Lors de l'atelier europ\u00e9en sur les \u00e9cosyst\u00e8mes logiciels (EWSECO), les chercheurs et les praticiens discutent \u00e9galement du d\u00e9veloppement et de l'utilisation de logiciels open source dans les produits commerciaux et dans l'\u00e9cosyst\u00e8me SAP.<\/p>\n
Le SAP Community Network (SCN) affiche plus de 41 000 occurrences et le site web d\u00e9di\u00e9 \"Open Source & SAP\" (https:\/\/sap.github.io<\/a>) r\u00e9pertorie des projets int\u00e9ressants dans ce champ de tensions.<\/p>\n Mais SAP n'est pas la seule entreprise \u00e0 utiliser de plus en plus l'open source : de nombreux partenaires et clients SAP s'en servent \u00e9galement pour r\u00e9aliser leurs propres solutions de mani\u00e8re plus rapide, plus s\u00fbre et plus \u00e9conomique.<\/p>\n Cette tendance cr\u00e9e des avantages importants pour SAP et l'ensemble de l'\u00e9cosyst\u00e8me SAP, par exemple en acc\u00e9l\u00e9rant les cycles de d\u00e9veloppement, en augmentant la productivit\u00e9 des d\u00e9veloppeurs et la qualit\u00e9 du d\u00e9veloppement de solutions commerciales.<\/p>\n D'autres avantages sont une plus grande ouverture\/interop\u00e9rabilit\u00e9 avec d'autres syst\u00e8mes ainsi que des \u00e9conomies de co\u00fbts significatives, entre autres gr\u00e2ce \u00e0 l'utilisation d'environnements d'exploitation tels que Linux et OpenStack.<\/p>\n Toutefois, l'utilisation accrue de l'open source dans l'environnement d'entreprise entra\u00eene in\u00e9vitablement de tout nouveaux d\u00e9fis, tels qu'un manque ou une absence de transparence dans l'utilisation, des failles de s\u00e9curit\u00e9 potentielles et des risques juridiques ou financiers li\u00e9s \u00e0 l'utilisation et \u00e0 l'octroi de licences.<\/p>\n Des chercheurs et des praticiens rapportent par exemple dans l'EWSECO que les entreprises et les organisations utilisent beaucoup plus l'open source qu'elles ne le pensent ou le savent elles-m\u00eames.<\/p>\n Ainsi, dans presque tous les audits de logiciels d'entreprise (99 %), des composants open source ont \u00e9t\u00e9 d\u00e9couverts, dans 75 % des cas des composants jusqu'alors inconnus de la direction et dans plus de 50 % des cas des composants avec des licences GPL critiques.<\/p>\n En r\u00e8gle g\u00e9n\u00e9rale, les contr\u00f4les r\u00e9v\u00e8lent la pr\u00e9sence de plus d'une centaine de composants open source diff\u00e9rents dans les applications, parfois plusieurs milliers, voire plus de dix mille.<\/p>\n De mani\u00e8re g\u00e9n\u00e9rale, on peut constater qu'aujourd'hui d\u00e9j\u00e0, environ un tiers du code des applications n'est plus constitu\u00e9 de d\u00e9veloppements propres, mais de composants open source. (L'\u00e9tude BlackDuck 2016 fait m\u00eame \u00e9tat de 35%).<\/p>\n M\u00eame si l'utilisation de l'open source ne cesse de cro\u00eetre et de gagner en importance, la grande majorit\u00e9 des entreprises n'ont pas (encore) de vue d'ensemble des composants open source qu'elles utilisent ou qui sont utilis\u00e9s par elles.<\/p>\n M\u00eame parmi les grandes organisations informatiques, moins de 50 % ont mis en place une gouvernance open source efficace, selon Gartner, et celles qui ont une \"vue d'ensemble\" ne connaissent que 50 % de tous les composants qu'elles utilisent.<\/p>\n Ainsi, de nombreux composants open source ne sont tout simplement pas connus de la direction, alors qu'ils peuvent contenir des types de licences inconnus\/inconnus, voire viraux, et\/ou pr\u00e9senter des risques potentiels pour la s\u00e9curit\u00e9 ou les op\u00e9rations.<\/p>\n Il est bien s\u00fbr \u00e9galement probl\u00e9matique que les audits de logiciels et les enqu\u00eates professionnelles sur l'utilisation de l'open source ne soient g\u00e9n\u00e9ralement r\u00e9alis\u00e9s qu'\u00e0 l'occasion de cycles d'investissement \u00e0 venir, de la M&A Due Diligence, ou juste avant les accords OEM\/revendeurs, par exemple avec SAP.<\/p>\n Les risques op\u00e9rationnels, juridiques et de s\u00e9curit\u00e9 sont alors souvent mis en \u00e9vidence. Ils peuvent \u00eatre critiques pour les projets envisag\u00e9s (par exemple la vente d'une entreprise) et ne doivent g\u00e9n\u00e9ralement \u00eatre \"r\u00e9par\u00e9s\" qu'\u00e0 grands frais et en peu de temps.<\/p>\n Au niveau op\u00e9rationnel, il est par exemple important de savoir quels composants sont utilis\u00e9s et dans quelles versions, ou quel est leur \u00e2ge. Pour une \u00e9valuation juridique, il est important de disposer d'informations sur les licences utilis\u00e9es, mais aussi de savoir si l'utilisation des composants dans son propre code est adapt\u00e9e (mot-cl\u00e9 : cloud).<\/p>\n Les informations sur les vuln\u00e9rabilit\u00e9s des composants, comme celles de la National Vulnerability Database (NVD), qui r\u00e9pertorie actuellement plus de 80 000 vuln\u00e9rabilit\u00e9s open source, aident \u00e0 l'\u00e9valuation de la s\u00e9curit\u00e9.