Verstecktes Risiko – Open Source im SAP Ecosystem?

Open Source Software ist im SAP Ecosystem wichtig!

SAP, Partner & Kunden nutzen immer mehr Open Source, so findet man z.B. im SAP Community Network (SCN) hierzu über 41.000 Einträge. Open Source hilft schneller und kostengünstiger Lösungen zu realisieren, erzeugt aber neue Herausforderungen wie: Mangel an Transparenz, potentielle Sicherheitslücken und rechtliche Risiken.

Nicht bekannte Risiken bei Open Source Nutzung im SAP Umfeld?

Forscher & Praktiker berichten auf dem European Workshop on Software Ecosystems  www.EWSECO.org , dass Firmen weit mehr Open Source nutzen, als ihnen bekannt ist. In fast allen (99%) Enterprise-Software-Audits (z.B. bei M&A, SAP OEM) wird Open Source entdeckt, häufig mehr als einhundert unterschiedliche Komponenten.

  • Nur wenn bekannt ist welche Komponente, in welcher Version, mit welcher Lizenz eingesetzt wird, lässt sich prüfen, ob die Verwendung im eigenen Code so erlaubt ist, insbesondere wenn die Software nicht On-Premise, sondern i.d. Cloud betrieben wird.
  • Für die Sicherheitseinschätzung benötigt man Infos zu Schwachstellen, wie z.B. aus der National Vulnerability Database (NVD), die z.Zt. über 80.000 Open Source Schwachstellen listet, die teilw. schon über 5 Jahre (sicher auch Hackern) bekannt sind.

Best Practices für die SAP Community?

  1. Notwendig ist eine aktive Versions-Überwachung, die sicherstellt, dass alle Open Source Komponenten  aktuell sind.
  2. Automatische Lizenz-Überwachung stellt sicher, dass Entwickler nur „erwünschte“ Open Source Lizenzen einsetzen und rechtliche Risiken minimiert werden. Analog zu bekannten “Patent-Trollen”, zocken inzw. auch sog. “Open Source Trolle” deutsche Firmen ab.
  3. Security Alerts zu genutzten Open Source Komponenten helfen Sicherheitslücken schneller zu beseitigen. Hier hilft das Wissen, welche Open Source Komponenten, in welcher Version wo verwendet wird?

Auch SAP verlangt im Rahmen von OEM, Reseller + EBS Verhandlungen diese und mehr Informationen, als Teil des sog. SAP T239 Audits.

Erfolgreiche Open Source Überwachung in der SAP Community?

VersionEye ist eine leistungsfähige Open Source Lösung, die schon über 1,2 Millionen Open Source Projekte überwacht und auch kostenlos genutzt werden kann. Die Cloud Variante wird von 40.000 registrierten Benutzern und ca. 400.000 Besucher im Monat genutzt. VersionEye bietet u.a.: Versions-Infos, automatische Lizenzüberwachung und Security Alerts für Millionen Open Source Komponenten in 25 Programmiersprachen (u.a. “Java” und “R”).

Weitere Tipps für SAP Kunden & Partner?

Liefert das Webinar von  Seeburger – die seit Jahren erfolgreich Open Source Komponenten im eigenen SAP Lösungsangebot einsetzen – mit den Open Source Spezialisten von VersionEye.
Siehe: www.vimeo.com/186708251

Übrigens nutzen auch weitere SAP Firmen und  XING erfolgreich VersionEye.
Siehe z.B.: https://www.versioneye.com/ –>> “Alexander Greim – XING AG”

Weitere Details findet man auch in unserem Buch