Social Media Marketing | Status Quo. Chancen. Risiken. Strategie. Praxistipps.
Risiken von Open Source Software
-
Upload
university-of-bern-official -
Category
Technology
-
view
2.429 -
download
0
description
Transcript of Risiken von Open Source Software
Risiken von Open Source Software
Dr. Matthias Stürmer, Ernst & Young
ISACA After Hours Seminar30. August 2011, Zürich
30. August 2011 | 1ISACA AHS – Risiken von Open Source Software
CV Matthias Stürmer
Background
• Senior, Advisory, EMEIA Financial Services
• Matthias Stürmer joined Ernst & Young in 2010and is based in Bern, Switzerland
• lic.rer.pol. in studies of business administration and computer science at University of Bern
• Dr. sc. ETH Zürich with doctoral dissertation at the Chair of Strategic Management and Innovation of ETH Zürich
• Research on innovation strategies, knowledge theory, technology management and software development focusing on open source communities and firm involvement
• Founder and secretary of the Swiss National Parliamentarian Group for Digital Sustainability
• Member of the Board of Swiss Open Systems User Group /ch/open
• Languages: German (native), English (fluent), Spanish (working knowledge), French (working knowledge)
Phone: +41 58 286 61 97
Mobile: +41 58 289 61 97
Email: [email protected]
Skills
• Advisory on open source project management, open source community building and governance, open source licenses, open source software and technologies
• Advisory on software development methodologies, software architecture assessments, software development project management, vendor lock-in analysis
• Advisory on Internet standards and formats, web technologies and frameworks, content management systems
• Advisory on Open Government Data initiatives, technologies, and policies
• Advisory on social media governance, social media strategies, social media platforms, tools, and technologies
30. August 2011 | 2ISACA AHS – Risiken von Open Source Software
Agenda
1. Wie Open Source Projekte funktionieren
2. Vorteile, Risiken und Good Practices mit Open Source
3. Professioneller Einsatz von Open Source Software
4. Rechtliche Grundlagen von Open Source
5. Fazit und Ausblick
Inhalte dieser Präsentation basieren weitgehend auf der Publikation vonErnst & Young “Open Source Software im geschäftskritischen Einsatz”
http://www.ey.com/CH/de/Services/Advisory/IT-Risk-and-Assurance
30. August 2011 | 3ISACA AHS – Risiken von Open Source Software
Wie Open Source Projektefunktionieren1.
30. August 2011 | 4ISACA AHS – Risiken von Open Source Software
Hintergrundwissen zu Open Source Software
Definition von Open Source
Ein Software-Produkt wird als Open Source Software bezeichnet, wenn es unter einer der rund 70 von der Open Source Initiative (OSI, www.opensource.org) abgesegneten Lizenzen veröffentlicht ist.
Eine solche Lizenz besagt (unter anderem) :
1. Der Quelltext der Software liegt in einer für Menschen verständlichen Form vor.
2. Die Software darf beliebig kopiert, verbreitet und genutzt werden.
3. Die Software darf verändert und in der veränderten Form weitergegeben werden.
30. August 2011 | 5ISACA AHS – Risiken von Open Source Software
Hintergrundwissen zu Open Source Software
Open Source Projekte und Communities
Kern-entwickler
Aktive Benutzer
Beitragende Entwickler
Op
en
So
urc
e C
om
mu
nit
yInaktive Benutzer
Mitw
irke
nd
e
30. August 2011 | 6ISACA AHS – Risiken von Open Source Software
Hintergrundwissen zu Open Source Software
Community Building Prozess
Open Source Projekt
30. August 2011 | 7ISACA AHS – Risiken von Open Source Software
Hintergrundwissen zu Open Source Software
Häufige Vorurteile
«Für Open Source Software gibt es keinen Support»
«Die rechtliche Situation bei Open Source ist unklar»
«Open Source Software ist gratis»
«Open Source Software ist wenig verbreitet»
«Bei Open Source Software gibt es
keine Qualitätssicherung»
«Es gibt keine Open Source Fachapplikationen»
30. August 2011 | 8ISACA AHS – Risiken von Open Source Software
Vorteile, Risiken und Good Practices mit Open Source2.
