии, а затем переходят на другую. Типичными примерами являются переход от одноразрешительной лицензии к модели двойного лицензирования (выбор между строгой взаимной или платной коммерческой) как для iText , переход от более взаимной к более разрешительной лицензии (как для Qt Extended ) и открытый исходный код ранее коммерческого кода. (как для OpenJDK ). В таких случаях недостаточно обнаружить, что использовалась какая-то библиотека или фрагмент кода — необходимо правильно идентифицировать точную используемую версию. Дальнейшие трудности могут возникнуть, если владелец библиотеки удалит устаревшие версии (которые находились под другой лицензией) из общедоступных источников.
Некоторые лицензии (например, LGPL ) предусматривают совершенно другие условия для простого связывания и создания производных работ. В таком случае при надлежащем аудите необходимо учитывать, была ли библиотека связана или была создана производная работа (пользовательская ветка).
Наконец, некоторые пакеты программного обеспечения могут содержать фрагменты исходного кода (например, исходный код Oracle Java), которые могут предоставляться только для справки или иметь различные другие лицензии, не обязательно совместимые с внутренней политикой компании. Если команда разработчиков программного обеспечения фактически не использует (или даже не знает) о таких фрагментах, это следует рассматривать иначе, чем в случае, если бы они были напрямую связаны.
Все эти проблемы относительно легко решить, если группа аудита сотрудничает с командой разработчиков программного обеспечения, которая обычно должна знать используемые версии и так далее. Если команде разработчиков программного обеспечения не доверяют, некомпетентный аудит может обнаружить множество «несоответствий» и «нарушений» там, где их нет.
Управление программными активами — это организационный процесс, описанный в ISO/IEC 19770-1 . В настоящее время он также включен в ISO/IEC 27001 :2005 «Информационные технологии – Методы обеспечения безопасности – Системы управления информационной безопасностью – Требования» [2] и ISO/IEC 17799 :2005 «Информационные технологии – Методы обеспечения безопасности – Кодекс практики управления информационной безопасностью». [3]
Управление активами программного обеспечения — это комплексная стратегия, которую необходимо реализовывать в организации сверху донизу, чтобы она была эффективной и минимизировала риски. Аудит соответствия программного обеспечения является важным подразделом управления программными активами и описан в вышеупомянутых стандартах. В самом простом случае это включает в себя следующее:
Сам процесс аудита должен быть непрерывным действием, и современное программное обеспечение SAM определяет, что установлено, где оно установлено, его использование, и обеспечивает сверку этого обнаружения с использованием. Это очень полезное средство контроля установки программного обеспечения и снижения затрат на лицензирование. Крупные организации не смогли бы сделать это без приложений для обнаружения и инвентаризации.
Время от времени внутренний или внешний (крупными аудиторскими фирмами) аудит может использовать криминалистический подход, чтобы установить, что установлено на компьютерах в организации, с целью убедиться, что все это законно и разрешено, а также гарантировать, что процесс его обработки транзакции или события верны. Хотя кто-то может столкнуться с аудитом поставщика программного обеспечения справедливыми договорными и юридическими средствами, он также должен знать и сохранять свои важные права в ситуации аудита. [4]
Аудит программного обеспечения является составной частью управления корпоративными рисками и, безусловно, минимизирует риск преследования за нарушение авторских прав из-за использования нелицензионного программного обеспечения. Большинство продавцов позволяют компании урегулировать ситуацию без судебного преследования, хотя в серьезных случаях судебное преследование, безусловно, имеет место. Кроме того, благодаря строгой политике использования программного обеспечения риск заражения компьютерными вирусами сводится к минимуму за счет предотвращения неконтролируемого копирования программного обеспечения.
Поставщики подписываются на такие организации, как Федерация по борьбе с кражей программного обеспечения (FAST) и Альянс программного обеспечения для бизнеса (BSA), чтобы обеспечить отраслевой подход к контролю над пиратством, подделкой и незаконным использованием программного обеспечения. Они рекламируют кампании против незаконного использования программного обеспечения и вознаграждают всех сотрудников, которые сообщают им о любых нарушениях, что приводит к успешному судебному преследованию и/или взысканию лицензионных сборов.