Save 37% off PRO during our Black Friday Sale! »

Open Source verstehen

Open Source verstehen

Content Management Systeme, Web-Browser oder Betriebssystem: Viele der Produkte und Services die wir täglich nutzen werden mittlerweile als Open Source Projekte realisiert. Durch den hohen Einfluss, den die Open Source Entwicklung mittlerweile auf die digitale Welt hat, findet man allerdings auch viele unterschiedliche Aussagen über die Gefahren und Vorteile von Open Source Produkten. Vor allem wenn man sich selber noch nicht intensiv mit der Thematik auseinander setzen konnte ist es hierdurch schwer, fachlich korrekte Bewertungen zu Open Source Produkten treffen zu können.

Basierend auf der Mitarbeit an verschiedenen großen Projekten in der Eclipse Foundation und des Java Ökosystems werde ich in diesem Vortrag nicht nur die theoretische Definition von Open Source vorstellen, sondern auch zeigen, wie Open Source Projekte in der Praxis entstehen und weiterentwickelt werden. Wir werden uns auch anschauen, warum Organisationen Software als Open Source veröffentlichen und welche neuen und interessanten Geschäftsmodelle sich hierbei ergeben. Hierbei werden auch die Themen wie Lizenzen, Security und Support von Open Source Produkten angesprochen, welche durch Beispiele wie OpenSSL und den 2014 veröffentlichten Heartbleed-Bug konkretisiert werden.

Das im Vortrag vermittelte Wissen soll helfen, Open Source Software besser verstehen und einschätzen zu können. Mit diesem Fachwissen können die verschiedenen Gefahren und Vorteile, die durch die Nutzung von Open Source Komponenten entstehen, in Zukunft besser beurteilt werden.

C79a3191aa67cae35282fb129587696b?s=128

Hendrik Ebbers

November 10, 2021
Tweet

Transcript

  1. © 2021 Karakun AG – For internal use only. 1

    Open Source verstehen Hendrik Ebbers
  2. © 2021 Karakun AG – For internal use only. 2

    • Mitgründer Karakun AG / GmbH • Standortleiter (Karakun Dortmund) 
 • Buchautor • Internationaler Sprecher @hendrikEbbers hendrik.ebbers@karakun.com Hendrik Ebbers
  3. © 2021 Karakun AG – For internal use only. 3

    • Expert Group Member für Java Standardisierung • Committer bei Eclipse JakartaEE / JavaEE • Mitglied im Project Management Committee & Steering Committee bei Eclipse Adoptium @hendrikEbbers hendrik.ebbers@karakun.com Warum ich über Open Source rede ... Adoptium Project Management Committee Adoptium Steering Committee
  4. © 2021 Karakun AG – For internal use only. 4

    • Über 200.000 Downloads von Karakun OpenWebStart 
 
 
 
 • Über 5.000.000 Downloads von Eclipse Temurin • Über 350.000.000 Downloads von AdoptOpenJDK Runtime @hendrikEbbers hendrik.ebbers@karakun.com Warum ich über Open Source rede
  5. © 2021 Karakun AG – For internal use only. 5

    • Alle im Vortrag genannten Zahlen und Fakten stammen von großen Umfragen und Whitepapers: 
 • Open Source Studie Schweiz 2021 - Universität Bern • WhiteSource Whitepaper zu OSS Security 2021 • Studie zu OSS in der EU vom Fraunhofer ISI & Open Forum Europe • Bitkom Open Source Monitor 2019 • GitHub Statistiken & Veröffentlichungen @hendrikEbbers hendrik.ebbers@karakun.com Warum ich über Open Source rede
  6. © 2021 Karakun AG – For internal use only. 6

    Wie wir Open Source heute nutzen
  7. © 2021 Karakun AG – For internal use only. 7

    Wo Open Source heute genutzt wird @hendrikEbbers hendrik.ebbers@karakun.com Infrastruktur und Services Linux, OpenLDAP, OpenSSH, OpenShift, Wordpress, ... Anwendungen Firefox, Open Office, Signal, VLC-Player, Gimp, ... Software-Entwicklung Java, JavaScript, Spring, Angular, React, Kafka, Docker, Tomcat, MySQL, PostgreSQL ... Protokolle, Formate und Schnittstellen HTTP(S), PDF, SVG, ZIP, LDAP, Bluetooth, ...
  8. © 2021 Karakun AG – For internal use only. 8

