Aufbau einer widerstandsfähigen Software-Lieferkette: Herausforderungen für Taiwan bei der Einführung von OpenChain

22.11.2024

Claire Cheng

Open Source

Claire Cheng

Als Mitglied der OpenChain-Community pflegt Bitsea weltweit Partnerschaften. Heute möchten wir Ihnen Einblicke in die Open Source Compliance in Taiwan geben, die von Claire Cheng zur Verfügung gestellt wurden. Cheng arbeitet seit langem für die OCF in Taiwan und berät Unternehmen zu Open-Source-Prozessen und schult Kunden zu den Besonderheiten beim Einsatz von Open Source.

Dieser Artikel reflektiert meine dreijährige Arbeit zur Förderung von OpenChain bei der Open Culture Foundation (OCF), wo ich mich darauf konzentriert habe das Projekt zu unterstützen und zu bewerben. Trotz unserer Bemühungen ist die Akzeptanz in Taiwan nach wie vor begrenzt, da die Unternehmen oft uneinheitliche Ansätze zur Open-Source-Lizenzierung verfolgen und es ihnen an starken Anreizen fehlt, ISO 5230 und ISO 18974 ohne externen Druck zu übernehmen. Ich möchte unsere Fortschritte und die Herausforderungen, mit denen wir konfrontiert waren, dokumentieren, um künftige Bemühungen in der OpenChain-Interessenvertretung zu unterstützen.

2 wichtige ISO-Standards zur Lösung der Probleme beim Open-Source-Management im OpenChain-Projekt.

Eine Umfrage der Linux Foundation aus dem Jahr 2023 ergab, dass über 90 % der Organisationen Open-Source-Software verwenden, da es unpraktisch ist, alles von Grund auf neu zu erstellen. So wie die Rückverfolgbarkeit von Zutaten von Lebensmitteln durch transparente Informationen Vertrauen schafft, benötigt die Software-Lieferkette ein System, das den Anbietern bei der Verwaltung des Codes hilft und die Qualität sicherstellt.

Ohne diese ist es schwierig, die Herkunft, die Versionen oder die Einhaltung von Lizenzen zu überprüfen, was die Fähigkeit der Hersteller schwächt, Sicherheits- und Rechtsfragen anzugehen. OpenChain, initiiert von der Linux Foundation, begegnet diesen Herausforderungen, indem es eine zuverlässige, konsistente Verwaltung von Open-Source-Komponenten in der gesamten Lieferkette sicherstellt. Mit Unterstützung einer globalen Gemeinschaft hat OpenChain zwei ISO-Standards entwickelt: ISO 5230, der die Einhaltung von Open-Source-Lizenzen unterstützt (mit 121 zertifizierten Unternehmen), und ISO 18974, der im Dezember 2023 eingeführt wurde, um Open-Source-Software zu sichern, und bereits von Unternehmen wie LG, BlackBerry und Honda übernommen wurde.

Warum brauchen Sie OpenChain?

Die heutigen spezialisierten Lieferketten sind auf die Zusammenarbeit mehrerer Zulieferer angewiesen, um wettbewerbsfähige Produkte herzustellen. Jedes Unternehmen steuert nur einen Teil bei, weshalb es unerlässlich ist, die Herkunft der Komponenten zu verfolgen und die Einhaltung der Vorschriften sicherzustellen.

Stellen Sie sich vor, Sie stehen vor einer großen Sicherheitslücke: Wenn ich nicht schnell mit meinem Team überprüfen kann, ob wir betroffen sind, könnten Hacker das Problem ausnutzen und das Vertrauen der Kunden aufs Spiel setzen. Oder wenn ein Kunde einen Lizenzverstoß in einer Komponente feststellt, müsste ich dies mit dem vorgelagerten Lieferanten prüfen. Dies birgt das Risiko für potenzielle rechtliche Probleme.

OpenChain bietet ein System zum Management von Komponenten und zur Sicherstellung der Einhaltung von Lizenzen, sodass Hersteller schnell auf Sicherheits- oder Compliance-Probleme reagieren und das Vertrauen der Kunden schützen können.

Offener Großraumbüro mit Druckern und Bildschirmen

Bildquelle: KI-generiert
Da die Arbeitsteilung in modernen Industrien immer komplexer wird, ist die Fertigstellung eines Produkts das Ergebnis der Zusammenarbeit zwischen verschiedenen Unternehmen oder Abteilungen. Das Rückverfolgungssystem der Open-Source-Komponente verbessert die Managementqualität und das Vertrauen in die Lieferkette.

OpenChain in Taiwan: Derzeit ziehen nur Frühanwender eine Einführung in Betracht.