<\/p>\n Ce qui est critique, c'est que les vuln\u00e9rabilit\u00e9s open source d\u00e9couvertes lors d'audits sont connues en moyenne depuis cinq ans (et donc aussi par des attaquants potentiels) et que 90% des vuln\u00e9rabilit\u00e9s d\u00e9couvertes sont \u00e0 classer comme moyennement ou m\u00eame hautement risqu\u00e9es.<\/p>\n Il est donc n\u00e9cessaire de mettre en place une surveillance proactive et continue de l'open source, qui permette non seulement de minimiser les risques et d'\u00e9viter les dommages, mais aussi de r\u00e9duire ou d'\u00e9viter les efforts et les co\u00fbts li\u00e9s aux audits et aux \"travaux de r\u00e9paration\" ult\u00e9rieurs.<\/p>\n Plus de 10.000 clients dans le monde entier et 30 ans d'exp\u00e9rience dans l'\u00e9cosyst\u00e8me SAP font de Seeburger un leader du march\u00e9 des solutions d'int\u00e9gration B2B, dont certaines sont \u00e9galement propos\u00e9es comme solutions SAP OEM.<\/p>\n Comme pour presque toutes les solutions logicielles d'entreprise \u00e0 succ\u00e8s, Seeburger utilise depuis longtemps et dans une large mesure des composants open source et les livre en partie aux clients avec ou comme partie de son propre logiciel ou les met \u00e0 disposition dans le cloud sous forme de nouvelles offres Software-as-a-Service (SaaS).<\/p>\n Afin de s\u00e9curiser l'utilisation de composants open source chez Seeburger, mais aussi pour ses clients et partenaires (comme par exemple aussi SAP), Seeburger a mis en place d\u00e8s le d\u00e9but des processus de conformit\u00e9 appropri\u00e9s.<\/p>\n Gr\u00e2ce \u00e0 l'utilisation d'un syst\u00e8me de surveillance directement int\u00e9gr\u00e9 dans le processus de d\u00e9veloppement logiciel agile, le processus manuel pour les composants open source, mais aussi pour les d\u00e9veloppements internes (principalement en Java), a d\u00e9sormais \u00e9t\u00e9 presque enti\u00e8rement automatis\u00e9 et port\u00e9 au niveau sup\u00e9rieur.<\/p>\n Chez Seeburger, les listes de composants et de licences sont cr\u00e9\u00e9es en appuyant sur un bouton, les directives de la direction sont appliqu\u00e9es automatiquement et les co\u00fbts sont r\u00e9duits (un nombre moyen \u00e0 trois chiffres d'heures de d\u00e9veloppement de logiciels par an).<\/p>\n La surveillance active des versions garantit que les composants open source utilis\u00e9s (qui, contrairement aux applications mobiles, ne disposent g\u00e9n\u00e9ralement pas eux-m\u00eames d'un syst\u00e8me de mise \u00e0 jour automatique) sont toujours \u00e0 jour.<\/p>\n Les d\u00e9veloppeurs ne doivent plus v\u00e9rifier eux-m\u00eames si les composants utilis\u00e9s sont obsol\u00e8tes et rechercher les nouvelles versions dans diff\u00e9rentes sources, mais sont activement inform\u00e9s. Cela permet d'\u00e9viter les probl\u00e8mes de mani\u00e8re proactive ou de les r\u00e9soudre rapidement.<\/p>\n Un contr\u00f4le automatique des licences veille \u00e0 ce que les d\u00e9veloppeurs de logiciels de Seeburger n'utilisent que les licences open source \"souhait\u00e9es\", qui ont \u00e9t\u00e9 pr\u00e9alablement contr\u00f4l\u00e9es et approuv\u00e9es par la direction.<\/p>\n Cela permet d'\u00e9viter les risques juridiques lors de l'utilisation des solutions Software-as-a-Service livr\u00e9es, mais aussi des nouvelles solutions, et de garantir les exigences de conformit\u00e9 importantes chez Seeburger, mais aussi dans l'entreprise qui utilise les logiciels Seeburger.<\/p>\n Si une licence qui ne figure pas dans la \"liste blanche\" de Seeburg et qui n'est donc pas autoris\u00e9e est d\u00e9couverte, le processus de construction sur le serveur d'int\u00e9gration continue est interrompu, ce qui permet d'\u00e9viter des efforts et des risques plus importants par la suite.<\/p>\n Les alertes de s\u00e9curit\u00e9 sur les composants open source utilis\u00e9s aident \u00e0 identifier plus rapidement les failles de s\u00e9curit\u00e9 potentielles et \u00e0 les \u00e9liminer le plus vite possible. Pour ce faire, on utilise les connaissances sur les composants open source utilis\u00e9s par Seeburger et leur version, ce qui permet d'\u00e9mettre des alertes de s\u00e9curit\u00e9 actives et pr\u00e9cises et d'\u00e9viter les actions improductives suite \u00e0 de fr\u00e9quentes fausses alertes.<\/p>\n Seeburger utilise pour cela la solution VersionEye, propos\u00e9e par l'entreprise du m\u00eame nom dans la p\u00e9pini\u00e8re d'entreprises Mafinex de Mannheim.<\/p>\n La base de donn\u00e9es VersionEye contient des m\u00e9ta-informations telles que les versions, les licences et les avis de s\u00e9curit\u00e9 de plus de 1,2 million de projets open source. La version cloud sur versioneye.com compte d\u00e9j\u00e0 40.000 utilisateurs inscrits et enregistre 400.000 visiteurs chaque mois.