„Zuerst die gute Nachricht“ heißt es einleitend im Open Source Monitor. Fast 70 % der befragten Unternehmen in Deutschland setzen Open Source-Lösungen ein. Diese Zahl steigt drastisch an, wenn Unternehmen an der Schwelle zum Großunternehmen befinden. Sieben von zehn Unternehmen mit 200 bis 499 Beschäftigten geben an Open Source-Software einzusetzen.
Drei Viertel der Firmen mit 500 bis 1.999 Mitarbeitern (78 %) und sogar 86 % mit 2.000 oder mehr Mitarbeitern nutzen Open Source entweder intern oder für Kundenprodukte und -lösungen. Dabei setzen über die Hälfte der befragten Unternehmen Open-Source-Komponenten ein, ohne den Quell-Code zu verändern. Container, Big Data und Analytics sowie Cloud-Computing sind die drei wichtigsten Technologien, bei denen Open-Source-Komponenten zum Tragen kommen. Interessanterweise handelt es sich bei allen dreien um relativ neue Technologien, die sich allesamt noch stark weiterentwickeln werden.
Eine der vorrangigen Begründungen für den Einsatz von Open Source Software ist die höhere Produktivität der Entwickler bei geringeren Kosten. Wie erwartet sind Kosteneinsparungen auch für die befragten Unternehmen ein wichtiger Vorteil von Open-Source-Lösungen, gefolgt von höherer Sicherheit, mehr Freiheit gegenüber den Beschränkungen proprietärer Lösungen und der Unterstützung aktiver Communities, um Probleme zu lösen und den Code zu verbessern. Demgegenüber steht allerdings ein Mangel an Ressourcen, gerade was die Expertise im Umgang mit Open Source-Anwendungen und das Thema Sicherheit angeht. Zusätzliche Bedenken haben Unternehmen bei lizenzrechtlichen Fragen.
Die befragten Unternehmen haben in Sachen Sicherheit offensichtlich ein ambivalentes Verhältnis zu Open Source. Einerseits sieht ein Teil der Befragten gerade in der Sicherheit einen eindeutigen Vorteil, andere hegen was diesen Bereich anbelangt große Bedenken.
Diese Haltung spiegelt sich auch im OSSRA-Bericht des letzten Jahres wider, und das wahrscheinlich aus ähnlichen Gründen.
Wenn ein Unternehmen über Richtlinien und Prozesse zum Management von Open Source verfügt und es in der Lage ist, Open Source-Komponenten auf dem neuesten Stand zu halten, zu patchen und vor bekannten Schwachstellen zu schützen, wird dieses Unternehmen in der Nutzung von Open Source einen deutlichen Vorteil gegenüber proprietärem Code sehen. Denn bekannte Open Source-Schwachstellen werden in der Regel von den jeweiligen Communities gepatcht. Wenn ein Unternehmen nicht über entsprechende Richtlinien und Verfahren verfügt, wird es sich an dieser Stelle deutlich mehr Gedanken zur Sicherheit von Open Source machen.
Und wenn ein Unternehmen nicht über ein genaues und aktuelles Inventory (eine Software-Stückliste) der verwendeten Open Source-Software verfügt, wird man sich nicht nur um die Sicherheit und die Qualität des Codes Sorgen machen, sondern auch um die Einhaltung der Lizenzbestimmungen. Und das zu Recht.
Aufholen bei Open Source Compliance und Risikomanagement
Und jetzt die schlechte Nachricht. Wie der Open Source Monitor zeigt, hat die Mehrheit der befragten Unternehmen noch einen weiten Weg vor sich, bevor das Management von Open Source mit der reinen Nutzung gleichzieht.
Neunundsiebzig Prozent aller befragten Unternehmen geben an, dass sie keine Compliance-Richtlinien für die Open Source-Nutzung („Compliance“ im Sinne von Lizenzkonformität) definiert haben, ganz zu schweigen von einer umfassenderen Richtlinie, die auch das Management von Open Source-Sicherheit und Code-Qualität mit einschließt. Die einzige merkliche Verbesserung hinsichtlich der Compliance-Zahlen betrifft die Integration von Open-Source-Komponenten in Produkte oder Lösungen für die eigenen Kunden. In diesem Fall haben 58 % der befragten Unternehmen eine Open Source Compliance-Richtlinie eingeführt. Allerdings geben 42 %, die genau das nicht tun, immer noch ausreichend Anlass zur Sorge.
Viele der befragten Unternehmen sind offensichtlich von der Komplexität der Lizenzvorschriften abgeschreckt. Das deutet unter Umständen darauf hin, dass diese Firmen sich noch in einem frühen Stadium befinden, wenn es um die Entwicklung einer umfassenden Open Source-Risikomanagement-Strategie geht. Organisationen, die sich auf manuelle Prozesse wie Tabellenkalkulationen verlassen, um Open Source-Anwendungen nachzuvollziehen oder solche, die das gar nicht tun, befürchten oftmals, dass es sich negativ auf Produktivität und Kosten auswirkt, eine solche Open Source-Risikomanagement-Strategie einzuziehen.
Und ein manueller Ansatz hinsichtlich von Open Source-Schwachstellen kann in der Tat etliche Nachteile mit sich bringen: die Genauigkeit lässt zu wünschen übrig, die Produktivität sinkt und die Kosten steigen. Trotzdem erscheint es vielen zunächst einfacher, weiterzumachen wie bisher und das Beste zu hoffen.
Wenn Unternehmen sich fragen, worin die langfristigen Vorteile bei der Nutzung einer Open Source Software liegen, sollten sie sich gleichermaßen fragen, welche potenziellen Risiken dieser Weg mit sich bringt. Auf Software-Patches zugreifen zu können, die identifizierte Sicherheitslücken schließen und gleichzeitig Compliance-Anforderungen zu entsprechen, das unterliegt dann oftmals nicht der Kontrolle eines Unternehmens. Zeitnahe Sicherheits- und Compliance-Checks innerhalb des Software-Lebenszyklus durchzuführen, hilft, mögliche Risiken schneller und effektiver zu erkennen und sensible Daten besser vor einem nicht autorisierten Zugriff zu schützen.
Inzwischen gehen bereits zahlreiche Firmen dazu über, automatisierte SCA-Lösungen zu nutzen, um das Open-Source-Risikomanagement zu vereinfachen. So ist es möglich Open Source im jeweiligen Code effektiv zu inventarisieren, sich vor Sicherheits- und anderen Open-Source-Risiken zu schützen und Vorgaben zur Einhaltung von Open-Source-Richtlinien durchzusetzen.
Sie finden den Bitkom 2019 Open Source Monitor Report hier zum Nachlesen. Der Bericht enthält eine detaillierte Aufschlüsselung nach verschiedenen Branchen und deren Nutzung von Open Source, darunter die Automobilfertigung, Finanzdienstleister, Energie, IT und Telekommunikation, Verkehr und Logistik sowie die öffentliche Verwaltung.