© 2021 Karakun AG – For internal use only. 1 Open Source verstehen Hendrik Ebbers 

© 2021 Karakun AG – For internal use only. 2 • Mitgründer Karakun AG / GmbH • Standortleiter (Karakun Dortmund) 
 • Buchautor • Internationaler Sprecher @hendrikEbbers [email protected] Hendrik Ebbers 

© 2021 Karakun AG – For internal use only. 3 • Expert Group Member für Java Standardisierung • Committer bei Eclipse JakartaEE / JavaEE • Mitglied im Project Management Committee & Steering Committee bei Eclipse Adoptium @hendrikEbbers [email protected] Warum ich über Open Source rede ... Adoptium Project Management Committee Adoptium Steering Committee 

© 2021 Karakun AG – For internal use only. 4 • Über 200.000 Downloads von Karakun OpenWebStart 
 
 
 
 • Über 5.000.000 Downloads von Eclipse Temurin • Über 350.000.000 Downloads von AdoptOpenJDK Runtime @hendrikEbbers [email protected] Warum ich über Open Source rede 

© 2021 Karakun AG – For internal use only. 5 • Alle im Vortrag genannten Zahlen und Fakten stammen von großen Umfragen und Whitepapers: 
 • Open Source Studie Schweiz 2021 - Universität Bern • WhiteSource Whitepaper zu OSS Security 2021 • Studie zu OSS in der EU vom Fraunhofer ISI & Open Forum Europe • Bitkom Open Source Monitor 2019 • GitHub Statistiken & Veröffentlichungen @hendrikEbbers [email protected] Warum ich über Open Source rede 

© 2021 Karakun AG – For internal use only. 6 Wie wir Open Source heute nutzen 

© 2021 Karakun AG – For internal use only. 7 Wo Open Source heute genutzt wird @hendrikEbbers [email protected] Infrastruktur und Services Linux, OpenLDAP, OpenSSH, OpenShift, Wordpress, ... Anwendungen Firefox, Open Office, Signal, VLC-Player, Gimp, ... Software-Entwicklung Java, JavaScript, Spring, Angular, React, Kafka, Docker, Tomcat, MySQL, PostgreSQL ... Protokolle, Formate und Schnittstellen HTTP(S), PDF, SVG, ZIP, LDAP, Bluetooth, ... 

© 2021 Karakun AG – For internal use only. 8 Open Source 101 • Open Source bedeutet, dass der Quellcode offen einsehbar ist @hendrikEbbers [email protected] Jeder kann die Quellen analysieren und interpretieren 

© 2021 Karakun AG – For internal use only. 9 Open Source 101 • Open Source bedeutet, dass der Quellcode offen einsehbar ist • Open Source bedeutet nicht, dass jeder den Quellcode verändern kann @hendrikEbbers [email protected] Quellcode ist sicher vor willkürlichen Änderungen 

© 2021 Karakun AG – For internal use only. 10 Open Source 101 @hendrikEbbers [email protected] final API api = API.create(CONNECTION_TOKEN); final Channel channel = api.getChannel("general"); channel.observe(EventType.NEW_MESSAGE, event -> { channel.sendMessage("Hi " + event.getAuthor()); }); Man kann denn Quellcode auf dieser Folie zwar lesen & analysieren, aber nicht in meinem Namen ändern 

© 2021 Karakun AG – For internal use only. 11 Open Source 101 • Heute gibt es definierte Workflows, um gemeinsam und sicher an Open Source Software (OSS) zu arbeiten • Über Änderungs-Anfragen (Pull Request) können sich auch externe Entwickler:innen beteiligen @hendrikEbbers [email protected] Projektmitarbeiter:in Externer Entwickler:in Direkte Arbeit am Projekt Pull Request Review und Freigabe 

© 2021 Karakun AG – For internal use only. 12 Wie stehen Unternehmen zu OSS? @hendrikEbbers [email protected] 75% 80% 78% 74% 73% 71% 19% 15% 15% 18% 16% 20% Gesamt Handel Automobilindustrie Banken & Versicherungen IT & Telekommunikation Verkehr & Logistik Interessiert und Aufgeschlossen Unentschlossen Kritisch und ablehnend Weiß nicht / Keine Angabe 

© 2021 Karakun AG – For internal use only. 13 Warum Open Source heute genutzt wird • Welche Aspekte sind heute bei der Entscheidung zugunsten von Open Source wichtig/entscheidend? 87 % 85 % Offene Standards Community 81 % Sicherheit 80 % Hersteller- 
 unabhängigkeit 79 % Stabilität 78 % Kostenersparnis Transparenz & Vertrauen 75 % @hendrikEbbers [email protected] 

