Top Thema

Rückblick Bitkom Forum Open Source 2018

Automatisierung von Open Source Compliance: Es geht nicht mehr per Hand!

Kaisersaal Erfurt | 18. September 2018

Das Bitkom Forum Open Source 2018 hat ein akutes Thema aufgegriffen, das im Businessbereich in letzter Zeit besonders brisant geworden ist: die Automatisierung von Open Source Compliance.

Die Veranstaltung wurde organisiert vom Arbeitskreis Open Source, der dem Bitkom-Kompetenzbereich Software angehört. Antje Luttenberger (SAP SE) und Monika Schnizer (Fujitsu Technology Solutions) führten durch den Tag.

Bitte teilen Sie uns nachfolgend Ihre Meinung zum Forum Open Source 2018 mit. Wir benötigen Ihre Rückmeldung, um das nächste Forum noch besser auf Ihre Wünsche ausrichten zu können. Zum Online-Feedbackbogen .

Übrigens: Den Rückblick auf das Forum Open Source 2017 finden Sie hier .

Themen

Bild zum Ansprechpartner

Dr. Frank Termer

Bereichsleiter Software Bitkom e.V.

Das war das Forum Open Source 2018

Uhrzeit Programmpunkte (10.00 - 17.00 Uhr) Speaker
09.00 - 10.00 Registrierung  
10.00 - 10.15 Begrüßung Holger Koch (DB Systel GmbH und Vorsitzender des AK Open Source)
10.15 - 10.30 Grußwort Christian Kulick (Mitglied der Geschäftsleitung Bitkom e.V.)
10.30 - 11.00 Open Source Compliance mit Lizenzen aus den 90er Jahren im Jahr 2018 – eine Spielwiese für OSS-Trolle?

• Warum führen 30 Jahre alte Lizenzen in der heutigen Welt von IoT, Embedded Devices und Software Stacks zu Compliance-Problemen?
• Warum sind die Risiken der Non-Compliance gestiegen?
• Warum stoßen auch toolbasierte Prozesse an Grenzen?
• Ist es an der Zeit, das Konzept von Open-Source-Software zu überdenken?

Gedanken aus Sicht eines Juristen, der in mehrere Verfahren wegen Lizenzverletzungen involviert war und Unternehmen bei der Implementierung von Compliance-Prozessen begleitet.
Dr. Hendrik Schöttle (Osborne Clarke)
11.00 - 11.30 Open Source Compliance Automatisierung bei SAP – ein Reisebericht

Bedingt durch den Anstieg an Cloud Software im SAP Produktportfolio, einhergehend mit der Verwendung neuer Platformen und Tools, haben sich in den letzten Jahren die Software Entwicklungsprozesse bei SAP drastisch gewandelt.

Schlagworte wie Agile, Continuous Integration, Continuous Deployment, DevOps, Pipelines, Shift Left - Sie hallen durch die Gänge der SAP Entwicklungszentren, und machen auch vor dem Thema Open Source Compliance nicht halt.

Immer kürzere Release Zyklen, der voranschreitende Grad an Automatisierung, als auch die gestiegene Anzahl an benutzten Open Source Komponenten in SAP Produkten – all diese Faktoren brachten den bisherigen Open Source Compliance Prozess an seine Effizienz-Grenzen. Neue Lösungen mussten gefunden werden. Manuelle Prozesse waren zu zeitaufwändig und standen im Konflikt zu kurzen Release Zyklen.

Dieser Vortrag gewährt Einblicke in die praktische Umsetzung der Automatisierung von Open Source Compliance bei SAP anhand zweier konkreter Beispiele:
• Die Integration von Open Source Compliance Checks in CI/CD Pipelines mittels des Tools WhiteSource ( https://www.whitesourcesoftware.com/what-is-whitesource/ )
• Die automatische Generierung von Open-Source-Declaration-Files

Die gesammelten Erfahrungen und erlebten Herausforderungen dieser Reise werden ebenso Thema sein wie die Systemarchitektur, um solch eine Automatisierung zu ermöglichen.
Stefan Gustafsson (SAP SE)
11.30 - 12.00 PAUSE  
12.00 – 12.15 Grußwort des Thüringer Ministers für Wirtschaft, Wissenschaft und Digitale Gesellschaft Wolfgang Tiefensee
12.15 – 12.45 OSS License Compliance und Continuous Delivery – Wir brauchen neue Wege