    Open Source 101 • Open Source bedeutet, dass der Quellcode offen einsehbar ist @hendrikEbbers hendrik.ebbers@karakun.com Jeder kann die Quellen analysieren und interpretieren
  9. © 2021 Karakun AG – For internal use only. 9

    Open Source 101 • Open Source bedeutet, dass der Quellcode offen einsehbar ist • Open Source bedeutet nicht, dass jeder den Quellcode verändern kann @hendrikEbbers hendrik.ebbers@karakun.com Quellcode ist sicher vor willkürlichen Änderungen
  10. © 2021 Karakun AG – For internal use only. 10

    Open Source 101 @hendrikEbbers hendrik.ebbers@karakun.com final API api = API.create(CONNECTION_TOKEN); final Channel channel = api.getChannel("general"); channel.observe(EventType.NEW_MESSAGE, event -> { channel.sendMessage("Hi " + event.getAuthor()); }); Man kann denn Quellcode auf dieser Folie zwar lesen & analysieren, aber nicht in meinem Namen ändern
  11. © 2021 Karakun AG – For internal use only. 11

    Open Source 101 • Heute gibt es definierte Workflows, um gemeinsam und sicher an Open Source Software (OSS) zu arbeiten • Über Änderungs-Anfragen (Pull Request) können sich auch externe Entwickler:innen beteiligen @hendrikEbbers hendrik.ebbers@karakun.com Projektmitarbeiter:in Externer Entwickler:in Direkte Arbeit am Projekt Pull Request Review und Freigabe
  12. © 2021 Karakun AG – For internal use only. 12

    Wie stehen Unternehmen zu OSS? @hendrikEbbers hendrik.ebbers@karakun.com 75% 80% 78% 74% 73% 71% 19% 15% 15% 18% 16% 20% Gesamt Handel Automobilindustrie Banken & Versicherungen IT & Telekommunikation Verkehr & Logistik Interessiert und Aufgeschlossen Unentschlossen Kritisch und ablehnend Weiß nicht / Keine Angabe
  13. © 2021 Karakun AG – For internal use only. 13

    Warum Open Source heute genutzt wird • Welche Aspekte sind heute bei der Entscheidung zugunsten von Open Source wichtig/entscheidend? 87 % 85 % Offene Standards Community 81 % Sicherheit 80 % Hersteller- 
 unabhängigkeit 79 % Stabilität 78 % Kostenersparnis Transparenz & Vertrauen 75 % @hendrikEbbers hendrik.ebbers@karakun.com
  14. © 2021 Karakun AG – For internal use only. 14

    GitHub als Platform für Open Source • Über 1.9 Milliarden Beteiligungen in 2019 • Über 50 Million registrierte Benutzer:innen @hendrikEbbers hendrik.ebbers@karakun.com 2008 2020 2025 50 m 100 m
  15. © 2021 Karakun AG – For internal use only. 15

    Open Source in der EU • Mehr als 3 Millionen angestellte Programmier:innen in der EU (Stand 2018) • Fast 300.000 aktiv Mitwirkende auf GitHub innerhalb der EU @hendrikEbbers hendrik.ebbers@karakun.com Open Source
  16. © 2021 Karakun AG – For internal use only. 16

    Open Source in der EU • Mitarbeit an OSS Projekten in der EU beträgt ca. 16.000 FTEs • Bruttoinlandsprodukt (BIP) der EU profitiert stark durch OSS Mitarbeit @hendrikEbbers hendrik.ebbers@karakun.com Steigerung des OSS Mitarbeiter:innen um 10% Steigerung des EU BIP um 0.6% - 95 Milliarden Euro Theoretische Auswirkung
  17. © 2021 Karakun AG – For internal use only. 17

    Einsatz OSS nach Unternehmensgröße @hendrikEbbers hendrik.ebbers@karakun.com Wir setzen OSS ein Wir setzen kein OSS ein Weiß nicht / Keine Angabe 65% 32% 71% 24% 78% 19% 86% 12% 100 bis 199 Mitarbeiter 200 bis 499 Mitarbeiter 500 bis 1.999 Mitarbeiter Ab 2.000 Mitarbeiter
  18. © 2021 Karakun AG – For internal use only. 18

