Open Source verstehen

Transcript

1. © 2021 Karakun AG – For internal use only. 1

   Open Source verstehen Hendrik Ebbers

2. © 2021 Karakun AG – For internal use only. 2

   • Mitgründer Karakun AG / GmbH • Standortleiter (Karakun Dortmund) 
 • Buchautor • Internationaler Sprecher @hendrikEbbers [email protected] Hendrik Ebbers

3. © 2021 Karakun AG – For internal use only. 3

   • Expert Group Member für Java Standardisierung • Committer bei Eclipse JakartaEE / JavaEE • Mitglied im Project Management Committee & Steering Committee bei Eclipse Adoptium @hendrikEbbers [email protected] Warum ich über Open Source rede ... Adoptium Project Management Committee Adoptium Steering Committee

4. © 2021 Karakun AG – For internal use only. 4

   • Über 200.000 Downloads von Karakun OpenWebStart 
 
 
 
 • Über 5.000.000 Downloads von Eclipse Temurin • Über 350.000.000 Downloads von AdoptOpenJDK Runtime @hendrikEbbers [email protected] Warum ich über Open Source rede

5. © 2021 Karakun AG – For internal use only. 5

   • Alle im Vortrag genannten Zahlen und Fakten stammen von großen Umfragen und Whitepapers: 
 • Open Source Studie Schweiz 2021 - Universität Bern • WhiteSource Whitepaper zu OSS Security 2021 • Studie zu OSS in der EU vom Fraunhofer ISI & Open Forum Europe • Bitkom Open Source Monitor 2019 • GitHub Statistiken & Veröffentlichungen @hendrikEbbers [email protected] Warum ich über Open Source rede

6. © 2021 Karakun AG – For internal use only. 6

   Wie wir Open Source heute nutzen

7. © 2021 Karakun AG – For internal use only. 7

   Wo Open Source heute genutzt wird @hendrikEbbers [email protected] Infrastruktur und Services Linux, OpenLDAP, OpenSSH, OpenShift, Wordpress, ... Anwendungen Firefox, Open Office, Signal, VLC-Player, Gimp, ... Software-Entwicklung Java, JavaScript, Spring, Angular, React, Kafka, Docker, Tomcat, MySQL, PostgreSQL ... Protokolle, Formate und Schnittstellen HTTP(S), PDF, SVG, ZIP, LDAP, Bluetooth, ...

8. © 2021 Karakun AG – For internal use only. 8

   Open Source 101 • Open Source bedeutet, dass der Quellcode offen einsehbar ist @hendrikEbbers [email protected] Jeder kann die Quellen analysieren und interpretieren

9. © 2021 Karakun AG – For internal use only. 9

   Open Source 101 • Open Source bedeutet, dass der Quellcode offen einsehbar ist • Open Source bedeutet nicht, dass jeder den Quellcode verändern kann @hendrikEbbers [email protected] Quellcode ist sicher vor willkürlichen Änderungen

10. © 2021 Karakun AG – For internal use only. 10

    Open Source 101 @hendrikEbbers [email protected] final API api = API.create(CONNECTION_TOKEN); final Channel channel = api.getChannel("general"); channel.observe(EventType.NEW_MESSAGE, event -> { channel.sendMessage("Hi " + event.getAuthor()); }); Man kann denn Quellcode auf dieser Folie zwar lesen & analysieren, aber nicht in meinem Namen ändern

11. © 2021 Karakun AG – For internal use only. 11

    Open Source 101 • Heute gibt es definierte Workflows, um gemeinsam und sicher an Open Source Software (OSS) zu arbeiten • Über Änderungs-Anfragen (Pull Request) können sich auch externe Entwickler:innen beteiligen @hendrikEbbers [email protected] Projektmitarbeiter:in Externer Entwickler:in Direkte Arbeit am Projekt Pull Request Review und Freigabe

12. © 2021 Karakun AG – For internal use only. 12

    Wie stehen Unternehmen zu OSS? @hendrikEbbers [email protected] 75% 80% 78% 74% 73% 71% 19% 15% 15% 18% 16% 20% Gesamt Handel Automobilindustrie Banken & Versicherungen IT & Telekommunikation Verkehr & Logistik Interessiert und Aufgeschlossen Unentschlossen Kritisch und ablehnend Weiß nicht / Keine Angabe

13. © 2021 Karakun AG – For internal use only. 13

    Warum Open Source heute genutzt wird • Welche Aspekte sind heute bei der Entscheidung zugunsten von Open Source wichtig/entscheidend? 87 % 85 % Offene Standards Community 81 % Sicherheit 80 % Hersteller- 
 unabhängigkeit 79 % Stabilität 78 % Kostenersparnis Transparenz & Vertrauen 75 % @hendrikEbbers [email protected]

