Information und Bildungsarbeit von und für die SAP-Community

Best Practices für den Geschäftserfolg mit Open-Source-Software

Im SAP-Ökosystem gewinnt Open-Source-Software (OSS) eine immer größere Bedeutung. Auch bei Firmen, die meinen, selbst keine OSS einzusetzen, werden häufig Dutzende oder Hunderte OSS-Komponenten bei Audits oder Scans gefunden.
Ralf Meyer, Synomic
16. Januar 2020
Open-Source
avatar

Wichtig sind für Software-Anbieter und Anwender hierbei nicht nur die richtige Software- Komponenten, sondern auch die dazu passenden Strategien, Geschäftsmodelle, Prozesse und Werkzeuge einzusetzen.

Der springende Punkt für kommerzielle Anwender ist, ob sie bereit und in der Lage sind, die Lizenzbedingungen von eingesetzten Open-Source-Komponenten richtig einzuschätzen, damit Lizenzbedingungen nicht im Widerspruch zum eigenen Geschäftsmodell stehen und auch deren Einhaltung sichergestellt werden kann.

Die Entwicklung und der Vertrieb von OSS sind inzwischen von einer Vielzahl von Geschäfts- und Lizenzmodellen geprägt. So findet man neben klassischen Community-Lösungen wie zum Beispiel der Apache-Foundation auch Distributoren und Dienstleister wie zum Beispiel für Linux.

Der richtige – noch mehr der falsche – Einsatz von OSS kann enorme Auswirkungen auf den Geschäftserfolg von Firmen haben, da dies spätestens beim Firmenverkauf (M&A), bei Venture Capital oder Private-Equity-Investitionen, aber auch beim Wiederverkauf von Softwarelösungen durch die SAP (Resell/OEM/SolEx) im Detail geprüft wird.

Fehler beim Einsatz von OSS führen dann häufig zu hohen Reparaturaufwänden oder zum Abbruch von vielversprechenden Projekten und Geschäftschancen. Gefährdet sind aber auch die eigenen Kunden, denn man kann nur dann OSS an Kunden weitergeben, wenn man die entsprechenden Lizenzbedingungen einhält.

Ein nicht lizenzkonformer Einsatz von OSS bei Kunden kann zu teuren Konsequenzen wie Unterlassungsklagen, Schadensersatzzahlungen, Nachlizenzierungen oder Stilllegungen führen.

Auch aus diesem Grund sollte jede einzelne OSS-Komponente vor dem kommerziellen Einsatz identifiziert und überprüft werden. Wichtig ist, passende Richtlinien, Prozesse und Werkzeuge als eine wirksame Open-­Source-Governance zu implementieren, die unter anderem folgende Punkte abdecken sollte:

zum einen die Auswahl des am besten geeigneten und ausgereiften Open-Source-Codes, der den Anforderungen des eigenen Unternehmens gerecht wird, und zum anderen eine möglichst automatische Erkennung und Identifikation von Open-­Source-Softwarekomponenten und deren Lizenzen mit Audit- und Com­pliance-Funktionen.

Außerdem sollte Open-Source-Governance auch OSS-Code-Management inklusive Inventarisierung, Dokumentation und Nachverfolgung miteinschließen.

Bei den meisten mobilen-, aber inzwischen auch bei vielen Windows- & Mac-Anwendungen werden Benutzer automatisch über die Verfügbarkeit neuer Versionen informiert, die meist nicht nur die Funktionalität erweitern, sondern bekannte Fehler beheben und Sicherheitslücken schließen.

Dies ist jedoch bei den meisten Open-Source-Komponenten nicht der Fall, zumal sie ja „nur“ als Komponenten in Anwendungen „verbaut“ sind. Leider berichtet die Fachpresse erst dann über akute Sicherheitsrisiken, wenn bereits Hunderttausende Systeme betroffen sind und/oder ein großer Schaden entstanden ist.

Softwareentwickler müssen sich meist mühsam und zeitaufwändig selbst über aktuelle und neue Versionen informieren und aktiv werden. Noch viel schwieriger wird dies, wenn Open-Source-Komponenten selbst wieder in anderen Komponenten verbaut sind, was oftmals der Fall ist.

Daher sind im Gegensatz zu den von der Presse berichteten Fällen wie WannaCry und Petya die meisten kritischen Bedrohungen gar nicht auf dem Radar von Entwicklern und IT-Managern.

Hier setzen OSS-Überwachungslösungen für Softwareentwickler wie Snyk an, die nicht nur automatisch eine vollständige Inventurliste erzeugen, sondern proaktiv vor Sicherheitslücken in den eingesetzten Komponenten warnen und deren Austausch vereinfachen helfen.

Möglich wird dies durch eine große Datenbank zu OSS-Komponenten und Sicher­heitsrisiken sowie die enge Integration in neue Softwaretechnologien.

Gerade durch den Einsatz von neuen Technologien wie Container können neue Sicherheitsrisiken entstehen, die nur durch eine wirksame Überwachung minimiert werden können.

avatar
Ralf Meyer, Synomic

Ralf Meyer ist Geschäftsführer von Synomic und Mitgründer der IA4SP.


Schreibe einen Kommentar

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren.

Veranstaltungsort

Mehr Informationen folgen in Kürze.

Veranstaltungsdatum

Mittwoch, 21. Mai, und
Donnerstag, 22. Mai 2025

Early-Bird-Ticket

Verfügbar bis Freitag, 24. Januar 2025
EUR 390 exkl. USt.

Reguläres Ticket

EUR 590 exkl. USt.

Veranstaltungsort

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Veranstaltungsdatum

Mittwoch, 5. März, und
Donnerstag, 6. März 2025

Tickets

Reguläres Ticket
EUR 590 exkl. USt
Early-Bird-Ticket

Verfügbar bis 20. Dezember 2024

EUR 390 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2025, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.