30. August 2011 | 9ISACA AHS – Risiken von Open Source Software
Vorteile und Good Practices
Vorteile von Open Source Software Risiken von Open Source Software
KosteneinsparungenGood Practices:
Kontrolle über Software und DatenGood Practice:
ReputationsgewinnGood Practice:
Rasche VerbreitungGood Practice:
Vendor Risk Assessment
Open Source Marketing
Open Source Project Management
+Software Portfolio Assessment
Total Cost of Ownership Analysis
Shared Maintenance
30. August 2011 | 10ISACA AHS – Risiken von Open Source Software
Ausnützen der Vorteile: Good Practices
• Keine Verpflichtung bei der Anbieterwahl
• Skalierbarkeit der Lizenzen in einer Cloud-Umgebung
• Migration wichtig realistisch zu rechnen
Kosteneinsparungen Kontrolle über Software und Daten
• Source Code öffentlich einsehbar
• Keine Backdoors, keine Aktivierung, keine Registrierung
• Daten jederzeit zugänglich Dank offenen Standards
• Software-Anpassungen direkt ausgeführen
• Abhängigkeiten zu Software-Anbietern nicht auszuschliessen
Referenz: Workshop für OOXML-Verbesserungenbei LibreOffice/OpenOffice.org
Referenz: Evaluation von Open SourceIntranet-Lösungen für eine Pensionskasse
30. August 2011 | 11ISACA AHS – Risiken von Open Source Software
Ausnützen der Vorteile: Good Practices
Reputationsgewinn Rasche Verbreitung
• Positive Medienpräsenz bei Engagement für Open Source
• Vorbildliches «Digital Citizenship»
• Öffentliche Institutionen betreiben Innovationsförderung
• Gewinn an Arbeitgeberattraktivität für gute Informatiker
• Rasche und ungehinderte Verbreitung von Open Source
• Etablierung in gesättigtem Markt möglich
• Basis für Geschäftsmodell mit Services und Erweiterungen
• Community Management generiert externe Beiträge
Referenz: Entwicklung der Open Source Governance Richtlinienfür neues Open Source Projekt
30. August 2011 | 12ISACA AHS – Risiken von Open Source Software
Verletzung der Open Source LizenzbestimmungenGood Practices:
Unkontrollierter Einsatz von Open Source SoftwareGood Practices:
Support nicht gesichertGood Practice:
Migration auf Open Source misslingtGood Practice:
Quality Assessment Framework
Support Assessment
Integration Strategy
-Software Licensing Compliance
Software Development Guidelines
Enterprise Architecture Governance
Risiken und Risikominimierung
Vorteile von Open Source Software Risiken von Open Source Software
30. August 2011 | 13ISACA AHS – Risiken von Open Source Software
Risikominimierung: Good Practices
Verletzung der Open Source Lizenzbestimmungen
Unkontrollierter Einsatz vonOpen Source Software
• Einhaltung aller Lizenzregelungen eine Herausforderung
• Lizenz kann Veröffentlichung des Source Codes erzwingen
• Kennen der Open Source Lizenzen wichtig
• Rechtliche Risiken beim Open Source Einsatz abwägen
• Systematische Evaluation von Open Source notwenig
• Open Source Charakteristiken berücksichtigen
• IT Architekturvorgaben können umgangen werden
• Wildwuchs an eingesetzten Produkten und Komponenten
30. August 2011 | 14ISACA AHS – Risiken von Open Source Software
Risikominimierung: Good Practices
Support nicht gesichert Migration auf Open Source misslingt
• Unterscheidung von Open Source Koordination
• Organisations-geleitete vs. Community-getriebene Open Source Projekte
• Entweder Service Level Agreements abschliessen …
• … oder mit Community und Entwickler zusammenarbeiten
• Klassische Migrations-Herausforderungen plus einige weitere
• Schwierige Integration wegen proprietären Umsystemen
• Endanwender oft kritisch eingestellt wegen fehlenden Brands
• Hybride Architektur und Power User Integration zu empfehlen
30. August 2011 | 15ISACA AHS – Risiken von Open Source Software
Good Practice: Open Source Strategie
Eine integrierte Open Source Strategie unterstützt nachhaltigenErfolg in der IT.