Im Jahr 2020 begann OCF, die Einhaltung von Open-Source-Standards zu fördern, und bis 2022 gelang es OCF, KKCompany als erstes und derzeit einziges Unternehmen in Taiwan dazu zu bringen, die ISO 5230-Zertifizierung zu erhalten.

Die Einhaltung von Open-Source-Richtlinien befindet sich in Taiwan noch in der „Early-Adopter“-Phase. Obwohl eine kleine Gruppe innerhalb einiger Unternehmen die Bedeutung des Managements der intern verwendeten Open-Source-Komponenten erkannt hat, konnten sie die Entscheidungsträger der Unternehmen noch nicht davon überzeugen, der Einhaltung von Open-Source-Richtlinien Priorität einzuräumen.

Unternehmen haben noch keine überzeugenden Anreize für die Einführung gefunden.

Als Land, das stark vom internationalen Handel abhängig ist, wird Taiwan unweigerlich globalen Trends folgen, da die Verwaltung von Open-Source-Komponenten weltweit immer wichtiger wird und Open-Source-Compliance-Anforderungen aus Lieferketten entstehen. Bisher hat jedoch noch kein großer internationaler Hersteller vorgeschrieben, dass alle seine Lieferanten eine Open-Source-Compliance-Zertifizierung erhalten müssen.

Darüber hinaus hat die taiwanesische Regierung die Einhaltung von Open-Source-Richtlinien nicht als eine der wichtigsten Prioritäten für Hersteller eingestuft. Selbst wenn ein Unternehmen erkennt, dass eine frühzeitige Einführung von OpenChain die Qualität der Ergebnisse verbessern könnte, handelt es möglicherweise nicht sofort. OpenChain kann Risiken im Zusammenhang mit Rechtsstreitigkeiten, Sicherheit und Reputation reduzieren. Die unmittelbaren Vorteile sind jedoch nicht immer klar, insbesondere im Vergleich zu anderen geschäftlichen Prioritäten.

Schließlich werden Unternehmen nicht jeden Tag mit Fragen zu Verstößen gegen Open-Source-Lizenzen oder Sicherheitskrisen konfrontiert. Die für die Umsetzung der Open-Source-Compliance aufgewendeten Ressourcen führen möglicherweise nicht zu sofortigen Ergebnissen. Im Gegensatz dazu bietet die Investition derselben Ressourcen in neue Geschäftsmöglichkeiten einen klareren, greifbareren Weg zu höheren Gewinnen, der für Entscheidungsträger leichter vorstellbar ist.

Bewusstseinslücke bei der Einhaltung von Open-Source-Richtlinien unter den Interessengruppen.

Wenn ein Unternehmen der Einführung der Open-Source-Compliance Priorität einräumt, liegt dies in der Regel daran, dass jemand, der eng mit dem Open-Source-Management verbunden ist – oft aus der Entwicklungs- oder Rechtsabteilung –, die Bedeutung erkennt. Dies bedeutet jedoch nicht unbedingt, dass das gesamte Unternehmen OpenChain als wesentlich ansieht.

Manche Mitarbeiter des Unternehmens sind sich möglicherweise gar nicht bewusst, dass ihre Produkte Open-Source-Komponenten enthalten. Sie könnten annehmen, dass Open Source einfach nur freie Software bedeutet, die ohne Einschränkungen genutzt werden kann. Selbst Entwickler, die täglich mit Code arbeiten, sehen möglicherweise nicht die Notwendigkeit, die Herkunft von Komponenten sorgfältig zu verwalten oder die Einhaltung von Lizenzverpflichtungen sicherzustellen.

Mangel an Fachwissen im Bereich Open-Source-Management

Derzeit gibt es in Taiwan nur wenige Fachleute, die Dienstleistungen im Zusammenhang mit der Einhaltung von Open-Source-Vorschriften anbieten, wie z. B. Open-Source-Lizenzen oder die Erstellung einer Software-Stückliste (SBOM). Dieser Mangel ist zum Teil darauf zurückzuführen, dass sich die Einhaltung von Open-Source-Vorschriften in Taiwan noch in der „Early-Adopter“-Phase befindet. Bei geringer Nachfrage ist es schwierig, ein florierendes Ökosystem von Dienstleistern zu fördern.

Um mehr Unternehmen dazu zu ermutigen, Open-Source-Compliance einzuführen, ermöglicht die Linux Foundation Unternehmen die Selbstzertifizierung nach ISO 5230 und ISO 18974. Darüber hinaus werden durch die Zusammenarbeit in der Community Richtlinien für den Erhalt dieser Zertifizierungen auf ihrer Website frei verfügbar gemacht, sodass Unternehmen, die bereit sind zu recherchieren, häufige Fallstricke vermeiden können.

