Open Source verstehen

© 2021 Karakun AG – For internal use only. 1
Open Source verstehen
Hendrik Ebbers

View Slide

• Mitgründer Karakun AG / GmbH

• Standortleiter (Karakun Dortmund)
 
• Buchautor

• Internationaler Sprecher
@hendrikEbbers [email protected]
Hendrik Ebbers

View Slide

• Expert Group Member für Java Standardisierung

• Committer bei Eclipse JakartaEE / JavaEE

• Mitglied im Project Management Committee & Steering Committee
bei Eclipse Adoptium
Warum ich über Open Source rede
...
Adoptium Project Management Committee Adoptium Steering Committee

View Slide

• Über 200.000 Downloads von Karakun OpenWebStart
 
 
 
 
• Über 5.000.000 Downloads von Eclipse Temurin

• Über 350.000.000 Downloads von AdoptOpenJDK Runtime

View Slide

• Alle im Vortrag genannten Zahlen und Fakten stammen von großen
Umfragen und Whitepapers:
 
• Open Source Studie Schweiz 2021 - Universität Bern

• WhiteSource Whitepaper zu OSS Security 2021

• Studie zu OSS in der EU vom Fraunhofer ISI & Open Forum Europe

• Bitkom Open Source Monitor 2019

• GitHub Statistiken & Veröffentlichungen

View Slide

Wie wir Open Source
heute nutzen

View Slide

Wo Open Source heute genutzt wird
Infrastruktur und Services

Linux, OpenLDAP, OpenSSH, OpenShift, Wordpress, ...

Anwendungen

Firefox, Open Office, Signal, VLC-Player, Gimp, ...

Software-Entwicklung

Java, JavaScript, Spring, Angular, React, Kafka, Docker, Tomcat, MySQL, PostgreSQL ...

Protokolle, Formate und Schnittstellen

HTTP(S), PDF, SVG, ZIP, LDAP, Bluetooth, ...

View Slide

Open Source 101
• Open Source bedeutet, dass der Quellcode offen einsehbar ist
Jeder kann die Quellen analysieren und interpretieren

View Slide

Open Source 101
• Open Source bedeutet, dass der Quellcode offen einsehbar ist

• Open Source bedeutet nicht, dass jeder den Quellcode verändern
kann
Quellcode ist sicher vor willkürlichen Änderungen

View Slide

Open Source 101
final API api = API.create(CONNECTION_TOKEN);

final Channel channel = api.getChannel("general");

channel.observe(EventType.NEW_MESSAGE, event -> {

channel.sendMessage("Hi " + event.getAuthor());

});

Man kann denn Quellcode auf dieser Folie zwar lesen & analysieren,
aber nicht in meinem Namen ändern

View Slide

Open Source 101
• Heute gibt es definierte Workflows, um gemeinsam und sicher an
Open Source Software (OSS) zu arbeiten

• Über Änderungs-Anfragen (Pull Request) können sich auch externe
Entwickler:innen beteiligen
Projektmitarbeiter:in Externer Entwickler:in
Direkte Arbeit am Projekt Pull Request
Review und Freigabe

View Slide

Wie stehen Unternehmen zu OSS?
75%
80%
78%
74%
73%
71%
19%
15%
15%
18%
16%
20%
Gesamt
Handel
Automobilindustrie
Banken & Versicherungen
IT & Telekommunikation
Verkehr & Logistik
Interessiert und
Aufgeschlossen

Unentschlossen

Kritisch und ablehnend

Weiß nicht / Keine Angabe

View Slide

Warum Open Source heute genutzt wird
• Welche Aspekte sind heute bei der Entscheidung zugunsten von
Open Source wichtig/entscheidend?
87 % 85 %
Offene Standards Community
81 %
Sicherheit
80 %
Hersteller-
 
unabhängigkeit
79 %
Stabilität
78 %
Kostenersparnis Transparenz &
Vertrauen
75 %

View Slide

GitHub als Platform für Open Source
• Über 1.9 Milliarden Beteiligungen in 2019

• Über 50 Million registrierte Benutzer:innen
2008 2020 2025
50 m
100 m

View Slide

Open Source in der EU
• Mehr als 3 Millionen angestellte Programmier:innen in der EU
(Stand 2018)

• Fast 300.000 aktiv Mitwirkende auf GitHub innerhalb der EU
Open Source

View Slide

Open Source in der EU
• Mitarbeit an OSS Projekten in der EU beträgt ca. 16.000 FTEs

• Bruttoinlandsprodukt (BIP) der EU profitiert stark durch OSS
Mitarbeit
Steigerung des OSS
Mitarbeiter:innen um 10%
Steigerung des EU BIP um 0.6% -
95 Milliarden Euro
Theoretische Auswirkung

