{"id":28943,"date":"2017-09-28T00:01:06","date_gmt":"2017-09-27T22:01:06","guid":{"rendered":"http:\/\/e3mag.com\/?p=28943"},"modified":"2019-03-11T11:51:33","modified_gmt":"2019-03-11T10:51:33","slug":"best-practice-fuer-open-source-auch-fuer-firmen-die-keine-nutzen","status":"publish","type":"post","link":"https:\/\/e3mag.com\/de\/best-practice-fuer-open-source-auch-fuer-firmen-die-keine-nutzen\/","title":{"rendered":"Best Practice f\u00fcr Open Source auch f\u00fcr Firmen, die \u201ekeine\u201c nutzen?"},"content":{"rendered":"

Das wundert mich, denn Experten berichten, dass in ca. 99 Prozent der Software-Audits Open-Source-Komponenten gefunden werden. Anlass solcher Pr\u00fcfungen sind u. a. Verhandlungen mit Resellern wie SAP, Firmen\u00fcbernahmen, strategische Finanzierungsrunden oder Compliance- und Sicherheits\u00fcberpr\u00fcfungen.<\/p>\n

Hierbei werden in der Regel Hunderte, teilweise Tausende unterschiedliche Open-Source-Komponenten gefunden. Experten bei Analysten berichten schon l\u00e4nger, dass heute in der Regel schon ein Drittel des Anwendungscodes aus Open-Source- Komponenten besteht.<\/p>

\"\"<\/a><\/div><\/div>\n

Das gilt auch f\u00fcr die SAP- Community, wo Android, Apache, Git, Java, Linux, Maven, OpenStack, Spring und Hunderte weitere kleinere oder gr\u00f6\u00dfere Komponenten eine immer wichtigere Rolle in der IT spielen.<\/p>\n

Daher frage ich mich, wie ich die Aussage auf meine Eingangsfrage interpretieren soll. Hat mein Gespr\u00e4chspartner keinen \u00dcberblick \u00fcber die hauseigene Softwareentwicklung, ist dem Unternehmen nicht bekannt oder gleichg\u00fcltig, was deren Softwareentwickler tun? Wird tats\u00e4chlich keine Open Source eingesetzt und damit wichtige Innovations- und Kosteneinsparungspotenziale nicht genutzt?<\/p>\n

Warum ist es wichtig zu wissen, ob und in welchem Umfang Open Source eingesetzt wird? Das Sprichwort \u201eWas ich nicht wei\u00df, macht mich nicht hei\u00df\u201c sch\u00fctzt weder Firmen noch Management bei kritischen Problemen. Solange unbekannt ist, ob, wo und welche Open Source eingesetzt wird, kann es jedenfalls keinen wirksamen Schutz geben.<\/p>\n

Warum ist der n\u00f6tig? Open-Source-Komponenten k\u00f6nnen unklare oder gar virale Lizenztypen enthalten, die schon in einigen F\u00e4llen zu teuren Rechtsstreitigkeiten mit Open-Source-Entwicklern f\u00fchrten.<\/p>\n

Inzwischen gibt es wie bei Patenten auch hier sogenannte Trolle, die gezielt Firmen angehen und damit Millionen \u201everdienen\u201c. Da in mehr als der H\u00e4lfte der Audits dem betroffenen Management unbekannte Lizenztypen oder Komponenten mit kritischen GPL-Lizenzen aufgedeckt werden, ist das potenzielle Risiko sehr gro\u00df.<\/p>\n

Bekannt sind auch F\u00e4lle, in denen Firmen\u00fcbernahmen, Investitionen oder OEM-Vereinbarungen \u201egeplatzt\u201c oder Firmenwerte dramatisch gesunken sind. Im Gegensatz zu Mo\u00adbile-Apps- werden Open-Source-Nutzer auch meist nicht automatisch \u00fcber neue Versionen informiert.<\/p>\n

Das f\u00fchrt dazu, dass Unternehmen oft veraltete Versionen verwenden, die seit L\u00e4ngerem bekannte kritische Fehler und Sicherheitsl\u00fccken enthalten. Entwickler m\u00fcssen selbst aktiv werden und sich m\u00fchsam \u00fcber Updates informieren. Dies tun auch Hacker und nutzen Informationen aus Datenbanken wie z. B. OWASP.org f\u00fcr gezielte Angriffe \u00fcber unsichere Komponenten.<\/p>\n

