Creación de una OSPO
¿Necesito una OSPO?
Una OSPO funciona como un centro de experiencia en OSS dentro de su organización y es ideal si necesita un método escalable para administrar y hacer un seguimiento del uso de código abierto.
Una OSPO experimentada puede ayudar a:
- Supervisar una política corporativa de código abierto.
- Hacer un seguimiento y administrar las licencias de código abierto.
- Producir documentación esencial, como informes de avisos, informes de seguridad y SBOM.
- Orientar a las partes interesadas corporativas (como ejecutivos, legales, adquisiciones y seguridad) sobre el uso informado del código abierto.
- Identificar y mitigar los riesgos potenciales a lo largo del ciclo de vida del desarrollo de software.
Establecer un equipo interno de OSPO requiere orientación experta. Nuestros consultores de OSS lo orientarán para garantizar la implementación de procesos eficientes y protocolos de diseño que fomenten ahorros de costos a largo plazo, garanticen la máxima eficiencia y brinden métricas claras para el éxito.
OSPO-as-a-Service
OSPO-as-a-Service ofrece una solución externalizada, lista para implementar y diseñada para satisfacer las necesidades de cumplimiento de código abierto de su organización.
Complemente su equipo interno con el nuestro
Incluso si comprende la importancia de contar con un programa de código abierto, incorporar uno interno tiene sus desafíos. Quizás tenga recursos limitados, su organización no esté lista para integrar un equipo dedicado a OSPO o le resulte difícil encontrar talento en este nicho de dominio. Nuestro OSPO as Service puede ayudarle a cubrir las necesidades.
Por eso, ofrecemos un servicio de Oficina de Programas de Código Abierto (OSPO) administrada (es decir, como servicio). Ofrecemos una función OSPO completamente subcontratada para su organización con la experiencia, los recursos y el soporte dedicado para administrar de manera eficaz la adopción de software de código abierto.
Nos convertimos en una extensión integrada, dinámica y virtual de su equipo de desarrollo de software.
OSPO como servicio
OSPO-as-a-Service como servicio ofrece una solución externalizada para satisfacer las necesidades de cumplimiento de código abierto de su organización.
Gestión del código abierto
Trabajamos con organizaciones para explicar los riesgos de utilizar software de código abierto y definir una estrategia de gestión para abordarlos.
Los beneficios de nuestro servicio OSPO-as-a-Service incluye:
- Identificar su inventario de código abierto para comprender sus obligaciones de licencia
- Hacer un seguimiento del uso de software de código abierto para descubrir vulnerabilidades
- Desarrollar una estrategia para reducir los riesgos asociados con el uso de software de código abierto
- Gestionar los requisitos de licencia para evitar posibles litigios
- Definir procesos simplificados para gestionar el uso futuro de software de código abierto
Consulta guiada
OSPO-as-a-Service ayuda a las empresas a gestionar software de código abierto.
Empoderando a las organizaciones con consultoría estratégica
Nuestra experiencia en el asesoramiento y acompañamiento.
Ofrecemos estrategias viables que moldean el futuro de las organizaciones mediante una orientación consciente y de código abierto.
Estas son algunas de las formas en las empoderamos a nuestros clientes:
- Selección de herramientas personalizadas: ayudamos a seleccionar herramientas de análisis de composición de software (Software Composition Analysis, SCA) que pudieran satisfacer todas las necesidades de la organización.
- Gestión de código abierto dedicada: apoyamos la iniciativa en curso para la gestión de proyectos y programas de código abierto.
- Personal de oficina de programas de extremo a extremo: brindamos personal de reemplazo para una oficina de programas de código abierto.
- Hojas de ruta de cumplimiento de licencias: delineamos hojas de ruta para un mejor cumplimiento de licencias en el uso de OSS.
- Gestión de riesgos de código abierto: equilibramos los beneficios de usar software de código abierto con una gestión de riesgos adecuada
- Iniciativas de capacitación: realizamos sesiones de capacitación y educación para equipos legales, de liderazgo de productos, de seguridad y de adquisiciones.
