Open Source Software

Strategic – Efficient – Compliant

Ihr Experte für Fragen

Marcel Scholze
Director Open Source Software Services & IT Sourcing bei PwC Deutschland
Tel.: +49 151 16157049
E-Mail

Digitalisierung, Innovation und Souveränität fördern

Die Welt wird mit Open Source Software (OSS) betrieben – von Unterhaltungselektronik, Haushaltsgeräten und Medizintechnik über Automobile und Produktionsstraßen bis hin zur Enterprise IT und Mobile Services. Gerade auch Emerging Technologies wie Cloud Computing, Internet of Things (IoT) Blockchain, Artificial Intelligence (AI) und Robot Process Automation (RPA) bauen massiv auf Open Source Software auf.

Mit der fortschreitenden Digitalisierung von Produkten und Dienstleistungen und der zunehmenden Bedeutung disruptiver Technologien kann man nur durch ein effektives und effizientes Open Source Software Management Schritt halten, das die Nutzung, Erstellung und den Beitrag zu Open Source Software fördert, aber auch regelt. Ein effizientes Open Source Management Framework und die Nutzung von entsprechenden Toolchains, beispielsweise für die Software Composition Analysis (SCA) und dem Software Asset Management (SAM), sind hier der Stand der Technik. Diese Faktoren beeinflussen unter anderem den OSS Reifegrad eines Unternehmens und positioniert es im Wettbewerb.

„Für die Digitalisierung und das Schritthalten mit den neuesten Entwicklungen von Dienstleistungen und Produkten ist ein ausgereiftes Management und Compliance von Open Source Software der Schlüssel zum Überleben! Unsere Mission ist es, Ihre digitale Zukunft durch Open Source Software zu gestalten, zu bereichern und zu ermöglichen.“

Marcel Scholze,Director bei PwC für Open Source Software Management und Compliance

Chancen und Risiken von Open Source Software Nutzung

Durch den gezielten Einsatz von OSS können Sie Kosten und Entwicklerkapazitäten einsparen, sich dabei gleichzeitig führend an aktuellsten Entwicklungen beteiligen und Standards setzen sowie Ihre Unabhängigkeit von Softwareherstellern stärken. Im Fokus sollte dabei jedoch die Wahrung der Open Source Compliance für die Software-Lizenzen liegen, um unbeabsichtigte Lizenzverstöße und dadurch finanzielle, Kontinuitäts- und Reputationsrisiken zu vermeiden.

Sind Sie hierfür schon richtig aufgestellt und haben Sie die Chancen, die Open Source Software Ihrem Haus ermöglicht, ergriffen und dabei die Risiken hinreichend mitigiert? Haben Sie die OSS Compliance Ihrer (Software-)Lieferanten unter Kontrolle?

Anzustrebende OSS-Vorteile

Treiben Sie Ihre digitale Zukunft durch Open Innovation voran

  • Profitieren Sie von gemeinsamem Wissen und Entwicklungskapazitäten sowie von strategischen, offenen Entwicklungs- und Innovationsallianzen
  • Steigerung der Markenposition und Reputation, um digitale Talente zu binden und anzuziehen

Bauen Sie Ihre digitale Souveränität aus

  • Reduzieren Sie den Vendor-Lock-in-Effekt und stärken Sie Ihre Verhandlungsposition gegenüber proprietären Anbietern
  • Verbessern Sie IT-Sicherheit, Qualität und Transparenz durch Open Source Communities
  • Professionalisieren Sie das Management des geistigen Eigentums in Ihrer Software-Lieferkette mit bestehenden Standards wie ISO 5230 und ISO 5962

Nutzen Sie die Möglichkeiten zur Kosten- und Zeitersparnis

  • Verkürzung der Time-to-Market durch führende Open Source Frameworks für „Emerging Technologies“ wie AI, ML, Blockchain und Cloud
  • Eliminierung von einmaligen und wiederkehrenden Lizenzkosten
  • Etablierung der Open Source Entwicklung als neues Beschaffungsmodell zur Nutzung von Schwarmintelligenz und globalen Ressourcenkapazitäten

Risiken, die mitigiert werden müssen

Support und kontinuierliche Entwicklung

  • Keine Sicherheiten oder Verträge für die Projektkontinuität, Wartung, Support und Qualität durch die Communities
  • Haftungslücke zwischen eigener Produkthaftung und OSS-Komponenten

