Best Practices für den Geschäftserfolg mit Open-Source-Software
Wichtig sind für Software-Anbieter und Anwender hierbei nicht nur die richtige Software- Komponenten, sondern auch die dazu passenden Strategien, Geschäftsmodelle, Prozesse und Werkzeuge einzusetzen.
Der springende Punkt für kommerzielle Anwender ist, ob sie bereit und in der Lage sind, die Lizenzbedingungen von eingesetzten Open-Source-Komponenten richtig einzuschätzen, damit Lizenzbedingungen nicht im Widerspruch zum eigenen Geschäftsmodell stehen und auch deren Einhaltung sichergestellt werden kann.
Die Entwicklung und der Vertrieb von OSS sind inzwischen von einer Vielzahl von Geschäfts- und Lizenzmodellen geprägt. So findet man neben klassischen Community-Lösungen wie zum Beispiel der Apache-Foundation auch Distributoren und Dienstleister wie zum Beispiel für Linux.
Der richtige – noch mehr der falsche – Einsatz von OSS kann enorme Auswirkungen auf den Geschäftserfolg von Firmen haben, da dies spätestens beim Firmenverkauf (M&A), bei Venture Capital oder Private-Equity-Investitionen, aber auch beim Wiederverkauf von Softwarelösungen durch die SAP (Resell/OEM/SolEx) im Detail geprüft wird.
Fehler beim Einsatz von OSS führen dann häufig zu hohen Reparaturaufwänden oder zum Abbruch von vielversprechenden Projekten und Geschäftschancen. Gefährdet sind aber auch die eigenen Kunden, denn man kann nur dann OSS an Kunden weitergeben, wenn man die entsprechenden Lizenzbedingungen einhält.
Ein nicht lizenzkonformer Einsatz von OSS bei Kunden kann zu teuren Konsequenzen wie Unterlassungsklagen, Schadensersatzzahlungen, Nachlizenzierungen oder Stilllegungen führen.
Auch aus diesem Grund sollte jede einzelne OSS-Komponente vor dem kommerziellen Einsatz identifiziert und überprüft werden. Wichtig ist, passende Richtlinien, Prozesse und Werkzeuge als eine wirksame Open-Source-Governance zu implementieren, die unter anderem folgende Punkte abdecken sollte:
zum einen die Auswahl des am besten geeigneten und ausgereiften Open-Source-Codes, der den Anforderungen des eigenen Unternehmens gerecht wird, und zum anderen eine möglichst automatische Erkennung und Identifikation von Open-Source-Softwarekomponenten und deren Lizenzen mit Audit- und Compliance-Funktionen.
Außerdem sollte Open-Source-Governance auch OSS-Code-Management inklusive Inventarisierung, Dokumentation und Nachverfolgung miteinschließen.
Bei den meisten mobilen-, aber inzwischen auch bei vielen Windows- & Mac-Anwendungen werden Benutzer automatisch über die Verfügbarkeit neuer Versionen informiert, die meist nicht nur die Funktionalität erweitern, sondern bekannte Fehler beheben und Sicherheitslücken schließen.
Dies ist jedoch bei den meisten Open-Source-Komponenten nicht der Fall, zumal sie ja „nur“ als Komponenten in Anwendungen „verbaut“ sind. Leider berichtet die Fachpresse erst dann über akute Sicherheitsrisiken, wenn bereits Hunderttausende Systeme betroffen sind und/oder ein großer Schaden entstanden ist.
Softwareentwickler müssen sich meist mühsam und zeitaufwändig selbst über aktuelle und neue Versionen informieren und aktiv werden. Noch viel schwieriger wird dies, wenn Open-Source-Komponenten selbst wieder in anderen Komponenten verbaut sind, was oftmals der Fall ist.
Daher sind im Gegensatz zu den von der Presse berichteten Fällen wie WannaCry und Petya die meisten kritischen Bedrohungen gar nicht auf dem Radar von Entwicklern und IT-Managern.
Hier setzen OSS-Überwachungslösungen für Softwareentwickler wie Snyk an, die nicht nur automatisch eine vollständige Inventurliste erzeugen, sondern proaktiv vor Sicherheitslücken in den eingesetzten Komponenten warnen und deren Austausch vereinfachen helfen.
Möglich wird dies durch eine große Datenbank zu OSS-Komponenten und Sicherheitsrisiken sowie die enge Integration in neue Softwaretechnologien.
Gerade durch den Einsatz von neuen Technologien wie Container können neue Sicherheitsrisiken entstehen, die nur durch eine wirksame Überwachung minimiert werden können.