Weit mehr Open Source, als man denkt
Im European Workshop on Software Ecosystems (EWSECO) diskutieren Forscher und Praktiker auch über Entwicklung und Einsatz von Open-Source-Software in kommerziellen Produkten und im SAP-Ecosystem.
Das SAP Community Network (SCN) zeigt über 41.000 Treffer und die dedizierte Webseite „Open Source & SAP“ (https://sap.github.io) listet interessante Projekte in diesem Spannungsfeld.
Aber nicht nur SAP, sondern auch viele SAP-Partner und -Kunden nutzen immer mehr Open Source, um eigene Lösungen schneller, sicherer und kostengünstiger zu realisieren.
Dieser Trend schafft einen großen Nutzen für SAP und das gesamte SAP-Ecosystem, z. B. durch schnellere Entwicklungszyklen, höhere Entwicklerproduktivität und Qualität bei der Entwicklung von kommerziellen Lösungen.
Weitere Vorteile sind die größere Offenheit/Interoperabilität mit anderen Systemen sowie signifikante Kosteneinsparungen u. a. durch den Einsatz von Betriebsumgebungen wie Linux und OpenStack.
Der stärkere Einsatz von Open Source im Enterprise-Umfeld führt jedoch zwangsläufig zu ganz neuen Herausforderungen wie z. B. mangelhafte oder fehlende Transparenz beim Einsatz, potenzielle Sicherheitslücken und rechtliche bzw. finanzielle Risiken bei der Nutzung und Lizenzierung.
Forscher und Praktiker berichten im EWSECO z. B., dass Firmen und Organisationen weit mehr Open Source nutzen, als sie selbst denken oder wissen.
So wurden in fast allen (99 Prozent) der Enterprise-Software-Audits Open-Source-Komponenten, in 75 Prozent dem Management bislang unbekannte und in mehr als 50 Prozent der Fälle Komponenten mit kritischen GPL-Lizenzen entdeckt.
In der Regel werden bei Überprüfungen mehr als einhundert unterschiedliche Open-Source-Komponenten in Anwendungen gefunden, teilweise auch mehrere Tausend oder sogar mehr als zehntausend.
Generell kann man feststellen, dass heute schon etwa ein Drittel des Anwendungscodes nicht mehr aus Eigenentwicklungen, sondern aus Open-Source-Komponenten besteht. (Die 2016-BlackDuck-Studie berichtet sogar von 35 Prozent.)
Die dunkle Seite von Open Source
Auch wenn der Einsatz von Open Source immer stärker wächst und wichtiger wird, haben die allermeisten Firmen (noch) keine Übersicht über die bei bzw. von ihnen genutzten Open-Source-Komponenten.
Selbst bei den größeren IT-Organisationen haben laut Gartner weniger als 50 Prozent eine effektive Open-Source-Governance implementiert, und diejenigen mit „Übersicht“ kennen auch nur 50 Prozent aller bei ihnen verwendeten Komponenten.
Damit sind dem Management viele Open-Source-Komponenten schlichtweg nicht bekannt, obwohl sie unbekannte/unklare oder gar virale Lizenztypen enthalten können und/oder potenzielle Sicherheits- oder operative Risiken darstellen.
Problematisch ist natürlich auch, dass Software-Audits und professionelle Untersuchungen der Open-Source-Nutzung meist erst bei anstehenden Investitionsrunden, der M&A Due Diligence, oder kurz vor OEM/Reseller-Vereinbarungen z. B. mit SAP durchgeführt werden.
Hierbei werden dann häufig operationale, rechtliche und auch Sicherheitsrisiken aufgedeckt, die durchaus kritisch für die geplanten Vorhaben (z. B. Firmenverkauf) sein können und in der Regel nur mit sehr hohem Aufwand und in kurzer Zeit „repariert“ werden müssen.
Operational ist es beispielsweise wichtig zu wissen, welche Komponenten in welchen Versionen eingesetzt werden bzw. wie alt diese sind. Für eine rechtliche Bewertung sind Informationen zu den genutzten Lizenzen wichtig, aber auch das Wissen, ob die Verwendung der Komponenten im eigenen Code hierzu passt (Stichwort Cloud).
Bei der Sicherheitseinschätzung helfen Informationen zu Schwachstellen von Komponenten, wie z. B. aus der National Vulnerability Database (NVD), die zurzeit über 80.000 Open-Source-Schwachstellen listet.