Rechtliches Risiko für geistiges Eigentum (IP) durch Lizenzverpflichtungen

  • Verbot der weiteren Nutzung von OSS-Komponenten (Produktrückruf)
  • Erzwungene Offenlegung des eigenen IP oder Schadensersatzforderungen

Sicherheitsrisiko und Anfälligkeit in Software-Lieferketten

  • Unklare Herkunft, Konformität und Sicherheit (z. B. CVE) von Softwarekomponenten in Lieferungen von Ihren Lieferanten
  • Ungewisse Managementpraktiken bei der Erstellung von Code und Artefakten

Compliance-Anforderungen in Geschäftsbeziehungen

  • Ausschluss aus Lieferketten durch nicht gemanagte Open Source Risiken oder fehlende erforderliche Compliance-Dokumentation
  • Geschäftsführerhaftung, wenn das Risikomanagement nicht dem Stand der Technik entspricht, z. B. ISO 5230-Zertifizierung

PwC Open Source Software Management Framework

Die Einführung eines vollständig integrierten Open Source Management Frameworks ermöglicht es, die Chancen und Vorteile von OSS für Ihr Unternehmen, Ihre Mitarbeitenden und Ihre Digitalisierungsbestrebungen zu nutzen und gleichzeitig die inhärenten Sicherheits- und Compliance-Risiken effektiv zu steuern.

PwC bietet maßgeschneiderte Dienstleistungen an, die alle Dimensionen des Open Source Management Frameworks adressieren.

Infografik: PwC Open Source Software Management Framework

Unsere Services für ein ganzheitliches OSS-Management

Open Source Management Benchmarking & Optimierung

Bei einigen Open Source Compliance Management Systemen gibt es einen massiven Backlog an Kuratierungs-, Clearing- und Genehmigungsaktivitäten, verursacht durch ineffiziente Prozesse und fehlende Ressourcen. Um diese Probleme zu lösen, berät PwC Sie bei Ihrem bereits etablierten Managementsystem hinsichtlich der Optimierung von Workflows, der Einführung von risikobasierten Genehmigungen, anwendungsfallbezogener Wiederverwendung, schlanker Prozesse und maßgeschneidertem Tooling.

  • Vor-Ort Assessment Ihres aktuellen Reifegrads bei allen OSS-Compliance-Prozessen, Werkzeugen und Ihrem aktuellen Automatisierungsgrad
  • Festlegung einer risikobasierten Genehmigungsstrategie für bestimmte Anwendungsfälle oder Vertriebskanäle, um Ihre Ressourcen zu entlasten und den manuellen Aufwand auf sensible Anwendungsfälle zu fokussieren (z. B. durch einfache Flussdiagramme zur internen Verwendung nur in F&E-Aktivitäten)
  • Vereinfachung bestehender Prozessabläufe durch Standardisierung von Formularen und notwendigen Informationen, beispielsweise durch die Erstellung von Dokumentvorlagen für Prozesse und deren Eingaben (z. B. OSS-Selbstbewertung und Usability-Check)
  • Erstellung von Leitfäden für (rechtliche) OSS-Lizenzanforderungen (z. B. OSS License Charts, License Compatibility Chart)
  • Auswahl und Implementierung von Software Composition Analysis (SCA) Werkzeugen für das Scannen von Code auf Compliance und Sicherheit sowie Software Asset Management (SAM) Tools für die optimale Verwaltung ihrer genutzten Software

Open Source Security Optimierung

Die Verwendung von Open Source Software setzt Sie – wie jede andere Software – Sicherheitsrisiken aus. Um entsprechende Sicherheitsrisiken zu erkennen, ist es wichtig zu wissen, welche Komponenten von Open Source Software verwendet und schließlich in Ihr Gerät oder Ihre Lösung eingebaut und vertrieben werden. Das Sicherheitsrisiko kann von Qualitätsmängeln im Code und CVEs bis hin zum Risiko für die Geschäftskontinuität von OSS-Projekten oder der schadhaften Unterwanderung von Projekten reichen.