View Slide

Einsatz OSS nach Unternehmensgröße
Wir setzen OSS ein

Wir setzen kein OSS ein

65% 32%
71% 24%
78% 19%
86% 12%
100 bis 199 Mitarbeiter
500 bis 1.999 Mitarbeiter
Ab 2.000 Mitarbeiter

View Slide

OSS Strategie in Unternehmen
19%
21%
27%
31%
81%
76%
70%
63%
500 bis 1.999 Mitarbeiter
Ab 2.000 Mitarbeiter
OSS-Strategie vorhanden

Keinerlei OSS-Strategie


View Slide

Open Source Policy in Unternehmen
Nein
79 %
Ja
17 %
Weiß nicht / keine Angabe
4 %
Gibt es in Ihrem Unternehmen eine
OSS-Policy?
• Richtlinien und Regeln zum Umgang
mit OSS in Ihrem Unternehmen

• Niedergeschrieben und für alle
Mitarbeiter einsehbar

• Hier geht es nicht nur um die Nutzung
von Open Source

View Slide

Open Source Nutzung in Unternehmen
Einzelne Fachabteilungen
Einzelne Mitarbeiter
Geschäftsführung
Externe Dienstleister
Weiß nicht/keine Angaben
58 %
30 %
5 %
5 %
2 %
Wer treibt im Unternehmen das Thema
OSS voran?
• Geldgeber sind oft nicht in
Prozesse involviert

• Entstehung von Wissens-Silos

• Nutzung ohne professionelle
Absicherung bzgl. Support und
Lizenzen

View Slide

Open Source Nutzung in Unternehmen
Open Source
Projekt
Unternehmen
"Danke für die kostenlose
Software"

View Slide

Open Source Program Office (OSPO)
• Zentrale Stelle zum (strategischen) Umgang mit OSS im
Unternehmen

• Lizenzen, Best Practices, geteiltes Wissen, Aufbau einer Community

• Nicht das Rad in jeder Abteilung neu erfinden!

• Mehr und mehr Firmen führen Open Source Program Offices ein
“Without an OSPO, teams across Microsoft would probably have to do
a lot more manual compliance work..."
Stormy Peters, the director of Microsoft’s open source programs of
fi
ce

View Slide

Nächste Schritte im Unternehmen
• Schlüsselfiguren müssen identifiziert werden

• Strategie muss identifiziert werden

• Thema muss zentral platziert werden
 
 
• Es ist immer sinnvoll mit Partnern zu reden, die den Prozess schon
erfolgreich durchlaufen haben bzw. externe Unterstützung
einkaufen

View Slide

Bedenken zu Open
Source

View Slide

Bedenken zu Open Source
• Unsichere Zukunft der Software

• Kein Support bzw. kein Enterprise Produkt

• Unsicherheit bzgl. Lizenzen

• Fehlende Dokumentation & Schulungsmöglichkeiten

• Geschäftsmodell unklar

View Slide

Wie sicher ist Open
Source?

View Slide

Veröffentlichte Schwachstellen in OS
2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 2020
10.000
7.500
5.000
2.500
0

View Slide

• Sind steigende Zahlen in Diagrammen immer ein schlechtes Zeichen?
 
• Wie sehen die Zahlen für Closed Source aus?
2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 2020
0
?
?
?
?
?
?
?
?
?
?
?
?

View Slide

• Zahlen steigen, da

• Open Source Aktivitäten immer weiter zunehmen

• Immer mehr "CVE Numbering Authorities" (CNAs) die
Schwachstellen melden

• Automatisierung von Scans und Fehlererkennung

View Slide

• Zahlen steigen, da

• Open Source Aktivitäten immer weiter zunehmen

• Immer mehr "CVE Numbering Authorities" (CNAs) die
Schwachstellen melden

• Automatisierung von Scans und Fehlererkennung
Analogie zu Erhöhung der Coronatests in den letzten Jahren:
 
Eine Erhöhung der Tests hat uns immer besser gezeigt wie
die Realität aussieht...

View Slide

Open Source - Die große Unbekannte
Die Digitale Infrastruktur
unseres Unternehmens
Ein Projekt das irgendeine
Person in Nebraska seit
2013 in der Freizeit
entwickelt

View Slide

• Das Problem liegt nicht in der einzelnen
Person in Nebraska
 
 
 
 
 
Das Problem liegt in der fehlenden OSS
Strategie

View Slide

• Heute bieten Firmen oft kommerzielle
Supportoptionen für OSS

• Bei Open Source ist dies viel transparenter als
bei Closed Source
 
 
 
Firmen können OSS kostenlos einsetzen,
müssen es aber nicht

View Slide

• Heute bieten Firmen oft kommerzielle
Supportoptionen für OSS

• Bei Open Source ist dies viel transparenter als
bei Closed Source
 
 
 
Firmen müssen erkennen, welche OSS Projekte
intern eingesetzt werden und diese bewerten

