Wenn wir uns vorstellen, dass OSS der Wilde Westen ist, k\xf6nnen viele Dinge sehr frei gemacht und umgesetzt werden \u2013 jedoch auch zum Vorteil Einzelner und nicht zwingend im Interesse der Gemeinschaft.\n\nUm gewisse Grenzen und Rahmenbedingungen in der Pr\xe4rie aufzuzeigen, wird im Wilden Westen ein Sheriff ernannt. In Unternehmen werden im OSS-Kontext Open Source Program Offices (OSPOs) als eigene Instanzen etabliert, um die Rahmenbedingungen der OSS-Nutzung zu definieren und die Interessen des Unternehmens und der Community zu sch\xfctzen.\n\nIn diesem Talk betrachten wir das WAS und das WIE der Etablierung eines OSPOs in Unternehmen und teilen Erfahrungen und Einblicke aus der Praxis.\n\nNachdem Unternehmen die tlw. strategische Entscheidung getroffen haben, Open Source Software einzusetzen, gilt es sicherzustellen, dass diese nicht willk\xfcrlich und unkontrolliert eingesetzt wird.\nZiel ist es, die Balance zwischen Unternehmenszielen und freier Software-Entwicklung herzustellen, um den technischen Fortschritt zu f\xf6rdern, die Potenziale von OSS auszusch\xf6pfen, und Compliance-Einhaltung sicherzustellen.\n\nWarum?\n- Herausfordernd ist (1) die Einhaltung der komplexen und oftmals un\xfcbersichtlichen Rechte und Pflichten von Lizenz-Anforderungen, Identifikation von Lizenz-Inkompatibilit\xe4ten, Umgang mit Lizenz-\xc4nderungen, oder die verpflichtende Anzeige von OSS-Lizenztexten. Zudem spielt (2) die R\xfcckverfolgbarkeit von OSS-Komponenten entlang der Supply Chain eine Rolle und die verl\xe4ssliche Erstellung einer Software Bill of Material. (3) Bei OSS ist aufgrund des \xf6ffentlichen Sourcecodes die Anzahl an gezielt gesuchten und gefundenen Vulnerabilities h\xf6her als bei propriet\xe4rer Software.\n- M\xf6gliche Konsequenzen von Lizenz-Verst\xf6\xdfen beinhalten Rechtsstreitigkeiten, Vertragsbr\xfcche, Reputationsverluste, Produktr\xfcckrufe, Blacklisting,\u2026\n\nWas?\n- H\xe4ufig wird eine eigene interdisziplin\xe4re Instanz \u2013 ein Open Source Program Office \u2013 im Unternehmen etabliert \n- Die Lizenz.Konformit\xe4t und Compliance von Produkten wird vor Release sichergestellt.\n\nWie?\n- Die Aspekte Prozesse, Methoden, Tools, Organisationsstrukturen werden betrachtet und OSS-Compliance-Standards dahingehend etabliert.\n- Die rechtlichen Anforderungen werden aufgenommen und in die technischen Entwicklungsprozesse und in die CI/CD und Build Pipleline integriert.\n- Einf\xfchrung von standardisierten Formaten wie SPDX, CycloneDX,\u2026, um eine unternehmens\xfcbergreifende Zusammenarbeit sicherzustellen.\n\nWas kann da noch schief laufen?\n- Prozesse k\xf6nnen den Time-to-market verl\xe4ngern und den Entwicklungsprozess verlangsamen, wenn wichtige Prozessschritte nicht korrekt verortet sind.\n- Tools: Nach dem Motto \u201dA fool with a tool is still a fool\u201d ist eine Tooleinf\xfchrung nicht inh\xe4rent eine Produktivit\xe4tssteigerung.\n- Organisationsstrukturen: Organizational Change durch Ver\xe4nderung von Verantwortlichkeiten, Ver\xe4nderung bestehender Job-Descriptions, B\xfcrokratien,\u2026.\n\nWas erwartet uns im Vortrag?\n- Einblicke und Erfahrungen aus der Praxis in der Etablierung eines OSPOs in Unternehmen\nabout this event: https://pretalx.linuxtage.at/glt24/talk/GSVKTF/