San Francisco, United States, 07. August, 2017„Mit credativ tritt ein weiterer wichtiger Open Source Partner in die OpenChain Community ein und hilft das Management von Open Source Software und deren Lizenzen einfacher und transparenter zu gestalten,“ sagt Shane Coughlan, OpenChain Program Manager. „Die credativ ist eine der frühen Supporter von Freier und Open Source Software, die der OpenChain Community beitritt. Sie haben sich den richtigen Zeitpunkt gewählt beizutreten. Wir freuen uns darauf in Zukunft eng zusammen zu arbeiten und durch den gemeinsamen Einfluss mehr Bewusstsein für das OpenChain Zertifikat in den Märkten wie Europa, Amerika und Indien zu schaffen.“
Weiterhin erklärt Dr. Michael Meskes, Geschäftsführer der credativ dazu folgendes:
„Es ist für uns eine großes Anliegen der OpenChain Community beizutreten. Durch unsere langjährige Erfahrung mit Open Source im betrieblichen Bereich kommen wir in Kontakt mit vielen verschiedenen Unternehmen und wissen den positiven Effekt von Open Source zu verbessern, nicht nur in technischen sondern auch in Compliance Fragen. Daher möchten wir durch unsere Konformität mit den OpenChain Spezifikationen die Bekanntheit dieses Projekts weiter vorantreiben, sodass in Zukunft mehr und mehr Unternehmen Vertrauen in Free und Open Source Software gewinnen. Einer der wichtigen Aspekte der OpenChain Zertifizierung ist, dass sie Vertrauen schafft, welches verankert in den Grundsätzen von Free und Open Source Software ist und somit einen essenziellen Beitrag zur allgemeinen Akzeptanz von Open Source beitragen kann.“
Das OpenChain Projekt identifiziert Schlüsselprozesse für effektives Open Source Software Komponenten Management. Zu diesen gehören unter anderem das Besitzen einer allgemeinen Free und Open Source Software Strategie, regelmäßiges Training aller Entwickler und Techniker, die bei der Entstehung von Software mitwirken, und die Festlegung von Standards im Umgang mit Lizenzen und genereller Kontribution zu verschiedenen Open Source Projekten. Behandelt sind zum Beispiel Themen wie Distribution von Software in Binary- oder in Source-Form, Modifikation oder Integration von Open Source Software Komponenten und Interaktionen verschiedener Lizenzen.
Auf diese Art macht es Management von Open Source Software Komponenten simpler, einheitlicher und schafft Vertrauen in Free und Open Source Software generell.
Die OpenChain Spezifikationen definieren eine Grundmenge von Vorgaben und Voraussetzungen die jedes Qualitäts Compliance Programm im Bereich von Open Source erfüllen muss. Das OpenChain Curriculum stellt zudem ein Basiswissen in Form von hilfreichen Dokumenten, die Prozesse und Lösungen in Verbindung mit Open Source Software erklären, und gleichzeitig einen Teil der OpenChain Spezifikationen erfüllen. Durch die OpenChain Conformance wird es Unternehmen ermöglicht die Beachtung und Einhaltung der vorgegebenen Regeln und Spezifikationen bekannt zu geben und gleichzeitig ein Teil der OpenChain Community zu werden.
Als Resultat dieser von OpenChain vorgegebenen Prozesse, wird Open Source Lizenzkonformität kalkulierbarer, einfacher zu verstehen und effizienter für alle Mitwirkenden in einer Software Lieferkette.
Unternehmen jeder Größe sind eingeladen das OpenChain Projekt zu begutachten und ihre komplett kostenfreie Online Selbst-Zertifizierung zu absolvieren, und somit der OpenChain Community of trust beizutreten.