View Slide





• Geschäftsmodel unklar

View Slide





• Geschäftsmodel unklar

• Fehlendes Know-How bzgl. Open Source im Unternehmen
Gilt jeweils nur für
eine Teilmenge

View Slide

Mehr Sicherheit
durch Open Source

View Slide

2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 2020
10.000
7.500
5.000
2.500
0

View Slide

• Jedes Software-Projekt hat eine 59% Chance, dass es zu einer
Sicherheits-Schwachstelle in den nächsten 12 Monaten kommt
 
 
 
• Common Vulnerabilities and Exposures (CVE) in OSS werden in
offenen Datenbanken verwaltet (http://cve.mitre.org)
(laut GitHub)

View Slide

Sicherheit mit Open Source
• Transparenz erhöht Sicherheit

• Moderne Workflows & Tools erhöhen Sicherheit

• Automatisierung erhöht Sicherheit

• Zusammenarbeit erhöht Sicherheit

View Slide

Sicherheit mit Open Source
• Transparenz erhöht Sicherheit

• Moderne Workflows & Tools erhöhen Sicherheit

• Automatisierung erhöht Sicherheit

• Zusammenarbeit erhöht Sicherheit
23.04.2012
Sicherheitslücke ist
entstanden
08.07.2020
Sicherheitslücke wird
ge
fi
xt
15.07.2020
Über 5 Millionen Open
Source Projekte werden
benachrichtigt
02.10.2020
Über 40% der Projekte
nutzen aktuelle Version
ohne Sicherheitslücke
02.07.2020
Sicherheitslücke wird
gemeldet
Schwerwiegende CVE in Lodash (extrem weitläufig genutzte JavaScript Bibliothek)

View Slide

Open Source
Lizenzen

View Slide

Open Source Lizenzen
• In den Anfängen von Open Source gab es große Probleme mit
Lizenzen

• Projekte hatten teils keine Lizenz definiert / waren unlizensiert

• Lizenzen waren nicht kompatibel zueinander

• Lizenzen waren teils nicht juristisch sinnvoll (Beerware License)

• Lizenzen waren teils nicht nutzbar im Enterprise Umfeld
(Chicken Dance License)

View Slide

• Heute haben sich einige gute und juristisch sinnvolle Lizenzen
etabliert

• Lizenzen teilen sich generell auf in Copyleft Lizenzen und
Permissive Lizenzen
 
• Copyleft: abgeleiteter Code muss Lizenzbedingungen übernehmen
 
• Permissive: mehr Freiheit für die Wiederverwendung & Änderung
Beispiele: GPL, EPL
Beispiele: Apache, MIT

View Slide

• Tooling ermöglicht die Verwaltung der genutzten Lizenzen

• Tooling ermöglicht die Überprüfung der genutzten Lizenzen

• Auch transitive Abhängigkeiten werden beachtet

• Experten für technische und rechtliche Fragen sind vorhanden

• Ein Open Source Program Office kann das Thema Lizenzen zentral
bearbeiten und bei offenen Punkte Experten einbeziehen

View Slide

Fazit und Ausblick

View Slide

Open Source - Fazit
• Open Source hat andere Schwachstellen, als man denkt

• Probleme entstehen durch falsche Bewertung im Unternehmen

• Probleme entstehen durch zu wenig Ressourcen
 
 
 
• Worst Case: Wir nutzen beliebige Komponenten die nicht (mehr)
gewartet werden und investieren nicht in diese

View Slide

Open Source - Fazit
• Sicherheit und Lizenz-Management werden durch Tools abgedeckt

• Hinter OSS stehen oft Firmen oder Open Source Foundations

• (Kommerzieller) Support ist oft vorhanden

• Bewertung/Audit fällt leichter als bei Closed Source
 
 
• Best Case: Wir haben eine zentrale Abteilung (OSPO) die Wissen &
Policy aufbaut und OSS sinnvoll in die Firma integriert

View Slide

Wir helfen ihnen bei der Erstellung
ihrer Open Source Strategie
nicht nur

View Slide

Karakun GmbH

Selkamp 12
 
44287 Dortmund
 
Deutschland
T.

E.

W.
+49 231 3970 9753
 
[email protected]

www.karakun.com
[email protected]

+49 231 3970 9753

@hendrikEbbers

https://www.xing.com/profile/Hendrik_Ebbers

https://www.linkedin.com/in/hendrik-ebbers/

https://github.com/hendrikebbers

View Slide

Karakun GmbH

Selkamp 12
 
44287 Dortmund
 
Deutschland
T.

E.

W.
+49 231 3970 9753
 
[email protected]

www.karakun.com

View Slide

Open Source verstehen

Open Source verstehen

Hendrik Ebbers

More Decks by Hendrik Ebbers

Other Decks in Technology

Featured

Transcript