Open Source License Compliance Tätigkeiten sind zu einem gewissen Grade automatisierbar, dennoch verbleibt noch ein Anteil an Tätigkeiten die Experten durchführen müssen. Demzufolge ist es nicht möglich mit den heute allgemein etablierten Vorgehen und Prozessen Continuous Delivery & OSS License Compliance zu realisieren. Ein neuer Ansatz im Bereich OSS License Compliance ist notwendig um die volle Automatisierung aller OSS License Compliance Arbeiten zu erreichen. Nur so können Unternehmen weiterhin mit der ständig wachsenden Software Entwicklungsgeschwindigkeit schritthalten und eine zukunftsfähige Softwareentwicklung gewährleisten.

Der Vortrag stellt einen neuen Ansatz, vor wie OSS License Compliance in einem Continuous Delivery Set up realisiert werden kann und gleichzeitig die „Attack Surface“ für Urheberrechtsverletzungsvorwürfe minimiert wird. Ein zusätzlicher Vorteil des neuen Vorgehens ist es, dass die Unternehmen ein nachhaltiges OSS Management etablieren können. Dessen Kernelemente Qualität, Entwickleranzahl oder andere für die Geschäftsziele relevante Kenngrößen sind und nicht der zu leistende Aufwand zur Sicherstellung der OSS License Compliance
Oliver Fendt (Siemens AG)
12.45 – 13.15 OSS Review Toolkit: Automatisierung der Open Source Compliance in CI/CD

Idealerweise wären FOSS Reviews automatisiert und könnten häufig ausgeführt werden, so dass FOSS Probleme (technisch, lizenzrechtlich oder sicherheitsrelevant) frühzeitig erkannt und behoben werden können. Der FOSS Community stehen momentan keine Open Source Tools zur Verfügung, mit denen diese hochautomatisierten FOSS Reviews durchgeführt werden können. Dies erschwert es FOSS Maintainern, klar definierte Metadaten über ihre Softwareprojekte und deren Abhängigkeiten bereitzustellen. Der Mangel an eindeutigen Metadaten erschwert die FOSS Compliance und wirkt sich negativ auf die Verwendung und das Wachstum der Open Source Projekte aus.

Projekte verwenden Package Manager und automatisch Abhängigkeiten herunterzuladen. Kombiniert mit CI/CD erfordert das eine hohe Geschwindigkeit und maximale Automatisierung bei FOSS Reviews, um den kurzen Releasezyklen gerecht zu werden.

In diesem Vortrag wird das OSS Review Toolkit (ORT) vorgestellt, das hochautomatisierte FOSS Reviews in CI/CD ermöglicht. Dazu kombiniert es ein neues Tool zur Analyse von Softwareabhängigkeiten mit existierenden FOSS Scannern und mit der neuen ClearlyDefined Initiative, einer Platform zum Entdecken, Korrigieren und Teilen von FOSS Metadaten.
Thomas Steenbergen und Sebastian Schuberth (HERE Deutschland GmbH)
13.15 – 14.15 MITTAGSPAUSE  
14.15 - 14.45 Continuous Compliance – Eine Einführung in Quartermaster

Free and Open Source License Compliance ist ein kompliziertes Thema - sie ist gleichzeitig eine harte Anforderung für jeden Hard- und Softwarehersteller, ein wichtiger Hygienefaktor in Open-Source-Communities, und unglaublich schwierig zu erreichen und dauerhaft sicherzustellen. License Compliance sicherzustellen erfordert adequate Geschäftsprozesse nach den Empfehlungen von OpenChain, ein gemeinsames Datenaustauschformat mit SPDX, und Tools wie Quartermaster zur weitestgehenden Automatisierung der Verpflichtungen aus den Lizenzbedingungen im Entwicklungsworkflow. Die Präsentation erläutert wie Quartermaster verwendet wird, um automatisiert korrekte und aktuelle Compliancedokumente zu erstellen. Ebenfalls beleuchtet werden Konzept und Philosophie hinter der Toolchain, die Geschichte des Projekts und wie Quartermaster durch die Zusammenarbeit von Open-Source-Entwicklern, juristischen Fachleuten und Open Source Program Offices darauf hinarbeitet, den Industriestandard für Licence Compliance Tooling zu entwickeln.
Dr. Thomas Fricke (Endocode AG)
14.45 – 15.15 FOSSology – License Compliance Automation