Über credativ:
Die credativ ist ein herstellerunabhängiges Beratungs- und Dienstleistungsunternehmen mit Standorten in Deutschland, Spanien, Indien, den Niederlanden und den USA. Seit der Gründung in 1999 spezialisiert credativ sich auf die Planung und Realisierung professioneller Businesslösungen unter Verwendung von Free und Open Source Software. Mehr Informationen unter https://www.credativ.de
Über die Linux Foundation:
Die Linux Foundation ist das Unternehmen Ihrer Wahl für weltweit leitende Entwickler und Firmen um ein gemeinsames Ökosystem zu bauen durch welches die Entwicklung von offenen Technologien vorangetrieben und deren kommerzielle Adaption verbessert wird. Zusammen mit der weltweiten Open Source Community, beseitigt die Linux Foundation die herausfordernsten technologischen Probleme indem sie das größte Investment in gemeinsame Technologie der heutigen Zeit tätigt. Gegründet im Jahr 2000, bietet die Linux Foundation heutzutage Tools, Trainings und Events um mehr Bewusstsein für allerlei Open Source Projekte zu schaffen, welche gemeinsam eine wirtschaftliche Bedeutung darstellen, die nicht mit einem alleinigen Unternehmen erreichbar wäre. Mehr Informationen können unter https://www.linuxfoundation.org gefunden werden.
Die Linux Foundation hat und nutzt eingetragene und Markenrechtlich geschützte Namen und Logos. Eine Liste aller Marken sind auf der trademark usage page gelistet: https://www.linuxfoundation.org/trademark-usage. Linux ist eine eingetragene Marke von Linus Torvald.
OpenChain Blogpost: https://www.openchainproject.org/news/2017/08/07/openchain-welcomes-credativ
Ein Gastbeitrag von Thimo Hüller – Black Duck Software
Jedes Jahr werden über 4.000 neue, in Open Source Software (OSS) enthaltene Sicherheitslücken bekannt. Die Wahrscheinlichkeit, dass sich auch in Ihrem Software-Portfolio solche Schwachstellen befinden ist hoch.
Der erste Schritt zur Entwicklung und Betrieb von sicheren Anwendungen ist, solche verwundbaren Stellen in Ihrer Codebase zu identifizieren. Aber das ist nicht so einfach, denn in den verwendeten Plattformen, Libraries und Utilitycodes sind oft Hunderte, wenn nicht Tausende von Open-Source-Modulen integriert. Hinzu kommt, dass oftmals Elemente der Codebase von verschiedenen Entwicklergruppen an verschiedenen Orten bearbeitet werden. Die Überprüfung sämtlicher verwendeter Open-Source-Software auf Sicherheitslücken kann sehr zeitaufwendig sein, die Software-Build-Prozesse verlangsamen und eine Continuous Integration Umgebung zum Stillstand bringen.
Es ist daher nicht verwunderlich, dass sich Entwickler- und DevOps-Teams solche Sicherheitsüberprüfungen bis zuletzt im Software-Entwicklungszyklus aufsparen. Das Ergebnis sind dann Apps, die längst veraltete Open-Source-Komponenten enthalten und mit hoher Wahrscheinlichkeit latente Sicherheitslücken haben.
Um diesem Problem zu Leibe zu rücken, können Entwickler jetzt das kostenlose Black Duck Free Vulnerability Plug-in für Jenkins herunterladen. Dieses frei verfügbare Tool ermöglicht es Entwicklern und DevOps Managern, bekannte Sicherheitslücken in Open-Source-Komponenten schnell und leicht zu finden. Dies geschieht schon früh im Entwicklungsprozess, wenn korrigierende Maßnahmen weniger störend sind und vor allem kostengünstiger durchgeführt werden können.
Das Vulnerability Plug-in verwendet Informationen aus der Black Duck KnowledgeBase in Kombination mit relevanten Daten aus dem Jenkins Build-System. Es macht es leicht, Open-Source-Versionen zu erkennen und die für diese Komponenten katalogisierten Sicherheitslücken anzuzeigen. Der Trick ist die Automatisierung!
Das Plugin reduziert zeitraubende, manuelle Inspektionen auf ein Minimum und behindert nicht tägliche oder stündliche Build-Vorgänge und die damit verbundenen Agile Sprints. Entwickler können aussagekräftige PDF-Berichte exportieren, auf denen die Sicherheitslücken gelistet sind, diese dann mit den Sicherheitsteams und Systemarchitekten besprechen und Korrekturmaßnahmen entscheiden.