Mit Best Practices Risiken vermeiden<\/h3>\n

Wichtig ist, zuerst den Umfang der Nutzung festzustellen, auch wenn \u201eoffiziell\u201c keine Open Source eingesetzt wird. Firmen sollten einen Prozess definieren, in dem der Einsatz geregelt und m\u00f6glichst automatisch \u00fcberwacht wird, ohne dabei die Entwicklung zu behindern.<\/p>\n

Dass dies problemlos m\u00f6glich ist, beweisen Firmen wie SAP, Seeburger und Xing, die den Einsatz durch agile Prozesse und \u00dcberwachungssoftware sichern. Dies sch\u00fctzt vor kommerziellen Risiken sowie bei der Erf\u00fcllung gesetzlicher Anforderungen wie dem IT-Sicherheitsgesetz.<\/p>\n

Inzwischen gibt es einige propriet\u00e4re, kommerzielle L\u00f6sungen, meist aus den USA und Israel, was aber f\u00fcr die \u00dcberwachung von Open- Source-Software etwas paradox wirkt.<\/p>\n

L\u00f6sungen wie VersionEye aus Mannheim gehen hier andere Wege, sind selbst 100 Prozent Open Source (Apache-Lizenz) und k\u00f6nnen auch kostenlos f\u00fcr die vollautomatische \u00dcberwachung bez\u00fcglich Versionen, Lizenzen und potenzieller Sicherheitsrisiken genutzt werden.<\/p>\n","protected":false},"excerpt":{"rendered":"

Oft erhalte ich auf meine Frage an SAP-Ecosystem-Gesch\u00e4ftsf\u00fchrer oder F\u00fchrungskr\u00e4fte, in welchem Umfang in ihrem Unternehmen Open Source genutzt wird, die Antwort: \u201eWIR setzen keine ein!\u201c <\/p>\n","protected":false},"author":1984,"featured_media":2685,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[22,7,17703],"tags":[104,797,92,67,506,301,236],"coauthors":[37235],"class_list":["post-28943","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-open-source","category-meinung","category-mag-1710","tag-android","tag-apache","tag-java","tag-linux","tag-open-source","tag-openstack","tag-sap","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Open-Source.jpg",1000,435,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Open-Source-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Open-Source.jpg",400,174,false],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Open-Source-768x334.jpg",768,334,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Open-Source.jpg",1000,435,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Open-Source-100x44.jpg",100,44,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Open-Source-480x209.jpg",480,209,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Open-Source-640x278.jpg",640,278,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Open-Source-720x313.jpg",720,313,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Open-Source-960x418.jpg",960,418,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Open-Source.jpg",1000,435,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Open-Source.jpg",1000,435,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Open-Source.jpg",1000,435,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Open-Source.jpg",1000,435,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Open-Source.jpg",1000,435,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Open-Source.jpg",18,8,false],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Open-Source.jpg",1000,435,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Open-Source.jpg",1000,435,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Open-Source.jpg",1000,435,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Open-Source.jpg",600,261,false],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Open-Source.jpg",600,261,false],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Open-Source-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Open-Source-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Open-Source-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Open-Source-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Open-Source-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":"

Oft erhalte ich auf meine Frage an SAP-Ecosystem-Gesch\u00e4ftsf\u00fchrer oder F\u00fchrungskr\u00e4fte, in welchem Umfang in ihrem Unternehmen Open Source genutzt wird, die Antwort: \u201eWIR setzen keine ein!\u201c <\/p>\n","category_list_v2":"Open Source Kolumne<\/a>, Die Meinung der SAP-Community<\/a>, MAG 17-10<\/a>","author_info_v2":{"name":"Ralf Meyer, Synomic","url":"https:\/\/e3mag.com\/de\/author\/ralf-meyer-synomic\/"},"comments_num_v2":"0 comments","_links":{"self":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts\/28943","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/users\/1984"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/comments?post=28943"}],"version-history":[{"count":0,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts\/28943\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/media\/2685"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/media?parent=28943"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/categories?post=28943"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/tags?post=28943"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/coauthors?post=28943"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}