FOSSology ist eine Software zur Analyse der Lizensierung von Open Source Software. Es bietet eine Vielzahl von Ausgabeformaten, die die Ausleitung der Analyseergebnisse in verschiedener Granularität ermöglichen. Über die Kommandozeile kann FOSSology in andere Umgebungen integriert werden.

FOSSology nutzt mehrere Scan Agenten, die Lizensierung nach unterschiedlichen Verfahren erkennen. Als Alleinstellungsmerkmal kann der Nutzer die Zusammenschaltung dieser Agenten einstellen, um eine Aggregation dieser Ergebnisse automatisiert vorzunehmen. Auf diese Weise wird ein Analyseergebnis mit hoher Genauigkeit zur Verfügung gestellt und False-Positives werden deutlich minimiert.

Der Vortrag stellt zwei Perspektiven vor: Eine Perspektive ist die aus der Sicht eines Maintainers als Experte für FOSSology. Eine weitere Sicht ist die des Anwenders mit umfangreicher OSS Nutzung in Produkten und langjähriger Praxiserfahrung. Durch diese Kombination kann die optimale Nutzung von FOSSology vorgestellt werden.

FOSSology ist ein Projekt der Linux Foundation und unter GPL-2.0 lizensiert. Es ist daher für alle Organisationen frei einsetzbar und kann beliebig weiterentwickelt werden.
Thomas Graf und Dr. Michael C. Jaeger (Siemens AG)
15.15 – 15.45 KAFFEEPAUSE  
15.45 – 16.15 Eclipse SW360 – Lessons Learned From Automated License Compliance

Eclipse SW360 wurde bereits zuvor auf Bitkom-Tagungen vorgestellt. Nun sind um SW360 herum Erweiterungen für die Automatisierung von Comliance-Prozessen enstanden: Eine hypermedia-basierte RESTful API für SW360 und die Integrationsoftware SW360antenna für Java-basierte Build Tool Chains.

SW360 selbst dient als Hub für Werkzeuge und Benutzer, der es erlaubt Software-Komponenten – sowohl eigene als auch Drittkomponenten – über ihren gesamten Lebenszyklus hinweg zu verwalten. Damit bietet SW360 eine sogenannte Bill of Materials (BOM) für Software-Projekte und -Produkte, die eine Reihe essentieller Prozesse ermöglicht, z.B. aus dem Bereich License Compliance oder Security Vulnerabilities. Durch die RESTful API können Werkzeuge automatisiert BOMs erstellen. Eclipse SW360antenna nutzt diese Funktion, um SW360 mit entsprechenden Daten aus bestehenden Build- oder CI-Umgebungen zu versorgen. Mittlerweile haben sich verschiedene Fragstellungen und damit auch Erfahrungen ergeben, die durch den produktiven Einsatz von SW360 via REST und SW360antenna offenbar wurden:

• Mit welcher Präzision soll eine BOM aktualisiert werden – mit jedem Build eines jeden Projektes?
• Sollen mit jeder Aktualisierung alle automatisierten Überprüfungen angestoßen werden (License, Security, Code Quality) und sollen diese Vielzahl von Analyseergebnissen begutachtet werden?
• Sollen Tools inklusive deren Programmierfehler automatisch Datensätze anlegen und verändern können, oder bedarf es eines Staging Mechanismus?
• Wie sollte eine Zugriffsverwaltung für Werkzeuge auf die Daten aussehen?