Aus der Perspektive der Förderung der Open-Source-Compliance senken diese kostenlosen Ressourcen und Selbstzertifizierungsoptionen die Eintrittsbarrieren für Unternehmen. Unternehmen können die Grundlagen selbst bewältigen, ohne erhebliche Summen für Berater oder Wirtschaftsprüfungsgesellschaften auszugeben. Dies bedeutet jedoch auch, dass professionelle Dienstleister speziellere Nischen für ihre Angebote finden müssen.

Derzeit stehen taiwanesische Unternehmen nicht unter erheblichem Druck von außen durch Lieferketten oder die Regierung, Compliance-Dokumentationen vorzulegen. Daher können selbst diejenigen, die an der Einführung von Open-Source-Compliance interessiert sind, damit beginnen, den Vorschlägen der OpenChain-Community zu folgen und den Prozess selbst umzusetzen. Es besteht keine Eile, ihn sofort zu perfektionieren.

Daher sollte der Schwerpunkt nicht auf dem Angebot von Beratungspaketen zur ISO-Einführung liegen, sondern auf der Bereitstellung von Beratungs- oder maßgeschneiderten Dienstleistungen, um Unternehmen bei der Lösung spezifischer Probleme zu unterstützen, auf die sie bei der Selbstimplementierung stoßen.

Wissens- und Erfahrungsaustausch zur Vorbereitung auf Taiwans OpenChain-Welle

Zuvor arbeitete ich bei OCF, einer gemeinnützigen Organisation, die sich der Förderung eines florierenden Open-Source-Ökosystems verschrieben hat. OCF verfolgt zwei Ziele: Erstens soll Unternehmen durch die Nutzung von Open-Source-Code dabei geholfen werden, das Rad nicht neu zu erfinden, und zweitens sollen sie ermutigt werden, unter Einhaltung der Open-Source-Lizenzverpflichtungen einen Beitrag zur Gemeinschaft zu leisten.

Mit diesem Ziel vor Augen setzt sich OCF weiterhin für OpenChain ein. Obwohl wir noch nicht in der Lage sind, mit Lieferketten zu beginnen, und die Durchsetzung der Open-Source-Compliance innerhalb der Regierung nach wie vor eine schwierige Aufgabe ist, organisieren wir weiterhin Veranstaltungen und Öffentlichkeitsarbeit.

Diese Initiativen zielen darauf ab, taiwanesische Unternehmen für die Einhaltung von Open-Source-Richtlinien zu sensibilisieren, mit dem letztendlichen Ziel, dies zu einer Unternehmenspriorität zu machen.

Die Taiwan OpenChain Working Group,, der auch OCF angehört, besteht aus engagierten Freiwilligen. Wir veranstalten mindestens einmal im Jahr ein Treffen, das kostenlos und für alle Interessierten offen ist. Diese Veranstaltungen bieten nicht nur eine Plattform für den Austausch von Ideen, sondern dienen auch als Raum, um neue Erkenntnisse über OpenChain zu teilen. Die Arbeitsgruppe lädt nationale und internationale Experten ein, um praktische Erfahrungen und die neuesten Informationen zu ISO 5230 und ISO 18974 auszutauschen und taiwanesische Unternehmen zu ermutigen, sich an Diskussionen über die Einhaltung von Open-Source-Standards zu beteiligen.

Von Zeit zu Zeit führt OCF Informationsveranstaltungen durch, verfasst populäre wissenschaftliche Artikel und Forschungsberichte und gibt Informationen über die Einhaltung von Open-Source-Richtlinien an alle weiter.

Derzeit erkennen nur wenige taiwanesische Unternehmen, dass die Verwaltung von Open-Source-Komponenten und die Sicherstellung der Compliance ein notwendiger Bestandteil ihrer Infrastruktur ist. Ich bin jedoch fest davon überzeugt, dass ein kontinuierlicher Informationsaustausch und eine kontinuierliche Kommunikation entscheidende Grundlagen sind, um das Bewusstsein für die Einhaltung von Open Source in taiwanesischen Unternehmen zu schärfen.

Wann werden taiwanesische Unternehmen dringend und in großem Umfang die Notwendigkeit verspüren, die Einhaltung von Open-Source-Standards umzusetzen? Dies könnte der Fall sein, wenn wichtige Interessengruppen beginnen, sich einzumischen. Wenn beispielsweise ein großer internationaler Hersteller von seinen Lieferanten eine Zertifizierung nach ISO 5230 oder ISO 18974 verlangt, werden sich taiwanesische Lieferanten in diesen Lieferketten unter Druck gesetzt fühlen, diese zu erfüllen. Oder wenn ein bekannter taiwanesischer Hersteller frühzeitig die ISO-Zertifizierungen von OpenChain einführt, könnte dies anderen kleinen und mittleren Unternehmen als Vorbild dienen.

Autorin: Claire Cheng
Ursprünglich in Mandarin veröffentlicht hier.
License: CC BY 4.0