  • Bewertung Ihres Status Quo beim Management der Open Source Sicherheit und Bericht über festgestellte Schwachstellen
  • Benchmark in Abgleich zur OpenChain Security Assurance Specification der Linux Foundation
  • Entwurf und Implementierung von Anweisungen, Richtlinien, Schutzmaßnahmen, Zuständigkeiten und Prozessen für Ihr Open Source Sicherheitsmanagement
  • Einrichtung von Sicherheits-Toolchains zur sicheren Nutzung eingehender Open Source Software, z. B. über automatische CVE-Scan-Tools

Open Source Strategie und Enablement

Wer Open Source Software nicht oder unkontrolliert einsetzt, verzichtet nicht nur auf die enormen Vorteile von OSS, sondern induziert auch Risiken, die durch eine klare OSS-Strategie und ein entsprechendes Managementsystem gemildert werden können. Um die Interaktion mit Open Source Software auf den richtigen Weg zu bringen, bietet PwC die notwendige Unterstützung bei der Entwicklung einer soliden Strategie, auf die Sie aufbauen können.

  • Identifikation und Analyse der unternehmensspezifischen OSS-Chancen, Herausforderungen und des Status-Quo der OSS-Nutzung 
  • Identifikation der daraus resultierenden anwendungsspezifischen OSS-Risiken und Definition der Risikobereitschaft 
  • Definition von strategischen OSS-Schwerpunkten (z.B. spezifische Geschäftsbereiche, Anwendungsszenarien (Use, Contribute, Create), strategisch relevante OSS-Communities, Entwicklungsallianzen, Inner Source)

Open Source Programm Implementierung

Eine Open Source Strategie und Policy entfalten ihr maximales Potenzial nicht, wenn sie ungenügend umgesetzt sind. Profitieren Sie von der Erfahrung der PwC-Experten bei der erfolgreichen Implementierung eines Open Source Programms von Null an bis hin zu einem voll funktionsfähigen, bereichsübergreifenden Managementsystem mit allen notwendigen Prozessen und Tools.

  • Definition aller notwendigen Policy-Aspekte, z. B. zur Veröffentlichung von Code, zur Annahme und dem Committen von Contributions, zur internen Nutzung von Inbound und zum Compliance-, Lizenz- und Obligations-Management
  • Einrichtung aller erforderlichen Open Source Prozesse, z. B. für die Nutzung eingehender Software, Beiträge zu bestehenden Projekten oder die Freigabe neuer Projekte
  • Schrittweise Einführung mittels Piloten, einschließlich der Auswahl von Kandidaten, Abteilungen, Geschäftsbereichen für die Piloteinführung
  • Zuweisung von Rollen an Ihre Mitarbeiter entsprechend ihrer Kompetenzen für ein nachhaltiges Managementsystem, ggf. Definition der notwendigen Kompetenzen für Ihr Recruiting

Inner Source

Inner Source, d. h. die Anwendung der Open Source Software-Methoden und -Kultur in einer Organisation, führt zur Freisetzung großen Potenzials durch organisationsübergreifende Zusammenarbeit, Wiederverwendung, interdisziplinäre Exzellenz, Qualität, Engagement und Motivation. PwC unterstützt Sie bei der Analyse, Planung, Entwicklung und Umsetzung Ihrer individuellen Strategie in Richtung Inner Source.

  • Analyse von Interessengruppen, Organisationsstrukturen, rechtlichen Grenzen, Vorteilen und Herausforderungen für Inner Source und Entwurf einer Inner Source-Strategie 
  • Planung aller notwendigen Prozesse und Infrastrukturen, um die Vorteile von Inner Source zu ermöglichen (z. B. internes Code- und Artefakt-Repository, Issue-Tracker)
  • Entwicklung der notwendigen Governance rund um das interne Code-Repository (z. B. Richtlinien und Regeln, Nutzungsbedingungen, Verhaltenskodex)
  • Definition aller notwendigen Rollen und Kompetenzen für das interne Projektmanagement, ggf. Bereitstellung von vollständigem Schulungsmaterial
  • Einarbeitung Ihrer Mitarbeiter in die neue Inner Source-Strategie (z. B. Schulung und Anleitung zu neuen Prozessen einschließlich CI/CD-Verfahren)

ISO 5230 / ISO 18974 Zertifizierung / Auditierung

Die Einhaltung der globalen Industriestandards für Open Source Compliance Management, ISO 5230:2020 und Open Source Security, ISO 18974:2023 ist ein gefragtes Verkaufsargument für Ihr Unternehmen, da Unternehmen weltweit nach Security und Compliance in ihren Software und Produkt Lieferketten streben. PwC kann als externe Zertifizierungs- und Auditierungsstelle für ISO 5230 und ISO 18974 Ihr OSS Management prüfen und Nachweise Ihrer Compliance ausstellen.