<\/p>\n Le logiciel lui-m\u00eame est open source et peut \u00eatre utilis\u00e9 gratuitement. Les entreprises peuvent b\u00e9n\u00e9ficier de services d'entreprise suppl\u00e9mentaires payants, tels que le conseil, l'assistance et l'acc\u00e8s \u00e0 la base de donn\u00e9es via l'API publique VersionEye.<\/p>","protected":false},"excerpt":{"rendered":" Les logiciels open source jouent un r\u00f4le de plus en plus important dans l'\u00e9cosyst\u00e8me SAP. En t\u00e9moigne l'utilisation d'un grand nombre de composants open source au sein m\u00eame de SAP, comme Android, Git, Java, Linux, Maven, MaxDB, OpenStack, Spring et des centaines d'autres composants et projets. <\/p>","protected":false},"author":1984,"featured_media":15291,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[5,11023],"tags":[350,3300,143,506,4298],"coauthors":[37235],"class_list":["post-15288","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-management","category-mag-1704","tag-b2b","tag-lizenztypen","tag-management","tag-open-source","tag-seeburger","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/OenSource-Infrastruktur-1704.jpg",1000,413,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/OenSource-Infrastruktur-1704-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/OenSource-Infrastruktur-1704.jpg",400,165,false],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/OenSource-Infrastruktur-1704-768x317.jpg",768,317,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/OenSource-Infrastruktur-1704.jpg",1000,413,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/OenSource-Infrastruktur-1704-100x41.jpg",100,41,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/OenSource-Infrastruktur-1704-480x198.jpg",480,198,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/OenSource-Infrastruktur-1704-640x264.jpg",640,264,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/OenSource-Infrastruktur-1704-720x297.jpg",720,297,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/OenSource-Infrastruktur-1704-960x396.jpg",960,396,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/OenSource-Infrastruktur-1704.jpg",1000,413,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/OenSource-Infrastruktur-1704.jpg",1000,413,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/OenSource-Infrastruktur-1704.jpg",1000,413,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/OenSource-Infrastruktur-1704.jpg",1000,413,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/OenSource-Infrastruktur-1704.jpg",1000,413,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/OenSource-Infrastruktur-1704.jpg",18,7,false],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/OenSource-Infrastruktur-1704.jpg",1000,413,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/OenSource-Infrastruktur-1704.jpg",1000,413,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/OenSource-Infrastruktur-1704.jpg",1000,413,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/OenSource-Infrastruktur-1704.jpg",600,248,false],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/OenSource-Infrastruktur-1704.jpg",600,248,false],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/OenSource-Infrastruktur-1704-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/OenSource-Infrastruktur-1704-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/OenSource-Infrastruktur-1704-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/OenSource-Infrastruktur-1704-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/OenSource-Infrastruktur-1704-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":" Open-Source-Software spielt im SAP-Ecosystem eine immer wichtigere Rolle. Dies zeigt auch der Einsatz einer Vielzahl von Open-Source-Komponenten bei SAP selbst, wie beispielsweise Android, Git, Java, Linux, Maven, MaxDB, OpenStack, Spring und Hunderte weitere Komponenten und Projekte. <\/p>\n","category_list_v2":"IT-Management<\/a>, MAG 17-04<\/a>","author_info_v2":{"name":"Ralf Meyer, Synomic","url":"https:\/\/e3mag.com\/fr\/author\/ralf-meyer-synomic\/"},"comments_num_v2":"0 commentaire","_links":{"self":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/15288","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/users\/1984"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/comments?post=15288"}],"version-history":[{"count":0,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/15288\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/media\/15291"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/media?parent=15288"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/categories?post=15288"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/tags?post=15288"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/coauthors?post=15288"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}La face cach\u00e9e de l'open source<\/h3>\n