1) Ujasněte si, co je „použití“
Neřešte jen instalace. Audit se často ptá i na:
- build agenty,
- CI/CD pipeline runners,
- container base images,
- runtime v aplikacích třetích stran.
2) Udělejte inventář (a podepište vlastní pravdu)
Vytvořte „single source of truth“:
- server inventory (VM/physical, cloud),
- endpoint inventory (Windows/macOS/Linux),
- seznam CI/CD runnerů a build serverů.
3) Identifikujte vendor a VM vendor
Častá chyba: organizace má Oracle JDK jen „někde“, ale aplikace reportuje různě vendor/VM vendor.
- evidujte JavaVendor a JavaVMVendor,
- vyhodnocujte konzistentně.
4) Zaveďte kontrolní body
- schvalování instalace,
- centrální repozitář balíčků,
- automatické skeny (např. jednou týdně).
5) Připravte důkazní materiál
- export reportů,
- interní směrnice,
- změnové lístky.
6) Rozhodněte o strategii „co dál“
- ponechat Oracle a licencovat,
- standardizovat na OpenJDK,
- enterprise alternativa (Azul) s podporou.
Pokud chcete, připravíme vám auditní readiness balíček: inventář, riziková mapa, doporučení pro management.