SW360 steht unter der EPL-1.0 als Open Source Software auf Github zur Verfügung (https://www.github.com/sw360). Damit kann es hervorragend angepasst werden, verhindert einen Vendor Lock-in und verursacht keine Lizenzkosten. Siemens Corporate Technology und Bosch Software Innovations sind die Hauptkontributoren des Open Source Projektes.
Dr. Johannes Kristan (Bosch Software Innovations GmbH) und Dr. Michael C. Jaeger (Siemens AG)
16.15 – 16.45 Anforderungen an Werkzeuge für die Open-Source-Governance

Entsprechend dem Motto der Konferenz haben wir in den letzten Jahren ebenfalls festgestellt, dass es ohne Werkzeuge und Automatisierung nicht mehr möglich ist, Open-Source-Software sinnvoll in Produkten und Projekten einzusetzen.
Wir haben daraufhin eine zweistellige Anzahl von Experten-Interviews bei Unternehmen durchgeführt, welche Open Source Software in ihren Produkten verwenden. Das Ergebnis ist eine hierarchische Anforderungsspezifikation an
Governance-Werkzeuge aus Sicht der nutzenden Unternehmen. In diesem Vortrag stellen wir einen Auszug aus dieser Anforderungsspezifikation vor und vergleichen ihn zur Validierung mit Funktionen, welche in handelsüblicher
Software für Open-Source-Governance gefunden werden kann.
Andreas Bauer , Nikolay Harutyunyan und Prof. Dr. Dirk Riehle (Friedrich-Alexander-Universität Erlangen-Nürnberg)
16.45 – 17.00 Abschluss  
Im Anschluss Ausklang bei Bier und Brezeln  

Programmkomitee:

  • Andreas Bärwald (TÜV SÜD Product Service GmbH)
  • Oliver Fendt (Siemens AG)
  • Sebastian Hetze (Red Hat GmbH)
  • Holger Koch (DB Systel GmbH)
  • Dr. Chen-Yu Lin (SerNet GmbH)
  • Antje Luttenberger (SAP SE)
  • Karsten Reincke (Deutsche Telekom AG)
  • Monika Schnizer (Fujitsu Technology Solutions GmbH)
  • Axel Teichert (DB Systel GmbH)
  • Dr. Frank Termer (Bitkom e. V.)
  • Jan Thielscher (EACG GmbH)

Mit freundlicher Unterstützung unserer Premium-Partner:

PwC

PwC ist die führende Wirtschaftsprüfungs- und Beratungsgesellschaft in Deutschland und betrachtet es als seine Aufgabe, gesellschaftliches Vertrauen aufzubauen und wichtige Probleme zu lösen. Mehr als 236.000 Mitarbeiter in 158 Ländern tragen dazu mit hochwertigen, branchenspezifischen Dienstleistungen in den Bereichen Wirtschaftsprüfung, Steuer- und Unternehmensberatung bei. Zu unseren Kunden zählen Global Player und Local Heroes, die Öffentliche Hand, Verbände und NGOs.

SAP

Als Marktführer für Unternehmenssoftware unterstützt die SAP SE Firmen jeder Größe und Branche, ihr Geschäft profitabel zu betreiben, sich kontinuierlich anzupassen und nachhaltig zu wachsen. Vom Back Office bis zur Vorstandsetage, vom Warenlager bis ins Regal, vom Desktop bis hin zum mobilen Endgerät – SAP versetzt Menschen und Organisationen in die Lage, effizienter zusammenzuarbeiten und Geschäftsinformationen effektiver zu nutzen als die Konkurrenz. Über 378.000 Kunden aus der privaten Wirtschaft und der öffentlichen Verwaltung setzen auf SAP.

Siemens

Die Siemens AG (Berlin und München) ist ein führender internationaler Technologiekonzern, der seit 170 Jahren für technische Leistungsfähigkeit, Innovation, Qualität, Zuverlässigkeit und Internationalität steht. Das Unternehmen ist weltweit aktiv, und zwar schwerpunktmäßig auf den Gebieten Elektrifizierung, Automatisierung und Digitalisierung. Siemens ist weltweit einer der größten Hersteller energieeffizienter ressourcenschonender Technologien. Das Unternehmen ist einer der führenden Anbieter effizienter Stromerzeugungs- und Stromübertragungslösungen, Pionier bei Infrastrukturlösungen sowie bei Automatisierungs-, Antriebs- und Softwarelösungen für die Industrie. Darüber hinaus ist das Unternehmen mit seiner börsennotierten Tochtergesellschaft Siemens Healthineers AG ein führender Anbieter bildgebender medizinischer Geräte wie Computertomographen und Magnetresonanztomographen sowie in der Labordiagnostik und klinischer IT. Im Geschäftsjahr 2017, das am 30. September 2017 endete, erzielte Siemens einen Umsatz von 83,0 Milliarden Euro und einen Gewinn nach Steuern von 6,2 Milliarden Euro. Ende September 2017 hatte das Unternehmen weltweit rund 377.000 Beschäftigte.