    OSS Strategie in Unternehmen @hendrikEbbers hendrik.ebbers@karakun.com 19% 21% 27% 31% 81% 76% 70% 63% 100 bis 199 Mitarbeiter 200 bis 499 Mitarbeiter 500 bis 1.999 Mitarbeiter Ab 2.000 Mitarbeiter OSS-Strategie vorhanden Keinerlei OSS-Strategie Weiß nicht / Keine Angabe
  19. © 2021 Karakun AG – For internal use only. 19

    Open Source Policy in Unternehmen @hendrikEbbers hendrik.ebbers@karakun.com Nein 79 % Ja 17 % Weiß nicht / keine Angabe 4 % Gibt es in Ihrem Unternehmen eine OSS-Policy? • Richtlinien und Regeln zum Umgang mit OSS in Ihrem Unternehmen • Niedergeschrieben und für alle Mitarbeiter einsehbar • Hier geht es nicht nur um die Nutzung von Open Source
  20. © 2021 Karakun AG – For internal use only. 20

    Open Source Nutzung in Unternehmen @hendrikEbbers hendrik.ebbers@karakun.com Einzelne Fachabteilungen Einzelne Mitarbeiter Geschäftsführung Externe Dienstleister Weiß nicht/keine Angaben 58 % 30 % 5 % 5 % 2 % Wer treibt im Unternehmen das Thema OSS voran? • Geldgeber sind oft nicht in Prozesse involviert • Entstehung von Wissens-Silos • Nutzung ohne professionelle Absicherung bzgl. Support und Lizenzen
  21. © 2021 Karakun AG – For internal use only. 21

    Open Source Nutzung in Unternehmen @hendrikEbbers hendrik.ebbers@karakun.com Open Source Projekt Unternehmen "Danke für die kostenlose Software"
  22. © 2021 Karakun AG – For internal use only. 22

    Open Source Program Office (OSPO) • Zentrale Stelle zum (strategischen) Umgang mit OSS im Unternehmen • Lizenzen, Best Practices, geteiltes Wissen, Aufbau einer Community • Nicht das Rad in jeder Abteilung neu erfinden! • Mehr und mehr Firmen führen Open Source Program Offices ein @hendrikEbbers hendrik.ebbers@karakun.com “Without an OSPO, teams across Microsoft would probably have to do a lot more manual compliance work..." Stormy Peters, the director of Microsoft’s open source programs of fi ce
  23. © 2021 Karakun AG – For internal use only. 23

    Nächste Schritte im Unternehmen @hendrikEbbers hendrik.ebbers@karakun.com • Schlüsselfiguren müssen identifiziert werden • Strategie muss identifiziert werden • Thema muss zentral platziert werden 
 
 • Es ist immer sinnvoll mit Partnern zu reden, die den Prozess schon erfolgreich durchlaufen haben bzw. externe Unterstützung einkaufen
  24. © 2021 Karakun AG – For internal use only. 24

    Bedenken zu Open Source
  25. © 2021 Karakun AG – For internal use only. 25

    Bedenken zu Open Source • Unsichere Zukunft der Software • Kein Support bzw. kein Enterprise Produkt • Unsicherheit bzgl. Lizenzen • Fehlende Dokumentation & Schulungsmöglichkeiten • Geschäftsmodell unklar @hendrikEbbers hendrik.ebbers@karakun.com
  26. © 2021 Karakun AG – For internal use only. 26

    @hendrikEbbers hendrik.ebbers@karakun.com Wie sicher ist Open Source?
  27. © 2021 Karakun AG – For internal use only. 27

    Veröffentlichte Schwachstellen in OS @hendrikEbbers hendrik.ebbers@karakun.com 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 2020 10.000 7.500 5.000 2.500 0
  28. © 2021 Karakun AG – For internal use only. 28

    Veröffentlichte Schwachstellen in OS @hendrikEbbers hendrik.ebbers@karakun.com • Sind steigende Zahlen in Diagrammen immer ein schlechtes Zeichen? 
 • Wie sehen die Zahlen für Closed Source aus? 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 2020 0 ? ? ? ? ? ? ? ? ? ? ? ?
  29. © 2021 Karakun AG – For internal use only. 29