Kritisch ist, dass bei Audits entdeckte Open-Source-Schwachstellen im Durchschnitt schon seit fünf Jahren (und damit auch potenziellen Angreifern) bekannt sind und 90 Prozent der entdeckten Schwachstellen als mittel- oder gar hochriskant einzustufen sind.
Notwendig ist daher eine proaktive und kontinuierliche Open-Source-Überwachung, die nicht nur Risiken minimieren und Schäden verhindern, sondern auch Aufwände und Kosten für Audits und nachfolgende „Reparaturarbeiten“ reduzieren bzw. vermeiden hilft.
Mehr als 10.000 Kunden weltweit und 30 Jahre Erfahrung im SAP-Ecosystem machen Seeburger zu einem Marktführer für B2B-Integrationslösungen, die teilweise auch als SAP-OEM-Lösung angeboten werden.
Wie bei fast allen erfolgreichen Enterprise-Software-Lösungen werden auch bei Seeburger schon länger und in erheblichem Umfang Open-Source-Komponenten genutzt und teilweise mit der oder als Teil der eigenen Software an Kunden ausgeliefert bzw. als neue Software-as-a-Service-(SaaS-)Angebote in der Cloud bereitgestellt.
Um den Einsatz von Open-Source-Komponenten bei Seeburger, aber auch für Kunden und Partner (wie z. B. auch SAP) abzusichern, hat Seeburger von Anfang an entsprechende Compliance-Prozesse implementiert.
Durch den Einsatz eines direkt in den agilen Software-Entwicklungsprozess integrierten Überwachungssystems wurde der manuelle Prozess für Open-Source-Komponenten, aber auch für Eigenentwicklungen (primär in Java) jetzt fast vollständig automatisiert und auf den nächsten Level gebracht.
Komponenten- und Lizenzverzeichnisse werden bei Seeburger auf Knopfdruck erstellt, Vorgaben des Managements automatisch durchgesetzt und Kosten gespart (eine mittlere dreistellige Anzahl von Software-Entwicklerstunden im Jahr).
Die aktive Versionsüberwachung stellt sicher, dass verwendete Open-Source-Komponenten (die im Gegensatz zu mobilen Apps i. d. R. selbst keinen Update-Automatismus haben) stets aktuell sind.
Entwickler müssen nicht mehr selbst prüfen, ob verwendete Komponenten veraltet sind, und in unterschiedlichen Quellen nach neuen Versionen suchen, sondern werden aktiv informiert. Dies hilft, Probleme proaktiv zu vermeiden oder schnell zu beseitigen.
Eine automatische Lizenz-Überwachung sorgt dafür, dass Softwareentwickler bei Seeburger nur „erwünschte“ Open-Source-Lizenzen einsetzen, die vom Management vorher geprüft und freigegeben wurden.
Damit werden rechtliche Risiken beim Einsatz von ausgelieferten, aber auch der neuen Software-as-a-Service-Lösungen verhindert und wichtige Compliance-Anforderungen bei Seeburger, aber auch beim Unternehmen, welches die Seeburger-Software einsetzt, sichergestellt.
Wird eine nicht in der Seeburger „Whitelist“ enthaltene und damit nicht autorisierte Lizenz entdeckt, wird der Buildprozess auf dem Continuous-Integration Server unterbrochen und somit verhindert, dass später größere Aufwände und Risiken entstehen.
Security Alerts zu den genutzten Open-Source-Komponenten helfen, potenzielle Sicherheitslücken schneller zu erkennen und schnellstmöglich zu beseitigen. Hierfür wird das Wissen genutzt, welche Open-Source-Komponenten in genau welcher Version bei Seeburger verwendet werden, wodurch erst feingranulare, aktive Security Alerts möglich sind und unproduktiver Aktionismus nach sonst häufigen Fehlalarmen entfällt.
Seeburger nutzt hierfür die VersionEye-Lösung, die vom gleichnamigen Unternehmen im Mannheimer Gründerzentrum Mafinex angeboten wird.
Die VersionEye-Datenbank enthält Metainformationen wie z. B. Versionen, Lizenzen und Sicherheitshinweise zu über 1,2 Millionen Open-Source-Projekten. Die Cloud-Variante auf versioneye.com hat bereits 40.000 registrierte Benutzer und verzeichnet jeden Monat 400.000 Besucher.
Die Software selbst ist Open Source und kann völlig kostenlos genutzt werden. Firmenkunden können zusätzliche kostenpflichtige Enterprise-Services beziehen wie z. B. Beratung, Support und Datenbank-Zugriffe über die öffentliche VersionEye API.
