Information et éducation par et pour la communauté SAP

Weit mehr Open Source, als man denkt

Open-Source-Software spielt im SAP-Ecosystem eine immer wichtigere Rolle. Dies zeigt auch der Einsatz einer Vielzahl von Open-Source-Komponenten bei SAP selbst, wie beispielsweise Android, Git, Java, Linux, Maven, MaxDB, OpenStack, Spring und Hunderte weitere Komponenten und Projekte.
Ralf Meyer, Synomic
22 mars 2017
Weit mehr Open Source, als man denkt
avatar
Ce texte a été automatiquement traduit en français de l'allemand

Im European Workshop on Software Ecosystems (EWSECO) diskutieren Forscher und Praktiker auch über Entwicklung und Einsatz von Open-Source-­Software in kommerziellen Produkten und im SAP-Ecosystem.

Das SAP Community Network (SCN) zeigt über 41.000 Treffer und die dedizierte Webseite „Open Source & SAP“ (https://sap.github.io) listet inte­ressante Projekte in diesem Spannungsfeld.

Aber nicht nur SAP, sondern auch viele SAP-Partner und -Kunden nutzen immer mehr Open Source, um eigene Lösungen schneller, sicherer und kostengünstiger zu realisieren.

Dieser Trend schafft einen großen Nutzen für SAP und das gesamte SAP-Ecosystem, z. B. durch schnellere Entwicklungszyklen, höhere Entwicklerproduktivität und Qualität bei der Entwicklung von kommerziellen Lösungen.

Weitere Vorteile sind die größere Offenheit/Interoperabilität mit anderen Systemen sowie signifikante Kosteneinsparungen u. a. durch den Einsatz von Betriebsumgebungen wie Linux und OpenStack.

Der stärkere Einsatz von Open Source im Enterprise-Umfeld führt jedoch zwangsläufig zu ganz neuen Herausforderungen wie z. B. mangelhafte oder fehlende Transparenz beim Einsatz, potenzielle Sicherheitslücken und rechtliche bzw. finanzielle Risiken bei der Nutzung und Lizenzierung.

Forscher und Praktiker berichten im EWSECO z. B., dass Firmen und Organisationen weit mehr Open Source nutzen, als sie selbst denken oder wissen.

So wurden in fast allen (99 Prozent) der Enterprise-Software-Audits Open-Source-Komponenten, in 75 Prozent dem Management bislang unbekannte und in mehr als 50 Prozent der Fälle Komponenten mit kritischen GPL-Lizenzen entdeckt.

In der Regel werden bei Überprüfungen mehr als einhundert unterschiedliche Open-Source-­Komponenten in Anwendungen gefunden, teilweise auch mehrere Tausend oder sogar mehr als zehntausend.

Generell kann man feststellen, dass heute schon etwa ein Drittel des Anwendungscodes nicht mehr aus Eigenentwicklungen, sondern aus Open-Source-Komponenten besteht. (Die 2016-BlackDuck-Studie berichtet sogar von 35 Prozent.)

Die dunkle Seite von Open Source

Auch wenn der Einsatz von Open Source immer stärker wächst und wichtiger wird, haben die allermeisten Firmen (noch) keine Übersicht über die bei bzw. von ihnen genutzten Open-Source-Komponenten.

Selbst bei den größeren IT-Organisationen haben laut Gartner weniger als 50 Prozent eine effektive Open-Source-Governance implementiert, und diejenigen mit „Übersicht“ kennen auch nur 50 Prozent aller bei ihnen verwendeten Komponenten.

Damit sind dem Management viele Open-Source-Komponenten schlichtweg nicht bekannt, obwohl sie unbekannte/unklare oder gar virale Lizenztypen enthalten können und/oder potenzielle Sicherheits- oder operative Risiken darstellen.

Problematisch ist natürlich auch, dass Software-Audits und professionelle Untersuchungen der Open-Source-Nutzung meist erst bei anstehenden Investitionsrunden, der M&A Due Diligence, oder kurz vor OEM/Reseller-Vereinbarungen z. B. mit SAP durchgeführt werden.