14. © 2021 Karakun AG – For internal use only. 14

    GitHub als Platform für Open Source • Über 1.9 Milliarden Beteiligungen in 2019 • Über 50 Million registrierte Benutzer:innen @hendrikEbbers [email protected] 2008 2020 2025 50 m 100 m

15. © 2021 Karakun AG – For internal use only. 15

    Open Source in der EU • Mehr als 3 Millionen angestellte Programmier:innen in der EU (Stand 2018) • Fast 300.000 aktiv Mitwirkende auf GitHub innerhalb der EU @hendrikEbbers [email protected] Open Source

16. © 2021 Karakun AG – For internal use only. 16

    Open Source in der EU • Mitarbeit an OSS Projekten in der EU beträgt ca. 16.000 FTEs • Bruttoinlandsprodukt (BIP) der EU profitiert stark durch OSS Mitarbeit @hendrikEbbers [email protected] Steigerung des OSS Mitarbeiter:innen um 10% Steigerung des EU BIP um 0.6% - 95 Milliarden Euro Theoretische Auswirkung

17. © 2021 Karakun AG – For internal use only. 17

    Einsatz OSS nach Unternehmensgröße @hendrikEbbers [email protected] Wir setzen OSS ein Wir setzen kein OSS ein Weiß nicht / Keine Angabe 65% 32% 71% 24% 78% 19% 86% 12% 100 bis 199 Mitarbeiter 200 bis 499 Mitarbeiter 500 bis 1.999 Mitarbeiter Ab 2.000 Mitarbeiter

18. © 2021 Karakun AG – For internal use only. 18

    OSS Strategie in Unternehmen @hendrikEbbers [email protected] 19% 21% 27% 31% 81% 76% 70% 63% 100 bis 199 Mitarbeiter 200 bis 499 Mitarbeiter 500 bis 1.999 Mitarbeiter Ab 2.000 Mitarbeiter OSS-Strategie vorhanden Keinerlei OSS-Strategie Weiß nicht / Keine Angabe

19. © 2021 Karakun AG – For internal use only. 19

    Open Source Policy in Unternehmen @hendrikEbbers [email protected] Nein 79 % Ja 17 % Weiß nicht / keine Angabe 4 % Gibt es in Ihrem Unternehmen eine OSS-Policy? • Richtlinien und Regeln zum Umgang mit OSS in Ihrem Unternehmen • Niedergeschrieben und für alle Mitarbeiter einsehbar • Hier geht es nicht nur um die Nutzung von Open Source

20. © 2021 Karakun AG – For internal use only. 20

    Open Source Nutzung in Unternehmen @hendrikEbbers [email protected] Einzelne Fachabteilungen Einzelne Mitarbeiter Geschäftsführung Externe Dienstleister Weiß nicht/keine Angaben 58 % 30 % 5 % 5 % 2 % Wer treibt im Unternehmen das Thema OSS voran? • Geldgeber sind oft nicht in Prozesse involviert • Entstehung von Wissens-Silos • Nutzung ohne professionelle Absicherung bzgl. Support und Lizenzen

21. © 2021 Karakun AG – For internal use only. 21

    Open Source Nutzung in Unternehmen @hendrikEbbers [email protected] Open Source Projekt Unternehmen "Danke für die kostenlose Software"

22. © 2021 Karakun AG – For internal use only. 22

    Open Source Program Office (OSPO) • Zentrale Stelle zum (strategischen) Umgang mit OSS im Unternehmen • Lizenzen, Best Practices, geteiltes Wissen, Aufbau einer Community • Nicht das Rad in jeder Abteilung neu erfinden! • Mehr und mehr Firmen führen Open Source Program Offices ein @hendrikEbbers [email protected] “Without an OSPO, teams across Microsoft would probably have to do a lot more manual compliance work..." Stormy Peters, the director of Microsoft’s open source programs of fi ce

23. © 2021 Karakun AG – For internal use only. 23

    Nächste Schritte im Unternehmen @hendrikEbbers [email protected] • Schlüsselfiguren müssen identifiziert werden • Strategie muss identifiziert werden • Thema muss zentral platziert werden 
 
 • Es ist immer sinnvoll mit Partnern zu reden, die den Prozess schon erfolgreich durchlaufen haben bzw. externe Unterstützung einkaufen

24. © 2021 Karakun AG – For internal use only. 24

    Bedenken zu Open Source

25. © 2021 Karakun AG – For internal use only. 25

    Bedenken zu Open Source • Unsichere Zukunft der Software • Kein Support bzw. kein Enterprise Produkt • Unsicherheit bzgl. Lizenzen • Fehlende Dokumentation & Schulungsmöglichkeiten • Geschäftsmodell unklar @hendrikEbbers [email protected]

26. © 2021 Karakun AG – For internal use only. 26

    @hendrikEbbers [email protected] Wie sicher ist Open Source?

