synomic GmbH

Synomic - change moves your business

Verstecktes Risiko – Open Source im SAP Ecosystem?

verfasst am

Open Source Software ist im SAP Ecosystem wichtig!

SAP, Partner & Kunden nutzen immer mehr Open Source, so findet man z.B. im SAP Community Network (SCN) hierzu über 41.000 Einträge. Open Source hilft schneller und kostengünstiger Lösungen zu realisieren, erzeugt aber neue Herausforderungen wie: Mangel an Transparenz, potentielle Sicherheitslücken und rechtliche Risiken.

Nicht bekannte Risiken bei Open Source Nutzung im SAP Umfeld?

Forscher & Praktiker berichten auf dem European Workshop on Software Ecosystems  www.EWSECO.org , dass Firmen weit mehr Open Source nutzen, als ihnen bekannt ist. In fast allen (99%) Enterprise-Software-Audits (z.B. bei M&A, SAP OEM) wird Open Source entdeckt, häufig mehr als einhundert unterschiedliche Komponenten.

  • Nur wenn bekannt ist welche Komponente, in welcher Version, mit welcher Lizenz eingesetzt wird, lässt sich prüfen, ob die Verwendung im eigenen Code so erlaubt ist, insbesondere wenn die Software nicht On-Premise, sondern i.d. Cloud betrieben wird.
  • Für die Sicherheitseinschätzung benötigt man Infos zu Schwachstellen, wie z.B. aus der National Vulnerability Database (NVD), die z.Zt. über 80.000 Open Source Schwachstellen listet, die teilw. schon über 5 Jahre (sicher auch Hackern) bekannt sind.

Best Practices für die SAP Community?

  1. Notwendig ist eine aktive Versions-Überwachung, die sicherstellt, dass alle Open Source Komponenten  aktuell sind.
  2. Automatische Lizenz-Überwachung stellt sicher, dass Entwickler nur „erwünschte“ Open Source Lizenzen einsetzen und rechtliche Risiken minimiert werden. Analog zu bekannten “Patent-Trollen”, zocken inzw. auch sog. “Open Source Trolle” deutsche Firmen ab.
  3. Security Alerts zu genutzten Open Source Komponenten helfen Sicherheitslücken schneller zu beseitigen. Hier hilft das Wissen, welche Open Source Komponenten, in welcher Version wo verwendet wird?

Auch SAP verlangt im Rahmen von OEM, Reseller + EBS Verhandlungen diese und mehr Informationen, als Teil des sog. SAP T239 Audits.

Erfolgreiche Open Source Überwachung in der SAP Community?

VersionEye ist eine leistungsfähige Open Source Lösung, die schon über 1,2 Millionen Open Source Projekte überwacht und auch kostenlos genutzt werden kann. Die Cloud Variante wird von 40.000 registrierten Benutzern und ca. 400.000 Besucher im Monat genutzt. VersionEye bietet u.a.: Versions-Infos, automatische Lizenzüberwachung und Security Alerts für Millionen Open Source Komponenten in 25 Programmiersprachen (u.a. “Java” und “R”).

Weitere Tipps für SAP Kunden & Partner?

Liefert das Webinar von  Seeburger – die seit Jahren erfolgreich Open Source Komponenten im eigenen SAP Lösungsangebot einsetzen – mit den Open Source Spezialisten von VersionEye.
Siehe: www.vimeo.com/186708251

Übrigens nutzen auch weitere SAP Firmen und  XING erfolgreich VersionEye.
Siehe z.B.: https://www.versioneye.com/ –>> “Alexander Greim – XING AG”

Weitere Details findet man auch in unserem Buch

Contact

Synomic GmbH
Im Pfarrgarten 2
64404 Bickenbach
Telefon: +49-6257-5065-691

E-Mail:
Website: www.synomic.com

Change moves your business

As software industry and ecosystem veterans, with experiences from working at/with the largest enterprise software platform companies and innovative global B2B startups, we are qualified to help your company to unlock its full potential, accelerate growth, and create value for all stakeholders.

Learn more about our services »

Who we are?

We are a strategy and growth consulting and implementation boutique, that supports innovative startups and software companies to grow faster thru strategic changes, investments, partnerships.

Learn more about us »