© 2021 Karakun AG – For internal use only. 14 GitHub als Platform für Open Source • Über 1.9 Milliarden Beteiligungen in 2019 • Über 50 Million registrierte Benutzer:innen @hendrikEbbers [email protected] 2008 2020 2025 50 m 100 m 

© 2021 Karakun AG – For internal use only. 15 Open Source in der EU • Mehr als 3 Millionen angestellte Programmier:innen in der EU (Stand 2018) • Fast 300.000 aktiv Mitwirkende auf GitHub innerhalb der EU @hendrikEbbers [email protected] Open Source 

© 2021 Karakun AG – For internal use only. 16 Open Source in der EU • Mitarbeit an OSS Projekten in der EU beträgt ca. 16.000 FTEs • Bruttoinlandsprodukt (BIP) der EU profitiert stark durch OSS Mitarbeit @hendrikEbbers [email protected] Steigerung des OSS Mitarbeiter:innen um 10% Steigerung des EU BIP um 0.6% - 95 Milliarden Euro Theoretische Auswirkung 

© 2021 Karakun AG – For internal use only. 17 Einsatz OSS nach Unternehmensgröße @hendrikEbbers [email protected] Wir setzen OSS ein Wir setzen kein OSS ein Weiß nicht / Keine Angabe 65% 32% 71% 24% 78% 19% 86% 12% 100 bis 199 Mitarbeiter 200 bis 499 Mitarbeiter 500 bis 1.999 Mitarbeiter Ab 2.000 Mitarbeiter 

© 2021 Karakun AG – For internal use only. 18 OSS Strategie in Unternehmen @hendrikEbbers [email protected] 19% 21% 27% 31% 81% 76% 70% 63% 100 bis 199 Mitarbeiter 200 bis 499 Mitarbeiter 500 bis 1.999 Mitarbeiter Ab 2.000 Mitarbeiter OSS-Strategie vorhanden Keinerlei OSS-Strategie Weiß nicht / Keine Angabe 

© 2021 Karakun AG – For internal use only. 19 Open Source Policy in Unternehmen @hendrikEbbers [email protected] Nein 79 % Ja 17 % Weiß nicht / keine Angabe 4 % Gibt es in Ihrem Unternehmen eine OSS-Policy? • Richtlinien und Regeln zum Umgang mit OSS in Ihrem Unternehmen • Niedergeschrieben und für alle Mitarbeiter einsehbar • Hier geht es nicht nur um die Nutzung von Open Source 

© 2021 Karakun AG – For internal use only. 20 Open Source Nutzung in Unternehmen @hendrikEbbers [email protected] Einzelne Fachabteilungen Einzelne Mitarbeiter Geschäftsführung Externe Dienstleister Weiß nicht/keine Angaben 58 % 30 % 5 % 5 % 2 % Wer treibt im Unternehmen das Thema OSS voran? • Geldgeber sind oft nicht in Prozesse involviert • Entstehung von Wissens-Silos • Nutzung ohne professionelle Absicherung bzgl. Support und Lizenzen 

© 2021 Karakun AG – For internal use only. 21 Open Source Nutzung in Unternehmen @hendrikEbbers [email protected] Open Source Projekt Unternehmen "Danke für die kostenlose Software" 

© 2021 Karakun AG – For internal use only. 22 Open Source Program Office (OSPO) • Zentrale Stelle zum (strategischen) Umgang mit OSS im Unternehmen • Lizenzen, Best Practices, geteiltes Wissen, Aufbau einer Community • Nicht das Rad in jeder Abteilung neu erfinden! • Mehr und mehr Firmen führen Open Source Program Offices ein @hendrikEbbers [email protected] “Without an OSPO, teams across Microsoft would probably have to do a lot more manual compliance work..." Stormy Peters, the director of Microsoft’s open source programs of fi ce 

© 2021 Karakun AG – For internal use only. 23 Nächste Schritte im Unternehmen @hendrikEbbers [email protected] • Schlüsselfiguren müssen identifiziert werden • Strategie muss identifiziert werden • Thema muss zentral platziert werden 
 
 • Es ist immer sinnvoll mit Partnern zu reden, die den Prozess schon erfolgreich durchlaufen haben bzw. externe Unterstützung einkaufen 

© 2021 Karakun AG – For internal use only. 24 Bedenken zu Open Source 

© 2021 Karakun AG – For internal use only. 25 Bedenken zu Open Source • Unsichere Zukunft der Software • Kein Support bzw. kein Enterprise Produkt • Unsicherheit bzgl. Lizenzen • Fehlende Dokumentation & Schulungsmöglichkeiten • Geschäftsmodell unklar @hendrikEbbers [email protected] 

© 2021 Karakun AG – For internal use only. 26 @hendrikEbbers [email protected] Wie sicher ist Open Source? 