- Seguridad: actuamos como equipo de ciberseguridad de una organización (tanto subcontratado como interno) para el diseño de la arquitectura de seguridad, la implementación de seguridad y el análisis forense.
Evaluación de código abierto de fusiones y adquisiciones: analizamos software de código abierto para la fase de diligencia debida de fusiones, adquisiciones y financiación.
Análisis y Auditorías
El análisis de software propietario y de terceros puede brindarle una comprensión clara del uso del código abierto en sus productos y servicios.
¿Sabe qué hay en su código?
La gestión de riesgos en las prácticas de desarrollo de software de su organización es fundamental. Una excelente firma de controlar el riesgo (y evitar posibles complicaciones legales) es garantizar el cumplimiento de la licencia antes del lanzamiento del producto. Sin embargo, establecer un inventario de su software de código abierto y de los avisos de terceros puede llevarle a un equipo sin experiencia muchos meses (o más) de desarrollo.
Nuestro servicio de escaneo y auditoría analiza rápidamente su base de código, administra el inventario, determina las necesidades de cumplimiento de la licencia y genera una lista de materiales de software (SBOM).
Componentes ocultos en el código
En el laberinto en constante evolución del software de código abierto, es indispensable contar con guías expertos. Nuestros consultores experimentados están preparados para:
- Entregar informes de auditoría precisos y oportunos adaptados a su proyecto y perfil de riesgo.
- Proporcionar escaneo remoto para construir un inventario de OSS, eliminando la necesidad de exportar su código fuente propietario.
- Descubrir software de código abierto desconocido y código de terceros con un escaneo y una auditoría exhaustivos para mitigar las ramificaciones legales
- Revisar y analizar los resultados de un análisis de composición de software (SCA).
- Identificar componentes de código abierto y fragmentos de código en código fuente, paquetes, binarios, imágenes de Docker, multimedia y código de terceros.
Análisis a software de código abierto
El servicio OSPO-as-a-Service es una consultoría de servicio completo que combina una experiencia única en código abierto, competencia en cumplimiento de licencias y una colaboración fluida para ayudar a su organización a administrar de manera eficiente todo su software de código abierto y reducir sus riesgos legales y de seguridad.
SBOM
Desarrolle lista de materiales de software (SBOM) para sus productos a fin de garantizar que cumplan con los requisitos de los clientes, los estándares de la industria y las regulaciones gubernamentales.
La mayoría de las organizaciones son conscientes de que menos del 10 % de su software de código abierto utiliza software de código abierto. Para garantizar que esté completamente cubierto con todo el software del que depende, los consultores de software de código abierto pueden ayudarlo a mantener un registro actualizado de su inventario de software de código abierto, desarrollar estrategias de cumplimiento para garantizar que tenga riesgos legales mínimos y comprender exactamente dónde y qué vulnerabilidades del software necesitan parches.
Indispensabilidad un SBOM
El SBOM no es solo una herramienta más, es fundamental para la gestión moderna de software. Es necesaria para gestionar licencias, vulnerabilidades y parches. Desempeña un papel vital en la protección de las cadenas de suministro. Es básica para comprender los activos de software tanto internos como externos.
Además, se está convirtiendo en parte integral de los marcos regulatorios globales que protegen a los consumidores. Si bien un informe SBOM es parte de nuestro servicio de escaneo y auditoría, es un área tan compleja que también ofrecemos orientación y consulta especializadas al respecto.
Gestión de una SBOM
Una lista de materiales de software (SBOM) es, en esencia, una lista de componentes de un software que detalla las versiones, las licencias y otra información pertinente. Proporciona transparencia al software y facilita la gestión del inventario. Es indispensable para garantizar el cumplimiento de las licencias y mantener la ciberseguridad en todos los productos, servicios e infraestructuras. No se puede menospreciar la importancia de desarrollar y mantener SBOM debido a la creciente complejidad del software, las mayores preocupaciones sobre la seguridad, el cumplimiento y los crecientes requisitos regulatorios.