Mit freundlicher Unterstützung von:

Codescoop

OSS hat die Softwareentwicklung revolutioniert. Mit Codescoop analysieren Sie OSS-Vitalität und -Wachstum und managen dabei Volatilität und Risiko beim Einsatz von OSS. Codescoop konsolidiert die limitierten, isolierten und örtlich verteilten Informationen über OSS, sowohl aus öffentlichen, als auch internen Quellen und liefert dabei umsetzbare Erkenntnisse, Prognosen und Empfehlungen durch Anwendung von AI / ML-Methoden. Diese just-in-time-Intelligenz ermöglicht Einsichten über alle (aktuellen und zukünftigen) Softwareprojekte hinweg.

——

DB Systel GmbH

Die DB Systel GmbH mit Sitz in Frankfurt am Main ist hundertprozentige Tochter der DB AG und Digitalpartner für alle Konzern-Gesellschaften. Mit ihrem ganzheitlichen, kundenspezifischen Angebot, das höchsten IT-Standards entspricht, treibt DB Systel die Digitalisierung aller Gesellschaften der DB AG erfolgreich, integrativ und wertschaffend voran. Dafür entwickelt sie effektive und effiziente Kundenlösungen auf Basis innovativer Themen wie Cloud, Big Data, Internet of Things und künstliche Intelligenz. Als langfristiger Partner bringt sie fundierte Bahn- und IT-Kompetenz ein und agiert anbieterneutral für die gemeinsame Zielsetzung. An den Hauptstandorten Frankfurt, Berlin und Erfurt sind aktuell rund 3.900 Systel-Mitarbeiter beschäftigt.

EACG GmbH

TrustSource ist eine SaaS-Lösung für Open Source Risk-Management. Die Lösung klinkt sich in den Software-Entwicklungsprozess ein, dokumentiert automatisiert alle eingesetzten Open Source Komponenten inklusive transitiver Abhängigkeiten. Zudem unterstützt TrustSource die Vulnarability-Analyse mit aktuellen Vulnerability Informationen und Alarmen. Auch verfügt TrustSource über die Kenntnis der Eigenschaften aller Grundlizenzen und kann daraus die Verpflichtungen in Abhängigkeit des jeweiligen Einsatzkontextes ermitteln. Zusammen mit den Integrationen, der Audit- und den Workflow-Funktonen sowie dem SPDX-Im- und Export bildet TrustSource die optimale Grundlage für eine OpenChain-konforme Open Source Governance. TrustSource ist ein Produkt der EACG.   

 

EACG unterstützt Unternehmen bei der Erschließung neuer Geschäftsfelder mit Hilfe von Informationstechnologien. Die Architekturberatung bietet von der Konzeption über die Umsetzung bi hin zum Betrieb Unterstützung bei der Entwicklung von SaaS-Lösungen. Die überdurchschnittliche Loyalität, das hohe Engagement sowie die solide Methodik der EACG bilden die Grundlage für außerordentliche Beiträge zum Geschäftserfolg und garantieren eine hohe Kundenzufriedenheit, wie in vielen Projekten für die Deutsche Bahn, die Deutsche Bank, Deutsche Leasing, GEA oder mittelständische Unternehmen wie Claas oder Testo bewiesen.

Flexera

Flexera hat eine neue Art und Weise, wie Software gekauft, verkauft, verwaltet und sicherer wird. Dabei betrachtet Flexera die Softwareindustrie als eine Supply Chain und versetzt seine Kunden in die Lage, ihren Verkauf von Software gewinnbringender und effektiver zu gestalten. Wir unterstützen Softwareverkäufer zur Minimierung der aus Open Source resultierenden Risiken. Wir sind seit über 30 Jahren im Geschäft und haben 80.000 + Kunden.

Diesen Beitrag teilen