27. © 2021 Karakun AG – For internal use only. 27

    Veröffentlichte Schwachstellen in OS @hendrikEbbers [email protected] 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 2020 10.000 7.500 5.000 2.500 0

28. © 2021 Karakun AG – For internal use only. 28

    Veröffentlichte Schwachstellen in OS @hendrikEbbers [email protected] • Sind steigende Zahlen in Diagrammen immer ein schlechtes Zeichen? 
 • Wie sehen die Zahlen für Closed Source aus? 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 2020 0 ? ? ? ? ? ? ? ? ? ? ? ?

29. © 2021 Karakun AG – For internal use only. 29

    Veröffentlichte Schwachstellen in OS @hendrikEbbers [email protected] • Zahlen steigen, da • Open Source Aktivitäten immer weiter zunehmen • Immer mehr "CVE Numbering Authorities" (CNAs) die Schwachstellen melden • Automatisierung von Scans und Fehlererkennung

30. © 2021 Karakun AG – For internal use only. 30

    Veröffentlichte Schwachstellen in OS @hendrikEbbers [email protected] • Zahlen steigen, da • Open Source Aktivitäten immer weiter zunehmen • Immer mehr "CVE Numbering Authorities" (CNAs) die Schwachstellen melden • Automatisierung von Scans und Fehlererkennung Analogie zu Erhöhung der Coronatests in den letzten Jahren: 
 Eine Erhöhung der Tests hat uns immer besser gezeigt wie die Realität aussieht...

31. © 2021 Karakun AG – For internal use only. 31

    Open Source - Die große Unbekannte @hendrikEbbers [email protected] Die Digitale Infrastruktur unseres Unternehmens Ein Projekt das irgendeine Person in Nebraska seit 2013 in der Freizeit entwickelt

32. © 2021 Karakun AG – For internal use only. 32

    Open Source - Die große Unbekannte @hendrikEbbers [email protected] • Das Problem liegt nicht in der einzelnen Person in Nebraska 
 
 
 
 
 Das Problem liegt in der fehlenden OSS Strategie

33. © 2021 Karakun AG – For internal use only. 33

    Open Source - Die große Unbekannte @hendrikEbbers [email protected] • Heute bieten Firmen oft kommerzielle Supportoptionen für OSS • Bei Open Source ist dies viel transparenter als bei Closed Source 
 
 
 Firmen können OSS kostenlos einsetzen, müssen es aber nicht

34. © 2021 Karakun AG – For internal use only. 34

    Open Source - Die große Unbekannte @hendrikEbbers [email protected] • Heute bieten Firmen oft kommerzielle Supportoptionen für OSS • Bei Open Source ist dies viel transparenter als bei Closed Source 
 
 
 Firmen müssen erkennen, welche OSS Projekte intern eingesetzt werden und diese bewerten

35. © 2021 Karakun AG – For internal use only. 35

    Bedenken zu Open Source • Unsichere Zukunft der Software • Kein Support bzw. kein Enterprise Produkt • Unsicherheit bzgl. Lizenzen • Fehlende Dokumentation & Schulungsmöglichkeiten • Geschäftsmodel unklar @hendrikEbbers [email protected]

36. © 2021 Karakun AG – For internal use only. 36

    Bedenken zu Open Source • Unsichere Zukunft der Software • Kein Support bzw. kein Enterprise Produkt • Unsicherheit bzgl. Lizenzen • Fehlende Dokumentation & Schulungsmöglichkeiten • Geschäftsmodel unklar • Fehlendes Know-How bzgl. Open Source im Unternehmen @hendrikEbbers [email protected] Gilt jeweils nur für eine Teilmenge

37. © 2021 Karakun AG – For internal use only. 37

    Mehr Sicherheit durch Open Source

38. © 2021 Karakun AG – For internal use only. 38

    Veröffentlichte Schwachstellen in OS @hendrikEbbers [email protected] 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 2020 10.000 7.500 5.000 2.500 0

39. © 2021 Karakun AG – For internal use only. 39

    Veröffentlichte Schwachstellen in OS • Jedes Software-Projekt hat eine 59% Chance, dass es zu einer Sicherheits-Schwachstelle in den nächsten 12 Monaten kommt 
 