Mögliche Elemente einer Open Source Strategie
Vorteile und Risiken von Open Source Software bezogen auf die Organisation
Generelle Richtlinien und Ziele zu Open Source Software
Vorgaben zur Reduktion von Abhängigkeiten zu proprietärer Software
Berücksichtigung von Open Source Lösungen bei Software-Beschaffungen
Vorgaben bezüglich Open Source Lizenzen, beispielsweise Pure Open Source oder auch Open Core
Kriterien zur Evaluation von Open Source Software
Regelung betreffend Freigabe von Open Source Software
Aus- und Weiterbildung bezüglich Open Source Technologien, Organisation, Lizenzen etc.
Umsetzungsmassnahmen der Strategieziele wie Studie, Pilotprojekte, Kompetenzstelle etc.
Referenz: Open Source Strategiefür den Kanton Basel-Stadt
30. August 2011 | 16ISACA AHS – Risiken von Open Source Software
Professioneller Einsatzvon Open Source3.
30. August 2011 | 17ISACA AHS – Risiken von Open Source Software
Professioneller Einsatz von Open Source
1. Einsatz ohne professionellen Support
Szenario Open Source Software gratis aus dem Internet laden und so wie sie ist einsetzen
Einsatzbereich Nicht geschäftskritische Bereiche
Zielgruppe Private, kleine und mittlere Unternehmen, kleine Schulen, Non-Profit Organisationen
Vorteile • Niedrige Kosten
• Rasche Umsetzung
Nachteile • Kein garantierter Support
• Keine Haftungsansprüche
Risiko und Absicherung Hohes Risiko: Es bestehen keinerlei Support-Verträge oder Garantien
30. August 2011 | 18ISACA AHS – Risiken von Open Source Software
Professioneller Einsatz von Open Source
2. Einsatz mit internem Support
Szenario Interner Aufbau von Knowhow und Ressourcen zu bestimmten Open Source Lösungen, um diese intensiv und langfristig einzusetzen
Einsatzbereich Geschäftskritische Bereiche und wettbewerbsdifferenzierende Technologien
Zielgruppe Grossunternehmen, öffentliche Verwaltungen, grosse Institutionen
Vorteile • Hohe Flexibilität dank internem Knowhow
• Keine Anbieterabhängigkeiten
Nachteile • Hohe Investitionen und grosser Zeitaufwand durch Knowhow-Aufbau
• Höhere interne Fixkosten durch mehr Mitarbeitende
• Keine Zertifizierungen für Hardware und Software
Risiko und Absicherung Mittleres Risiko: Der Support hängt von Knowhow und Verfügbarkeit der internen IT ab
30. August 2011 | 19ISACA AHS – Risiken von Open Source Software
Professioneller Einsatz von Open Source
3. Einsatz durch externen Anbieter
Szenario Unterstützung durch einen externen Open Source Anbieter, um Open Source Software rasch zu integrieren und anzupassen
Einsatzbereich Geschäftskritische Bereiche, in denen unmittelbar vertieftes Knowhow der Software verfügbar sein muss
Zielgruppe Grossunternehmen, öffentliche Verwaltungen, grosse Institutionen
Vorteile • Direkter Zugang zum Knowhow der Open Source Entwickler
• Korrekturen und Weiterentwicklung auf Auftragsbasis
• Auswahl verschiedener Open Source Anbieter
• Weitere Vorteile gemäss Service Level Agreement
Nachteile • Externe Kosten durch Open Source Anbieter
• Knowhow-Abhängigkeit zum Open Source Anbieter
Risiko und Absicherung Niedriges Risiko: Gewährleistung geschieht gemäss Auftragsbeschreibung oder Service Level Agreement
30. August 2011 | 20ISACA AHS – Risiken von Open Source Software
Was ist ein Open Source Anbieter?