  • Festlegung des Scopes für die Zertifizierung / Auditierung
  • Durchführung des Audits, Phase 1 und Phase 2
  • Erteilung des Zertifikats oder Audierungsberichts

ISO 5230 / ISO 18974 Readiness Support oder Bewertung 

Um optimal auf eine ISO 5230 / ISO 18974 Zertifizierung vorbereitet zu sein, bietet PwC im Vorfeld einen Zertifizierungs-Readiness Support und Assessments an. Lernen Sie vom Expertenwissen von PwC durch ein Dry-Run-Assessment und ein qualifiziertes Feedback und Benchmarking Ihres Open Source Compliance und Security Management Programms, um Ihre Optimierungsgeschwindigkeit zu erhöhen und für eine anstehende Zertifizierung gewappnet zu sein.

  • Bewertung der Existenz aller notwendigen Prozesse und Dokumente
  • Überprüfung der Design-Effektivität und Operational-Effektivität durch Test-of-Ones
  • Bericht über den aktuellen Status Quo, Optimierungsempfehlungen und den Status der Zertifizierungsreife

M&A Open Source Compliance Assessment

Bei fast allen Deals und M&A-Aktivitäten ist Software in den wichtigsten Assets enthalten, wenn sie nicht selbst der wichtigste Vermögenswert ist. Open Source Software, die standardmäßig in physischen Geräten, Softwarelösungen oder Dienstleistungen verbaut ist, stellt ein hohes Risiko für den Wert des Deals, die Nutzbarkeit und die Geschäftskontinuität der übertragenen Vermögenswerte dar. PwC prüft und analysiert die Vermögenswerte von Transaktionen, um diese OSS-Risiken zu identifizieren, zu bewerten und transparent zu machen.

  • Identifizierung von OSS-Risiken und Festlegung des Assessment Scopes auf der Grundlage der Geschäftsstruktur, der beteiligten Vermögenswerte und der Softwareprävalenz 
  • Toolgestütztes Code Scanning, Auflösung von Abhängigkeiten und ergebnisbasierte Lizenz- und Sicherheitsbewertung von OSS-Komponenten 
  • Erstellung von Software Bill of Materials (SBOM) zur Auflistung der verwendeten OSS-Komponenten und ihrer Lizenzen
  • Bericht und Stellungnahme zu Aspekten der Open Source Compliance und Sicherheit
  • Überprüfung des Reifegrades des etablierten Open Source Software Management Systems

OSS Compliance & Security Audits von Zulieferern 

Zu wissen, dass das OSS Compliance und Security Management Ihrer Zulieferer ausgereift ist, ist der Schlüssel, um Ihre internen Aufwände zu reduzieren und eine doppelte Überprüfung von externem Code und Compliance-Artefakten zu vermeiden.

  • Bewertung der OSS Management Praktiken Ihrer Lieferanten
  • Audit gemäß einem individuell entwickelten OSS-Auditprogramm oder gemäß ISO 5230 / ISO 18974
  • Stichprobenartige Überprüfung der SBOM-, OSS-Compliance- und Security-Artefakte 
  • Transparentes Live-Dashboarding des Fortschritts und der ggf. identifizierten Probleme
  • Schaffen Sie durch PwC Supplier OSS Audits Vertrauen in Ihre Software-Lieferkette

Code Scanning & SBOM Erstellung

Reduziert die Notwendigkeit für interne Ressourcen, Wissen und Tools für Code Scans und erstellt professionelle und konforme Software Bill Of Materials (SBOM).