Ayudamos a las organizaciones a desarrollar su SBOM de código abierto. Empleamos tecnología avanzada para identificar de forma única la existencia de código abierto, incluso cuando se trata de solo unas pocas líneas de un proyecto público. Confíe en nosotros para ayudarlo a desarrollar y mantener su inventario de código abierto completo.
PONER UN DIAGRAMA
Fragmentos de código en un SBOM
La mayoría de las herramientas de escaneo solo pueden detectar componentes completos de código abierto. Sin embargo, la inclusión de un fragmento de código de código abierto puede hacer que los requisitos de licencia se propaguen de forma viral al resto del componente en el que residen, incluso si el código que los engloba no es de código abierto. Estos fragmentos de código abierto pueden provenir de partes de repositorios, archivos fuente individuales o incluso de consejos de un foro de desarrolladores.
Nuestro proceso de generación de SBOM utiliza una combinación de las mejores herramientas comerciales, de código abierto y de la empresa, que detectan incluso los fragmentos de código más pequeños que residen dentro de una base de código y garantizan que el SBOM resultante sea exhaustivo y preciso.
¿Cómo podemos aprovechar un SBOM?
- Identificando el software de código abierto dentro de su código base.
- Manteniendo la alerta ante vulnerabilidades y exploits comunes (Common Vulnerabilities and Exposures, CVE).
- Abordando sistemáticamente los parches para eliminar errores y vulnerabilidades.
- Brindando transparencia a su cliente y validar los entregables de los proveedores.
- Alineando las regulaciones gubernamentales y los estándares de la industria.
- Brindando las debidas diligencias para prepararse para fusiones y adquisiciones.
- Identificando y evitando bibliotecas y módulos redundantes.
- Tomando decisiones informadas sobre el fin de la vida útil de un producto.
- Comprendiendo y administrando las dependencias del software
Estandarización
Orientación experta para cada paso del proceso de autocertificación que conduce a la conformidad con OpenChain | ISO/IEC 5230:2020 | Especificación de garantía de seguridad 1.1.
Adopción de estándares OpenChain
Si bien las normas ISO/IEC 5230:2020 e ISO/IEC DIS 18974 pueden ser relativamente nuevas en el ámbito de las normas, cumplen un papel importante a la hora de dar forma al enfoque de su organización en materia de cumplimiento y seguridad de código abierto.
Normas ISO-IEC 5230:2020 y ISO/IEC DIS 18974
ISO-IEC 5230:2020: Se ocupa de la creación, el mantenimiento y la sostenibilidad a largo plazo de los archivos digitales de su organización y es reconocida internacionalmente como el estándar para el cumplimiento de las licencias de código abierto.
ISO/IEC DIS 18974: Proporciona un marco para desarrollar e implementar sistemas de gestión de alta calidad para el desarrollo sostenible y es conocida como el estándar internacional para la garantía de seguridad de código abierto.
Proyecto Open Chain
El proyecto OpenChain mantiene ambos estándares.
La Asociación IoT es partner de OpenChain, lo que permitirá guiar de principio a fin a su organización a través del proceso para lograr la alineación con las normas ISO 5230:2020.
Nuestros consultores le brindarán la seguridad y la tranquilidad de que su software cumple con los estándares ISO/IEC 5230:2020.
Nuestra experiencia y servicio se extiende a la evaluación y el perfeccionamiento de los programas de garantía de seguridad utilizando la metodología certificada ISO/IEC DIS 18974. Al aplicar este marco integral, garantizamos que su organización esté implementando software seguro.
Soluciones de certificación
Ofrecemos tres niveles de servicio para ayudarlo en cualquier etapa de su proceso de conformidad con OpenChain.
- Consultoría de extremo a extremo (End-To-End). Para quienes necesitan apoyo en todas las fases de la certificación.
- Consultas con base en una necesidad. Para quienes buscan orientación en un paso o pasos específicos del proceso de autocertificación.
- Evaluación de cumplimiento independiente. Para aquellos que desean autocertificarse pero desean una evaluación independiente de un socio confiable de OpenChain.