Hierbei werden dann häufig operationale, rechtliche und auch Sicherheitsrisiken aufgedeckt, die durchaus kritisch für die geplanten Vorhaben (z. B. Firmenverkauf) sein können und in der Regel nur mit sehr hohem Aufwand und in kurzer Zeit „repariert“ werden müssen.

Operational ist es beispielsweise wichtig zu wissen, welche Komponenten in welchen Versionen eingesetzt werden bzw. wie alt diese sind. Für eine rechtliche Bewertung sind Informationen zu den genutzten Lizenzen wichtig, aber auch das Wissen, ob die Verwendung der Komponenten im eigenen Code hierzu passt (Stichwort Cloud).

Bei der Sicherheitseinschätzung helfen Informationen zu Schwachstellen von Komponenten, wie z. B. aus der National Vulnerability Data­base (NVD), die zurzeit über 80.000 Open-Source-Schwachstellen listet.

Kritisch ist, dass bei Audits entdeckte Open-Source-Schwachstellen im Durchschnitt schon seit fünf Jahren (und damit auch potenziellen Angreifern) bekannt sind und 90 Prozent der entdeckten Schwachstellen als mittel- oder gar hochriskant einzustufen sind.

Notwendig ist daher eine proaktive und kontinuierliche Open-Source-Überwachung, die nicht nur Risiken minimieren und Schäden verhindern, sondern auch Aufwände und Kosten für Audits und nachfolgende „Reparaturarbeiten“ reduzieren bzw. vermeiden hilft.

Mehr als 10.000 Kunden weltweit und 30 Jahre Erfahrung im SAP-Ecosystem machen Seeburger zu einem Marktführer für B2B-Integrationslösungen, die teilweise auch als SAP-OEM-Lösung angeboten werden.

Wie bei fast allen erfolgreichen Enterprise-Software-Lösungen werden auch bei Seeburger schon länger und in erheblichem Umfang Open-Source-Komponenten genutzt und teilweise mit der oder als Teil der eigenen Software an Kunden ausgeliefert bzw. als neue Software-as-a-Service-(SaaS-)Angebote in der Cloud bereitgestellt.

Um den Einsatz von Open-Source-­Komponenten bei Seeburger, aber auch für Kunden und Partner (wie z. B. auch SAP) abzusichern, hat Seeburger von Anfang an entsprechende Compliance-Prozesse implementiert.

Durch den Einsatz eines direkt in den agilen Software-Entwicklungsprozess integrierten Überwachungssystems wurde der manuelle Prozess für Open-Source-Komponenten, aber auch für Eigenentwicklungen (primär in Java) jetzt fast vollständig automatisiert und auf den nächsten Level gebracht.

Komponenten- und Lizenzverzeichnisse werden bei Seeburger auf Knopfdruck erstellt, Vorgaben des Managements automatisch durchgesetzt und Kosten gespart (eine mittlere dreistellige Anzahl von Software-Entwicklerstunden im Jahr).

Die aktive Versionsüberwachung stellt sicher, dass verwendete Open-Source-­Komponenten (die im Gegensatz zu mobilen Apps i. d. R. selbst keinen Update-Automatismus haben) stets aktuell sind.

Entwickler müssen nicht mehr selbst prüfen, ob verwendete Komponenten veraltet sind, und in unterschiedlichen Quellen nach neuen Versionen suchen, sondern werden aktiv informiert. Dies hilft, Probleme proaktiv zu vermeiden oder schnell zu beseitigen.

Eine automatische Lizenz-Überwachung sorgt dafür, dass Softwareentwickler bei Seeburger nur „erwünschte“ Open-Source-Lizenzen einsetzen, die vom Management vorher geprüft und freigegeben wurden.