© 2021 Karakun AG – For internal use only. 27 Veröffentlichte Schwachstellen in OS @hendrikEbbers [email protected] 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 2020 10.000 7.500 5.000 2.500 0 

© 2021 Karakun AG – For internal use only. 28 Veröffentlichte Schwachstellen in OS @hendrikEbbers [email protected] • Sind steigende Zahlen in Diagrammen immer ein schlechtes Zeichen? 
 • Wie sehen die Zahlen für Closed Source aus? 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 2020 0 ? ? ? ? ? ? ? ? ? ? ? ? 

© 2021 Karakun AG – For internal use only. 29 Veröffentlichte Schwachstellen in OS @hendrikEbbers [email protected] • Zahlen steigen, da • Open Source Aktivitäten immer weiter zunehmen • Immer mehr "CVE Numbering Authorities" (CNAs) die Schwachstellen melden • Automatisierung von Scans und Fehlererkennung 

© 2021 Karakun AG – For internal use only. 30 Veröffentlichte Schwachstellen in OS @hendrikEbbers [email protected] • Zahlen steigen, da • Open Source Aktivitäten immer weiter zunehmen • Immer mehr "CVE Numbering Authorities" (CNAs) die Schwachstellen melden • Automatisierung von Scans und Fehlererkennung Analogie zu Erhöhung der Coronatests in den letzten Jahren: 
 Eine Erhöhung der Tests hat uns immer besser gezeigt wie die Realität aussieht... 

© 2021 Karakun AG – For internal use only. 31 Open Source - Die große Unbekannte @hendrikEbbers [email protected] Die Digitale Infrastruktur unseres Unternehmens Ein Projekt das irgendeine Person in Nebraska seit 2013 in der Freizeit entwickelt 

© 2021 Karakun AG – For internal use only. 32 Open Source - Die große Unbekannte @hendrikEbbers [email protected] • Das Problem liegt nicht in der einzelnen Person in Nebraska 
 
 
 
 
 Das Problem liegt in der fehlenden OSS Strategie 

© 2021 Karakun AG – For internal use only. 33 Open Source - Die große Unbekannte @hendrikEbbers [email protected] • Heute bieten Firmen oft kommerzielle Supportoptionen für OSS • Bei Open Source ist dies viel transparenter als bei Closed Source 
 
 
 Firmen können OSS kostenlos einsetzen, müssen es aber nicht 

© 2021 Karakun AG – For internal use only. 34 Open Source - Die große Unbekannte @hendrikEbbers [email protected] • Heute bieten Firmen oft kommerzielle Supportoptionen für OSS • Bei Open Source ist dies viel transparenter als bei Closed Source 
 
 
 Firmen müssen erkennen, welche OSS Projekte intern eingesetzt werden und diese bewerten 

© 2021 Karakun AG – For internal use only. 35 Bedenken zu Open Source • Unsichere Zukunft der Software • Kein Support bzw. kein Enterprise Produkt • Unsicherheit bzgl. Lizenzen • Fehlende Dokumentation & Schulungsmöglichkeiten • Geschäftsmodel unklar @hendrikEbbers [email protected] 

© 2021 Karakun AG – For internal use only. 36 Bedenken zu Open Source • Unsichere Zukunft der Software • Kein Support bzw. kein Enterprise Produkt • Unsicherheit bzgl. Lizenzen • Fehlende Dokumentation & Schulungsmöglichkeiten • Geschäftsmodel unklar • Fehlendes Know-How bzgl. Open Source im Unternehmen @hendrikEbbers [email protected] Gilt jeweils nur für eine Teilmenge 

© 2021 Karakun AG – For internal use only. 37 Mehr Sicherheit durch Open Source 

© 2021 Karakun AG – For internal use only. 38 Veröffentlichte Schwachstellen in OS @hendrikEbbers [email protected] 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 2020 10.000 7.500 5.000 2.500 0 

© 2021 Karakun AG – For internal use only. 39 Veröffentlichte Schwachstellen in OS • Jedes Software-Projekt hat eine 59% Chance, dass es zu einer Sicherheits-Schwachstelle in den nächsten 12 Monaten kommt 
 
 
 • Common Vulnerabilities and Exposures (CVE) in OSS werden in offenen Datenbanken verwaltet (http://cve.mitre.org) @hendrikEbbers [email protected] (laut GitHub) 