    Veröffentlichte Schwachstellen in OS @hendrikEbbers hendrik.ebbers@karakun.com • Zahlen steigen, da • Open Source Aktivitäten immer weiter zunehmen • Immer mehr "CVE Numbering Authorities" (CNAs) die Schwachstellen melden • Automatisierung von Scans und Fehlererkennung
  30. © 2021 Karakun AG – For internal use only. 30

    Veröffentlichte Schwachstellen in OS @hendrikEbbers hendrik.ebbers@karakun.com • Zahlen steigen, da • Open Source Aktivitäten immer weiter zunehmen • Immer mehr "CVE Numbering Authorities" (CNAs) die Schwachstellen melden • Automatisierung von Scans und Fehlererkennung Analogie zu Erhöhung der Coronatests in den letzten Jahren: 
 Eine Erhöhung der Tests hat uns immer besser gezeigt wie die Realität aussieht...
  31. © 2021 Karakun AG – For internal use only. 31

    Open Source - Die große Unbekannte @hendrikEbbers hendrik.ebbers@karakun.com Die Digitale Infrastruktur unseres Unternehmens Ein Projekt das irgendeine Person in Nebraska seit 2013 in der Freizeit entwickelt
  32. © 2021 Karakun AG – For internal use only. 32

    Open Source - Die große Unbekannte @hendrikEbbers hendrik.ebbers@karakun.com • Das Problem liegt nicht in der einzelnen Person in Nebraska 
 
 
 
 
 Das Problem liegt in der fehlenden OSS Strategie
  33. © 2021 Karakun AG – For internal use only. 33

    Open Source - Die große Unbekannte @hendrikEbbers hendrik.ebbers@karakun.com • Heute bieten Firmen oft kommerzielle Supportoptionen für OSS • Bei Open Source ist dies viel transparenter als bei Closed Source 
 
 
 Firmen können OSS kostenlos einsetzen, müssen es aber nicht
  34. © 2021 Karakun AG – For internal use only. 34

    Open Source - Die große Unbekannte @hendrikEbbers hendrik.ebbers@karakun.com • Heute bieten Firmen oft kommerzielle Supportoptionen für OSS • Bei Open Source ist dies viel transparenter als bei Closed Source 
 
 
 Firmen müssen erkennen, welche OSS Projekte intern eingesetzt werden und diese bewerten
  35. © 2021 Karakun AG – For internal use only. 35

    Bedenken zu Open Source • Unsichere Zukunft der Software • Kein Support bzw. kein Enterprise Produkt • Unsicherheit bzgl. Lizenzen • Fehlende Dokumentation & Schulungsmöglichkeiten • Geschäftsmodel unklar @hendrikEbbers hendrik.ebbers@karakun.com
  36. © 2021 Karakun AG – For internal use only. 36

    Bedenken zu Open Source • Unsichere Zukunft der Software • Kein Support bzw. kein Enterprise Produkt • Unsicherheit bzgl. Lizenzen • Fehlende Dokumentation & Schulungsmöglichkeiten • Geschäftsmodel unklar • Fehlendes Know-How bzgl. Open Source im Unternehmen @hendrikEbbers hendrik.ebbers@karakun.com Gilt jeweils nur für eine Teilmenge
  37. © 2021 Karakun AG – For internal use only. 37

    Mehr Sicherheit durch Open Source
  38. © 2021 Karakun AG – For internal use only. 38

    Veröffentlichte Schwachstellen in OS @hendrikEbbers hendrik.ebbers@karakun.com 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 2020 10.000 7.500 5.000 2.500 0
  39. © 2021 Karakun AG – For internal use only. 39

    Veröffentlichte Schwachstellen in OS • Jedes Software-Projekt hat eine 59% Chance, dass es zu einer Sicherheits-Schwachstelle in den nächsten 12 Monaten kommt 
 
 
 • Common Vulnerabilities and Exposures (CVE) in OSS werden in offenen Datenbanken verwaltet (http://cve.mitre.org) @hendrikEbbers hendrik.ebbers@karakun.com (laut GitHub)
  40. © 2021 Karakun AG – For internal use only. 40

    Sicherheit mit Open Source • Transparenz erhöht Sicherheit • Moderne Workflows & Tools erhöhen Sicherheit • Automatisierung erhöht Sicherheit • Zusammenarbeit erhöht Sicherheit @hendrikEbbers hendrik.ebbers@karakun.com
  41. © 2021 Karakun AG – For internal use only. 41