• Selber Open Source Lösung lanciert haben oder zumindest massgeblich an deren Weiterentwicklung beteiligt
• Mitarbeitende als «Committer» im Open Source Projekt
• Verfügt über Knowhow für regelmässige Sicherheitsaktualisierungen und Upgrades
• Bietet Beratung für Open Source Produkte an, realisiert Software-Einführungen und Migrationen, entwickelt Verbesserungen und Erweiterungen und führt Schulungen durch
• Bietet mittels Support-Verträgen während verbindlich deklarierter Zeitspanne Unterstützung für bestimmte Software-Version an
• Ermöglicht grundlegende Weiterentwicklung der Open Source Software und sichert nachhaltiges Bestehen
30. August 2011 | 21ISACA AHS – Risiken von Open Source Software
Service Level Agreements für Open SourceLösungen
Mögliche Leistungen von Open Source Anbietern
Direkter Zugang zum Knowhow der Kernentwickler der Open Source Software
Definierte Antwortzeiten für Support-Anfragen
Support über verschiedene Kanäle (Web, VPN, Email, Chat, Telefon, Remote-Desktop, vor Ort)
Angebot von professionellen Dokumentationen, Schulungen und Zertifizierungskursen
Zeitnahe, pro-aktive und kundenfreundliche Auslieferung von Security Patches
Zugesicherte, regelmässige Software Releases und Updates
Garantie für Kompatibilität mit anderen Software-Lösungen
Zertifizierungen für bestimmte Hardware und proprietäre Software-Systeme
Integration von Korrekturen und Erweiterungen in die Hauptentwicklungsversion
Absicherung gegen Rechtsansprüche am geistigen Eigentum (Copyright, Patente)
Haftung bei Unterbrüchen und Fehlfunktionen
Bereitstellung zusätzlicher proprietärer Erweiterungen und Hilfswerkzeuge
30. August 2011 | 22ISACA AHS – Risiken von Open Source Software
Geschäftsmodelle mit Open Source Software
• Dienstleistungen rund um Open Source Software:
• Beratung
• Installation, Integration
• Anpassungen, Erweiterungen
• Schulungen, Workshops
• Betrieb, Wartung (Service Level Agreements)
• Lizenzverkauf von proprietären Erweiterungen (Open Core)
• Verkauf einer Distribution von Open Source Paketen (Red Hat)
• Verkauf von Werbung (Google Android)
• Verkauf von Hardware (IBM, HP)
• Dual Licensing (MySQL)
30. August 2011 | 23ISACA AHS – Risiken von Open Source Software
Dual Licensing
• Urheber kann Software beliebig lizenzieren
• Veröffentlichung identischer Software unter zwei unterschiedlichen Lizenzen, typischerweise eine restriktive Open Source Lizenz (GPL) und eine proprietäre Lizenz
• Nutzung der Vorteile beider Welten:
Proprietäre Lizenz Open Source Lizenz
Vorteile fürLizenzgeber
• Umsatzgenerierung • rasche Verbreitung der Open Source Software -> Marktdurchdringung
• Hohe Anwenderzahl gut für Testen, Fehlersuche und Stabilität des Produkts
Vorteile fürLizenznehmer
• Code kann innerhalb eigener proprietärer Software weiterverwendet werden
• Keine Lizenzkosten
30. August 2011 | 24ISACA AHS – Risiken von Open Source Software
Rechtliche Grundlagenvon Open Source4.