© 2021 Karakun AG – For internal use only. 40 Sicherheit mit Open Source • Transparenz erhöht Sicherheit • Moderne Workflows & Tools erhöhen Sicherheit • Automatisierung erhöht Sicherheit • Zusammenarbeit erhöht Sicherheit @hendrikEbbers [email protected] 

© 2021 Karakun AG – For internal use only. 41 Sicherheit mit Open Source • Transparenz erhöht Sicherheit • Moderne Workflows & Tools erhöhen Sicherheit • Automatisierung erhöht Sicherheit • Zusammenarbeit erhöht Sicherheit @hendrikEbbers [email protected] 23.04.2012 Sicherheitslücke ist entstanden 08.07.2020 Sicherheitslücke wird ge fi xt 15.07.2020 Über 5 Millionen Open Source Projekte werden benachrichtigt 02.10.2020 Über 40% der Projekte nutzen aktuelle Version ohne Sicherheitslücke 02.07.2020 Sicherheitslücke wird gemeldet Schwerwiegende CVE in Lodash (extrem weitläufig genutzte JavaScript Bibliothek) 

© 2021 Karakun AG – For internal use only. 42 Open Source Lizenzen 

© 2021 Karakun AG – For internal use only. 43 Open Source Lizenzen @hendrikEbbers [email protected] • In den Anfängen von Open Source gab es große Probleme mit Lizenzen • Projekte hatten teils keine Lizenz definiert / waren unlizensiert • Lizenzen waren nicht kompatibel zueinander • Lizenzen waren teils nicht juristisch sinnvoll (Beerware License) • Lizenzen waren teils nicht nutzbar im Enterprise Umfeld (Chicken Dance License) 

© 2021 Karakun AG – For internal use only. 44 Open Source Lizenzen @hendrikEbbers [email protected] • Heute haben sich einige gute und juristisch sinnvolle Lizenzen etabliert • Lizenzen teilen sich generell auf in Copyleft Lizenzen und Permissive Lizenzen 
 • Copyleft: abgeleiteter Code muss Lizenzbedingungen übernehmen 
 • Permissive: mehr Freiheit für die Wiederverwendung & Änderung Beispiele: GPL, EPL Beispiele: Apache, MIT 

© 2021 Karakun AG – For internal use only. 45 Open Source Lizenzen @hendrikEbbers [email protected] • Tooling ermöglicht die Verwaltung der genutzten Lizenzen • Tooling ermöglicht die Überprüfung der genutzten Lizenzen • Auch transitive Abhängigkeiten werden beachtet • Experten für technische und rechtliche Fragen sind vorhanden • Ein Open Source Program Office kann das Thema Lizenzen zentral bearbeiten und bei offenen Punkte Experten einbeziehen 

© 2021 Karakun AG – For internal use only. 46 Fazit und Ausblick 

© 2021 Karakun AG – For internal use only. 47 Open Source - Fazit @hendrikEbbers [email protected] • Open Source hat andere Schwachstellen, als man denkt • Probleme entstehen durch falsche Bewertung im Unternehmen • Probleme entstehen durch zu wenig Ressourcen 
 
 
 • Worst Case: Wir nutzen beliebige Komponenten die nicht (mehr) gewartet werden und investieren nicht in diese 

© 2021 Karakun AG – For internal use only. 48 Open Source - Fazit @hendrikEbbers [email protected] • Sicherheit und Lizenz-Management werden durch Tools abgedeckt • Hinter OSS stehen oft Firmen oder Open Source Foundations • (Kommerzieller) Support ist oft vorhanden • Bewertung/Audit fällt leichter als bei Closed Source 
 
 • Best Case: Wir haben eine zentrale Abteilung (OSPO) die Wissen & Policy aufbaut und OSS sinnvoll in die Firma integriert 

© 2021 Karakun AG – For internal use only. 49 Wir helfen ihnen bei der Erstellung ihrer Open Source Strategie nicht nur 

Karakun GmbH Selkamp 12 
 44287 Dortmund 
 Deutschland T. E. W. +49 231 3970 9753 
 [email protected] www.karakun.com [email protected] +49 231 3970 9753 @hendrikEbbers https://www.xing.com/profile/Hendrik_Ebbers https://www.linkedin.com/in/hendrik-ebbers/ https://github.com/hendrikebbers 

Karakun GmbH Selkamp 12 
 44287 Dortmund 
 Deutschland T. E. W. +49 231 3970 9753 
 [email protected] www.karakun.com