    Sicherheit mit Open Source • Transparenz erhöht Sicherheit • Moderne Workflows & Tools erhöhen Sicherheit • Automatisierung erhöht Sicherheit • Zusammenarbeit erhöht Sicherheit @hendrikEbbers hendrik.ebbers@karakun.com 23.04.2012 Sicherheitslücke ist entstanden 08.07.2020 Sicherheitslücke wird ge fi xt 15.07.2020 Über 5 Millionen Open Source Projekte werden benachrichtigt 02.10.2020 Über 40% der Projekte nutzen aktuelle Version ohne Sicherheitslücke 02.07.2020 Sicherheitslücke wird gemeldet Schwerwiegende CVE in Lodash (extrem weitläufig genutzte JavaScript Bibliothek)
  42. © 2021 Karakun AG – For internal use only. 42

    Open Source Lizenzen
  43. © 2021 Karakun AG – For internal use only. 43

    Open Source Lizenzen @hendrikEbbers hendrik.ebbers@karakun.com • In den Anfängen von Open Source gab es große Probleme mit Lizenzen • Projekte hatten teils keine Lizenz definiert / waren unlizensiert • Lizenzen waren nicht kompatibel zueinander • Lizenzen waren teils nicht juristisch sinnvoll (Beerware License) • Lizenzen waren teils nicht nutzbar im Enterprise Umfeld (Chicken Dance License)
  44. © 2021 Karakun AG – For internal use only. 44

    Open Source Lizenzen @hendrikEbbers hendrik.ebbers@karakun.com • Heute haben sich einige gute und juristisch sinnvolle Lizenzen etabliert • Lizenzen teilen sich generell auf in Copyleft Lizenzen und Permissive Lizenzen 
 • Copyleft: abgeleiteter Code muss Lizenzbedingungen übernehmen 
 • Permissive: mehr Freiheit für die Wiederverwendung & Änderung Beispiele: GPL, EPL Beispiele: Apache, MIT
  45. © 2021 Karakun AG – For internal use only. 45

    Open Source Lizenzen @hendrikEbbers hendrik.ebbers@karakun.com • Tooling ermöglicht die Verwaltung der genutzten Lizenzen • Tooling ermöglicht die Überprüfung der genutzten Lizenzen • Auch transitive Abhängigkeiten werden beachtet • Experten für technische und rechtliche Fragen sind vorhanden • Ein Open Source Program Office kann das Thema Lizenzen zentral bearbeiten und bei offenen Punkte Experten einbeziehen
  46. © 2021 Karakun AG – For internal use only. 46

    Fazit und Ausblick
  47. © 2021 Karakun AG – For internal use only. 47

    Open Source - Fazit @hendrikEbbers hendrik.ebbers@karakun.com • Open Source hat andere Schwachstellen, als man denkt • Probleme entstehen durch falsche Bewertung im Unternehmen • Probleme entstehen durch zu wenig Ressourcen 
 
 
 • Worst Case: Wir nutzen beliebige Komponenten die nicht (mehr) gewartet werden und investieren nicht in diese
  48. © 2021 Karakun AG – For internal use only. 48

    Open Source - Fazit @hendrikEbbers hendrik.ebbers@karakun.com • Sicherheit und Lizenz-Management werden durch Tools abgedeckt • Hinter OSS stehen oft Firmen oder Open Source Foundations • (Kommerzieller) Support ist oft vorhanden • Bewertung/Audit fällt leichter als bei Closed Source 
 
 • Best Case: Wir haben eine zentrale Abteilung (OSPO) die Wissen & Policy aufbaut und OSS sinnvoll in die Firma integriert
  49. © 2021 Karakun AG – For internal use only. 49

    Wir helfen ihnen bei der Erstellung ihrer Open Source Strategie nicht nur
  50. Karakun GmbH Selkamp 12 
 44287 Dortmund 
 Deutschland T.

    E. W. +49 231 3970 9753 
 info@karakun.com www.karakun.com hendrik.ebbers@karakun.com +49 231 3970 9753 @hendrikEbbers https://www.xing.com/profile/Hendrik_Ebbers https://www.linkedin.com/in/hendrik-ebbers/ https://github.com/hendrikebbers
  51. Karakun GmbH Selkamp 12 
 44287 Dortmund 
 Deutschland T.

    E. W. +49 231 3970 9753 
 info@karakun.com www.karakun.com