Sicherheitslücken früh im Entwicklungsprozess zu erkennen spart Ressourcen und kostbare Entwicklerzeit. Es hilft schlussendlich, qualitativ besseren Code und damit auch sichere Anwendungen zu erstellen. Probieren Sie’s aus!
Laden sie das Jenkins Plugin hier kostenlos herunter.
Ein Gastbeitrag von Thimo Hüller / Black Duck Software
Der umfangreiche Einsatz von Open Source Software erfordert nicht nur ein umfassendes Konzept für Inventarisierung, Softwaremanagement, Pflege und Softwareverteilung, sondern auch eine effiziente Absicherung gegen weitere Risiken, die leider nur allzu oft vernachlässigt werden.
Im Rahmen unserer engen Zusammenarbeit mit Black Duck Software haben wir bereits vielen Kunden dabei geholfen die Herausforderungen, die durch den Einsatz von Open Source Software entstanden sind zu meistern.
Die Versprechungen von Open Source, wie eine schnellere Entwicklungsgeschwindigkeit, verkürzte Time-to-market durch eine höhere Entwicklerproduktivität und damit geringere Kosten, sind vielfach eingetreten, belegt durch den ständig steigenden Verbreitungsgrad von Open Source. Darüber hinaus hat Open Source im Umfeld der mobilen Anwendungen mit Android, oder auch im Bereich der analytischen Lösungen mit Big Data, völlig neue Märkte und Geschäftsmodelle ermöglicht.
Aber wie immer im Leben hat eine Sache aber nicht nur Vorteile, sondern stellt Unternehmen vor Herausforderungen, die wenn sie nicht gelöst werden, zu Nachteilen werden oder sogar Gefahren in sich bergen.
Zu den mögliche Gefahrenquellen gehören auch folgende Risiken:
1. Lizenz Risiko
Für Entwickler ist es leicht, Open Source kostenlos aus dem Internet herunterzuladen. Damit greifen bisherige formale Beschaffungsprozesse für Dritt-Software nicht mehr. Dabei werden oft die Lizenzverpflichtungen übersehen, derer es viele gibt und die bei falscher Verwendung erhebliche rechtliche Risiken für das Unternehmen beinhalten.
2. Operationelle Risiken
Die Suche und Beurteilung von geeignetem Code für das nächstes Projekt kann beschwerlich sein. So sollte man sich z.B. fragen, ob die gewünschte Komponente von einer aktiven Community gepflegt und weiterentwickelt wird. Wichtig ist auch, das im späteren Betrieb Klarheit daüber zu haben, um wie viele Versionen die in der Anwendung verbauten Komponenten hinter den aktuellsten Versionen zurück liegen.
3. Risiken durch bekannte Sicherheitslücken
Gerade Open Source Komponenten gelten als besonders sicher und das beweisen auch die jährlich über 4.000 erkannten Security Vulnerabilities, die in den einschlägigen Datenbanken publiziert werden und im Regelfall von der Community in einer neuen Version behoben werden.
Besonders in den Fokus gerückt ist durch Heartbleed und Shellshock das Risiko durch Sicherheitslücken. Um hier schnell und mit möglichst wenig Aufwand reagieren zu können, wird eine jederzeit aktuelle Stückliste benötigt, die Auskunft darüber gibt, wo und in welcher Version eine Open Soure Komponente verwendet wird. Da neue Security Vulnerabilities jederzeit entdeckt werden können, ist ein kontinuierliches Monitoring aller Komponenten notwendig.
Wie schützt sich Ihr Unternehmen vor diesen Risiken?
Gemeinsam mit Black Duck Software können wir auch Ihrem Unternehmen dabei helfen sich gegen diese Risiken abzusichern.
Für Fragen zu diesem Thema stehen ihnen Thimo Hüller (Blackduck Software) und Michael Amstadt (credativ GmbH) jederzeit gern zur Verfügung.