30. August 2011 | 25ISACA AHS – Risiken von Open Source Software
46%
9%
8%
7%
6%
6%
5%
3%2%
1%7%
Verbreitung von Open Source Lizenzen
Andere
Mozilla Public License 1.1 (MPL)
Microsoft Public License (Ms-PL)
Code Project Open 1.02 License
Apache License 2.0
Berkeley Software Distribution License 2.0 (BSD)
GNU General Public License 3.0 (GPLv3)
Massachusetts Institute of Technology (MIT) License
GNU Library oder Lesser General Public License 2.1 (LGPL)
Artistic License
GNU General Public License 2.0 (GPLv2)
30. August 2011 | 26ISACA AHS – Risiken von Open Source Software
Die wichtigsten Open Source Lizenzen
Mit starkem Copyleft Schutz (ca. 52%)
• GNU Affero General Public License (AGPL)
• GNU General Public License (GPL)
Mit schwachem Copyleft Schutz (ca. 8%)
• GNU Library or LesserGeneral Public License (LGPL)
Ohne Copyleft Schutz (ca. 40%)
• MIT-, BSD- und Apache Licenses
• Mozilla Public License (MPL)
• (fast) alle anderenOSI-ratifizierten Lizenzen
30. August 2011 | 27ISACA AHS – Risiken von Open Source Software
Copyleft Effekt
• Copyleft bezweckt, dass ein bestimmter Source Code für immer frei erhältlich bleibt.
• Durch eine Copyleft Klausel geschützter Source Code darf immer nur unter der ursprünglichen Open Source Lizenz weitergegeben werden (sog. viraler Effekt).
• Der Copyleft Effekt verbietet:
• dass die veränderte Software („derived work“) proprietär vertrieben wird
• Der Copyleft Effekt verbietet nicht:
• die unveränderte Nutzung
• die Organisations-interne EntwicklungBeachten: Verbreitung von Software innerhalb einer Unternehmensgruppe gilt als Veröffentlichung -> Folge: Source Code muss intern mitgeliefert werden
• den Aufruf von Copyleft geschützten selbständigen Programmteilen durch proprietär vertriebene Software
Copyleft-Klausel, z.B. aus der GNU General Public License, version 3 (GPLv3)
“[…] If you distribute copies of such a program, whether gratis or for a fee, you must pass on to the recipients the same freedoms that you received. You must make sure that they, too, receive or can get the source code. And you must show them these terms so they know their rights. […]”
30. August 2011 | 28ISACA AHS – Risiken von Open Source Software
Unterschiede der wichtigsten Open Source Lizenzen
Starker Schutz der Freiheiten
Schwacher Schutz der Freiheiten
sog. Liberale Open Source Lizenzen
AG
PLv3
GP
L(v
2 u
nd
v3
)
LG
PLv3
Ap
ach
eL
ice
nse
2.o
MIT
L
ice
nse
& B
SD
L
ice
nse
Freier Zugang zum Quellcode Ja Ja Ja Ja Ja
Der Quellcode darf innerhalb der rechtlichen Einheit verändert und mit beliebiger anderer Software kombiniert werden.
Ja Ja Ja Ja Ja
Der Quellcode darf auf Webservern verschlossen bleiben: Wird die Software nicht physisch an Kunden oder Partner verteilt, sondern wird sie ausschliesslich beispielsweise auf einem Webserver den Benutzern zur Verfügung gestellt, muss der Quellcode nicht veröffentlicht werden.
Nein Ja Ja Ja Ja
Der Quellcode darf mit proprietärer Software verteilt werden: Solange LGPL lizenzierte Software ausschliesslich extern beispielsweise als Programmbibliothek aufgerufen wird, darf sie zusammen mit proprietärer Software verteilt werden.
Nein Nein Ja Ja Ja
Veränderungen dürfen verschlossen bleiben: Als wesentlicher Unterschied zu den Lizenzen der Free Software Foundation (AGPL, GPL und LGPL) erlauben liberale Lizenzen, dass der Quellcode in proprietäre Software eng integriert werden darf. Verbesserungen und Erweiterungen des Quellcodes müssen somit nicht mehr frei gegeben werden, sondern dürfen verschlossen bleiben.
Nein Nein Nein Ja Ja
Einzige Pflicht ist das Einfügen eines vorgegeben Copyright Vermerks und einer Haftungsausschlussklausel im Quellcode.