  • Nutzung des PwC OSS Compliance Toolings (oder Nutzung Ihrer eigenen Toolchain) für Scans Ihres Quellcodes hinsichtlich OSS Compliance und Sicherheit
  • Bereinigung und Kuration von identifizierten Komponenten
  • Klärung und Nachbesserung etwaiger identifizierter Probleme
  • Bereitstellung von vollständigen SBOM für Ihre Software in definierten Dateiformaten, z. B. SPDX Standard ISO 5962

Prüfung der SBOM von Zulieferern

Die Nutzung der SBOMs Ihrer Zulieferer kann interne Aufwände zur Prüfung eingehenden Codes drastisch reduzieren. Wir prüfen die SBOM Ihres Zulieferers auf Korrektheit und Vollständigkeit, damit Sie ihnen vertrauen können.

  • Review der SBOMs, die Sie von Ihren Zulieferern erhalten
  • Verifizieren der Informationen, Sicherstellung von Vollständigkeit und Gültigkeit durch gesammelte Hintergrundinformationen und Fachexpertise
  • Wenn möglich, detailliertes Review und Überprüfung der SBOM gemeinsam mit Ihrem Zulieferer durch Code Review und Analyse
  • Report, Diskussion und Klärung von offenen Fragen und unklaren Fällen
  • Bewertung und Kategorisierung von Ergebnissen des Reviews und Empfehlung von weiteren Maßnahmen, wo notwendig

OSS Prozess & Compliance Training

Profitieren Sie von Erfahrungen aus erster Hand und OSS Prozess und Compliance Trainings durch Industrieexpertinnen und -experten, zugeschnitten auf die Bedürfnisse Ihrer Mitarbeitenden.

  • Design und Ausrichtung Ihres OSS Trainingsprogramms
  • Durchführung zielgruppenspezifischer Trainings, beginnend bei Neueinstellungen bis zu Führungskräften mittels virtueller Lehrgänge, webbasierter Trainings und, wenn möglich, Schulungen vor Ort
  • Integration in jährliche Compliance Maßnahmen inklusive der Kontrolle von Lernerfolgen und deren Dokumentation

OSS Compliance Audits von Zulieferern

Zu wissen, dass Ihre Zulieferer ein verlässliches OSS Compliance Management etabliert haben, ist wesentlich, um Ihre internen Aufwände für Prüfung von externem Code und Compliance Artefakten zu reduzieren.

  • Bewertung von OSS Compliance Management Praktiken Ihrer Zulieferer
  • Audit nach individuell gestalteten OSS Compliance Prüfprogrammen oder nach ISO 5230 Anforderungen
  • Stichprobenprüfung von SBOM und OSS Compliance Artefakten
  • Dashboard mit transparentem Live-Fortschritt über das Audit und etwaigen, identifizierten Problemen
  • Vertrauen innerhalb Ihrer Software Lieferkette schaffen mittels vertrauenswürdiger Lieferbeziehungen

OSPO as a Service

Zugang zu aktuellem OSS Branchenwissen zu Open Source Compliance und Security als Ihre Antwort auf den Mangel an Fachkräften, fehlender in-house Expertise und Kapazitäten.

  • Erster Kontaktpunkt für alle Belange bezüglich OSS Compliance Management
  • Unterstützung des gesamten Lebenszyklus Ihrer Produkte und Dienstleistungen hinsichtlich OSS Compliance und Security
  • Ad-hoc Unterstützung für Fragen bezüglich: OSS Tooling, OSS Komponenten, OSS Lizenzen, OSS Integrationen, OSS Security
  • Prüfung von Anwendungsfällen, der Risiko-Trigger je nach Anwendungsfall und der Einhaltung der Lizenzbestimmungen

„Auf Basis einer durchdachten Open Source Software Strategie können Sie die richtigen Compliance Maßnahmen und operativen Prozesse einrichten. Ziel ist es, OSS zu befürworten und gleichzeitig Vertrauen in seine Anwendung aufzubauen – intern und mit Ihren Lieferanten.“

Marcel Scholze,Director bei PwC für Open Source Software Management und Compliance
Follow us

Contact us

Marcel Scholze

Marcel Scholze

Director Open Source Software Services & IT Sourcing, PwC Germany

Tel.: +49 151 16157049

Katharina Grauf

Katharina Grauf

Manager Open Source Software Services, PwC Germany

Tel.: +49 160 5526026

Thomas  Urband

Thomas Urband

Senior Manager, IP/IT Lawyer, PwC Legal AG, PwC Germany

Tel.: +49 160 96273689

Hide