Damit werden rechtliche Risiken beim Einsatz von ausgelieferten, aber auch der neuen Software-as-a-Service-Lösungen verhindert und wichtige Compliance-Anforderungen bei Seeburger, aber auch beim Unternehmen, welches die Seeburger-Software einsetzt, sichergestellt.

Wird eine nicht in der Seeburger „Whitelist“ enthaltene und damit nicht autorisierte Lizenz entdeckt, wird der Buildprozess auf dem Continuous-Integration Server unterbrochen und somit verhindert, dass später größere Aufwände und Risiken entstehen.

Security Alerts zu den genutzten Open-Source-Komponenten helfen, potenzielle Sicherheitslücken schneller zu erkennen und schnellstmöglich zu beseitigen. Hierfür wird das Wissen genutzt, welche Open-Source-Komponenten in genau welcher Version bei Seeburger verwendet werden, wodurch erst feingranulare, aktive Security Alerts möglich sind und unproduktiver Aktionismus nach sonst häufigen Fehlalarmen entfällt.

Seeburger nutzt hierfür die Ver­sionEye-Lösung, die vom gleichnamigen Unternehmen im Mannheimer Gründerzentrum Mafinex angeboten wird.

Die VersionEye-Datenbank enthält Meta­informationen wie z. B. Versionen, Lizenzen und Sicherheitshinweise zu über 1,2 Millionen Open-Source-Projekten. Die Cloud-Variante auf versioneye.com hat bereits 40.000 registrierte Benutzer und verzeichnet jeden Monat 400.000 Besucher.

Die Software selbst ist Open Source und kann völlig kostenlos genutzt werden. Firmenkunden können zusätzliche kostenpflichtige Enterprise-Services beziehen wie z. B. Beratung, Support und Datenbank-Zugriffe über die öffentliche VersionEye API.

avatar
Ralf Meyer, Synomic

Ralf Meyer ist Geschäftsführer von Synomic und Mitgründer der IA4SP.


Écrire un commentaire

Le travail sur la base SAP est essentiel pour réussir la conversion S/4. 

Ce que l'on appelle le centre de compétences prend ainsi une importance stratégique chez les clients existants de SAP. Indépendamment du modèle d'exploitation d'un S/4 Hana, les thèmes tels que Automatisation, Suivi, Sécurité, Gestion du cycle de vie des applications et Gestion des données la base de l'exploitation opérationnelle de S/4.

Pour la deuxième fois déjà, le magazine E3 organise à Salzbourg un sommet pour la communauté SAP afin de s'informer en détail sur tous les aspects du travail de base de S/4-Hana.

Lieu de la manifestation

FourSide Hôtel Salzbourg,
Trademark Collection by Wyndham
Am Messezentrum 2, 5020 Salzbourg, Autriche
+43-66-24355460

Date de l'événement

mercredi 10 juin, et
Jeudi 11 juin 2026

Billet d'entrée anticipé

Billet régulier

EUR 390 hors TVA
disponible jusqu'au 1.10.2025
EUR 590 hors TVA

Lieu de la manifestation

Hôtel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Date de l'événement

mercredi 22 avril et
Jeudi 23 avril 2026

Billets

Billet régulier
EUR 590 hors TVA
Abonnés au magazine E3
à prix réduit avec le Promocode STAbo26
EUR 390 hors TVA
Étudiants*
à prix réduit avec le Promocode STStud26.
Veuillez envoyer votre certificat d'études par e-mail à office@b4bmedia.net.
EUR 290 hors TVA
*Les 10 premiers billets sont gratuits pour les étudiants. Tentez votre chance ! 🍀
L'organisateur est le magazine E3 de la maison d'édition B4Bmedia.net AG. Les conférences seront accompagnées d'une exposition de partenaires SAP sélectionnés. Le prix du billet comprend la participation à toutes les conférences du Steampunk and BTP Summit 2026, la visite de l'espace d'exposition, la participation à la soirée et les repas pendant le programme officiel. Le programme des conférences et la liste des exposants et des sponsors (partenaires SAP) seront publiés en temps utile sur ce site.