Nein Nein Nein NeinJa
Lizenzkompatibilität
30. August 2011 | 29ISACA AHS – Risiken von Open Source Software
License Compliance bei Open Source Software
Checkbox License Compliance bei Open Source Software
Wir wissen, ob in unserer Organisation Open Source Software eingesetzt wird
Wir wissen, unter welcher Lizenz die betreffende Open Source Software steht, und welche Auflagen folglich zu beachten sind.
Wir haben festgelegt, ob und wann bei uns GPL-Software in der Entwicklung verwendet werden darf
Unsere Programmierer sind sich bewusst, welche Folgen die Integrierung von GPL-lizenzierten Komponenten in unsere Software hat
Regelmässige Kontrollen stellen sicher, dass unsere internen Bestimmungen über den Umgang mit Open Source Software eingehalten werden
30. August 2011 | 30ISACA AHS – Risiken von Open Source Software
Fazit und Ausblick5.
30. August 2011 | 31ISACA AHS – Risiken von Open Source Software
Inhaltliche Zusammenfassung
Open Source ist keine Glaubensfrage• Klare Definition von Open Source: eine Software-Lizenz mit Freiheiten
• Objektive Vor- und Nachteile von Open Source Software
• Bei gleicher Produkte-Qualität ist Open Source von Vorteil ggü. proprietärer Software
Open Source Software muss gesteuert werden• Open Source Software ist allgegenwärtig
• Beschaffung und Einsatz von Open Source Software geschieht oft unkontrolliert
• Open Source Strategien und Policies zur Verbesserung der IT Governance
Volles Potential mittels Open Source Strategie nutzen• Vorteile für die eigene Organisation mittels Open Source Strategie nutzen
• Risiken frühzeitig erkennen und adressieren
• Umsetzungsmassnahmen festlegen und durchführen
Wissen aus erster Hand ist gefragt• Herausforderung: Vielfalt von Open Source Lösungen und Projekten
• Wissen und Erfahrung selber beschaffen oder Experten kontaktieren
Exe
cuti
ve
Su
mm
ary
30. August 2011 | 32ISACA AHS – Risiken von Open Source Software
Fazit Open Source Software aus Risiko-Sicht
Open Source Software ist weniger risikoreichals proprietäre Software• Nutzung von unveränderter Open Source Software ist völlig frei
-> Nutzung von unveränderter proprietärer Software ist stark eingeschränkt
• Interne Entwicklung von Open Source Software ist völlig frei-> Interne Entwicklung von proprietärer Software ist selten möglich
• Entwicklung und Weiterverteilung von Open Source Software ist teilweise eingeschränkt-> Entwicklung und Weiterverteilung von proprietärer Software ist
normalerweise verboten
Open Source Lizenzen sind nicht komplexerals proprietäre Lizenzen• Es existiert eine beschränkte Anzahl von Open Source Lizenzen
• 93% der Open Source Projekte setzen eine von 10 Open Source Lizenzen ein
• Proprietäre Software hat pro Hersteller und Produkte andere Lizenzbestimmungen
Risiken von Open Source Software beachten• Hauptproblem: Open Source Software hat Kommunikations- und Werbe-Defizit
• Spezifische Eigenschaften von Open Source Software kennen und Risiken beachten Exe
cuti
ve
Su
mm
ary
30. August 2011 | 33ISACA AHS – Risiken von Open Source Software
Unsere Dienstleistungen
Der gezielte Einsatz von Open Source Software bietet grosse Vorteile, birgt aber auch gewisse Risiken.
Mit der Erarbeitung einer Open Source Strategie, einem Software Portfolio Assessment, einer TCO-Analyse oder einem License Compliance Check helfen wir unseren Kunden, sowohl das volle Potential von Open Source auszuschöpfen als auch die Risiken zu minimieren.
Unsere Open Source Experten besitzen langjährige Erfahrung im Umgang mit Open Source Technologien und Communities und unsere Juristen prüfen kompetent die rechtlichen Aspekte im Zusammenhang mit Open Source Lizenzen.
Exe
cuti
ve
Su
mm
ary
30. August 2011 | 34ISACA AHS – Risiken von Open Source Software
Fragen & Antworten
?F
rag
en
&
An
two
rte
n