 
 • Common Vulnerabilities and Exposures (CVE) in OSS werden in offenen Datenbanken verwaltet (http://cve.mitre.org) @hendrikEbbers [email protected] (laut GitHub)

40. © 2021 Karakun AG – For internal use only. 40

    Sicherheit mit Open Source • Transparenz erhöht Sicherheit • Moderne Workflows & Tools erhöhen Sicherheit • Automatisierung erhöht Sicherheit • Zusammenarbeit erhöht Sicherheit @hendrikEbbers [email protected]

41. © 2021 Karakun AG – For internal use only. 41

    Sicherheit mit Open Source • Transparenz erhöht Sicherheit • Moderne Workflows & Tools erhöhen Sicherheit • Automatisierung erhöht Sicherheit • Zusammenarbeit erhöht Sicherheit @hendrikEbbers [email protected] 23.04.2012 Sicherheitslücke ist entstanden 08.07.2020 Sicherheitslücke wird ge fi xt 15.07.2020 Über 5 Millionen Open Source Projekte werden benachrichtigt 02.10.2020 Über 40% der Projekte nutzen aktuelle Version ohne Sicherheitslücke 02.07.2020 Sicherheitslücke wird gemeldet Schwerwiegende CVE in Lodash (extrem weitläufig genutzte JavaScript Bibliothek)

42. © 2021 Karakun AG – For internal use only. 42

    Open Source Lizenzen

43. © 2021 Karakun AG – For internal use only. 43

    Open Source Lizenzen @hendrikEbbers [email protected] • In den Anfängen von Open Source gab es große Probleme mit Lizenzen • Projekte hatten teils keine Lizenz definiert / waren unlizensiert • Lizenzen waren nicht kompatibel zueinander • Lizenzen waren teils nicht juristisch sinnvoll (Beerware License) • Lizenzen waren teils nicht nutzbar im Enterprise Umfeld (Chicken Dance License)

44. © 2021 Karakun AG – For internal use only. 44

    Open Source Lizenzen @hendrikEbbers [email protected] • Heute haben sich einige gute und juristisch sinnvolle Lizenzen etabliert • Lizenzen teilen sich generell auf in Copyleft Lizenzen und Permissive Lizenzen 
 • Copyleft: abgeleiteter Code muss Lizenzbedingungen übernehmen 
 • Permissive: mehr Freiheit für die Wiederverwendung & Änderung Beispiele: GPL, EPL Beispiele: Apache, MIT

45. © 2021 Karakun AG – For internal use only. 45

    Open Source Lizenzen @hendrikEbbers [email protected] • Tooling ermöglicht die Verwaltung der genutzten Lizenzen • Tooling ermöglicht die Überprüfung der genutzten Lizenzen • Auch transitive Abhängigkeiten werden beachtet • Experten für technische und rechtliche Fragen sind vorhanden • Ein Open Source Program Office kann das Thema Lizenzen zentral bearbeiten und bei offenen Punkte Experten einbeziehen

46. © 2021 Karakun AG – For internal use only. 46

    Fazit und Ausblick

47. © 2021 Karakun AG – For internal use only. 47

    Open Source - Fazit @hendrikEbbers [email protected] • Open Source hat andere Schwachstellen, als man denkt • Probleme entstehen durch falsche Bewertung im Unternehmen • Probleme entstehen durch zu wenig Ressourcen 
 
 
 • Worst Case: Wir nutzen beliebige Komponenten die nicht (mehr) gewartet werden und investieren nicht in diese

48. © 2021 Karakun AG – For internal use only. 48

    Open Source - Fazit @hendrikEbbers [email protected] • Sicherheit und Lizenz-Management werden durch Tools abgedeckt • Hinter OSS stehen oft Firmen oder Open Source Foundations • (Kommerzieller) Support ist oft vorhanden • Bewertung/Audit fällt leichter als bei Closed Source 
 
 • Best Case: Wir haben eine zentrale Abteilung (OSPO) die Wissen & Policy aufbaut und OSS sinnvoll in die Firma integriert

49. © 2021 Karakun AG – For internal use only. 49

    Wir helfen ihnen bei der Erstellung ihrer Open Source Strategie nicht nur

50. Karakun GmbH Selkamp 12 
 44287 Dortmund 
 Deutschland T.

    E. W. +49 231 3970 9753 
 [email protected] www.karakun.com [email protected] +49 231 3970 9753 @hendrikEbbers https://www.xing.com/profile/Hendrik_Ebbers https://www.linkedin.com/in/hendrik-ebbers/ https://github.com/hendrikebbers

51. Karakun GmbH Selkamp 12 
 44287 Dortmund 
 Deutschland T.

    E. W. +49 231 3970 9753 
 [email protected] www.karakun.com