Open Source – no rules? Think again! (Pro)aktives Management von Open Source Software (OSS) ist entscheidend für Sicherheit und Compliance. Scope und Sizing des Compliance-Systems sollten sich am spezifischen OSS-Risiko ausrichten: Denn aktives Engagement in der OSS-Supply-Chain stellt andere Anforderungen als rein hausinterne Nutzung. Unsere Erfahrung zeigt: Transparenz entsteht nicht durch Kontrolle, sondern durch Zusammenarbeit, gute Tools und engagierte Menschen. Wer Open Source aktiv managt, braucht kein starres Regelwerk – sondern Klarheit, Kompetenz und kontinuierliches Housekeeping.

Open Source – große Chancen verlangen Verantwortung

Open Source Software (OSS) steckt heute in jeder Software. Damit rücken bei Unternehmen Fragen zu Architektur, Security und Lizenzierung ebenso in den Fokus wie beim Management proprietärer Software.

Regulatorische Vorgaben wie MaRisk, DORA und der Cyber Resilience Act erhöhen zusätzlich den Druck, sich professionell mit OSS-Compliance auseinanderzusetzen. Denn auch die Nutzung unterliegt rechtsgültigen Verträgen mit den Urhebern, die Verpflichtungen für den Lizenznehmer beinhalten. Dieser muss nachweisen können, dass er die Software vertragskonform und unter Einhaltung aller Verpflichtungen nutzt.

Die Herkunft, Lizenzkompatibilität und gegebenenfalls vorhandene Security-Schwachstellen von Fremd- und Eigensoftware müssen geprüft werden.

Je nach Position eines Unternehmens in der Software Supply Chain werden Informationen von Zulieferern benötigt („upstream“), um diese beispielsweise bei Services gegenüber Kunden ausweisen zu können („downstream“).

OSS-Management: Einfach und komplex zugleich

Ein Vorteil von OSS im Hinblick auf die Lizenz-Compliance besteht darin, dass ganze Lizenzen – etwa Apache-2.0 oder MIT – vorab geprüft und für bestimmte Einsatzszenarien freigegeben werden können. Diese (Nicht-)Freigaben gelten dann für viele Komponenten gleichzeitig, sodass nicht jede einzelne erneut bewertet werden muss. Komplexitätssteigernd wirken Dependencies und transitive Dependencies: Eine OSS integriert eine andere OSS, welche wiederum selbst auf weiteren OSS-Komponenten basiert. Durch diese mehrstufige Verschachtelung können komplexe Software- und Lizenz-Stacks entstehen. OSS-Communities achten zwar gewöhnlich auf Lizenzkompatibilität, doch dies ist nicht in allen Fällen garantiert.

Unser Weg zur „OSS-Schwarmintelligenz“

Atruvia hat die internationale OpenChain-Spezifikation (ISO/IEC 5230) als Blaupause genutzt, um Rollen, Prozesse und Verantwortlichkeiten für den Umgang mit Open Source Software klar zu definieren. Statt sofort ein umfassendes Regelwerk einzuführen, setzte das Unternehmen bewusst auf organisches Wachstum: Strukturen sollten sich entwickeln, reifen und breite Akzeptanz finden.
Der Startpunkt war eine Grassroots-Initiative: Engagierte Kolleg*innen aus IT-Architektur, Software-Asset-Management, IT-Security und der CI/CD-Pipeline schlossen sich zusammen, um den Einsatz von OSS gemeinsam zu steuern. Unterstützt durch Legal und Risikomanagement entstand daraus das Open Source Governance Board (OSGB) – heute die zentrale Instanz für ein unternehmensweites, transparentes OSS-Management.

Das OSGB versteht sich als Steward für Open Source: Es fördert den aktiven Einsatz von OSS, schafft Orientierung und berät, um rechts-, sicherheits- und lizenzkonforme Nutzung abzusichern. Nach dem Prinzip „Trust but Verify“ werden die Leitplanken kontinuierlich fortgeschrieben – abgestimmt über alle Funktionsbereiche hinweg. So entsteht ein belastbares Gleichgewicht zwischen Innovationsförderung und Risikomitigation – ein Governance-Ansatz, der Open Source strategisch nutzbar macht, ohne seine Agilität zu verlieren.

Von der Theorie zum Werkzeug

Die bei Atruvia etablierten Strukturen und Prozesse bildeten die Grundlage für den nächsten Schritt: die Einführung eines Open-Source-Scanners, der während des Build-Prozesses Lizenzen und Sicherheitsrichtlinien automatisch überwacht. So wurde ein kontinuierliches Compliance- und Security-Monitoring geschaffen, das Risiken frühzeitig erkennt und die Entwicklungsprozesse absichert.

Gerade für größere Unternehmen, die Software entwickeln, ist diese technische Unterstützung unverzichtbar. Die schiere Menge an Open-Source-Komponenten – bei Atruvia sind es mehrere Zehntausend – lässt sich ohne Automatisierung weder effizient noch zuverlässig managen.

Bei der Auswahl geeigneter Tools kommt es auf die Art, Tiefe und Intensität der OSS-Nutzung an. Der Markt bietet eine große Bandbreite an Lösungen – von proprietären Scannern bis zu leistungsfähigen Open-Source-Tools wie FOSSology oder OWASP Dependency Check. Je nach Compliance-Schwerpunkt können zusätzliche Funktionen integriert werden, etwa zur Lizenz- und Schwachstellenanalyse, zum Code-Vergleich oder für Self-Service- und Legal-Workflows.

Nach eingehender Bewertung entschied sich Atruvia – trotz der starken Verbundenheit mit Open Source – bewusst für eine umfassende
proprietäre Scanner-Suite. Ausschlaggebend war dabei die Möglichkeit, sämtliche Compliance-Anforderungen zentral und skalierbar abzubilden.

Fazit

Open Source ist aus moderner Softwareentwicklung nicht wegzudenken – bringt aber lizenzrechtliche, sicherheitstechnische und organisatorische Herausforderungen mit sich.

Bei Atruvia begegnen wir dieser Komplexität mit einem strukturiertem OSS-Governance-System auf Basis der OpenChain-Spezifikation, das bereichsübergreifende Zusammenarbeit fördert und technische Automatisierung etwa durch Build-begleitende Scanner etabliert.