OpenChain in a nutshell

In den letzten Wochen erhalten wir immer öfter Anfragen zu OpenChain. Was ist das? Ist das wichtig?

Daher wollen wir hier eine kurze Zusammenfassung geben. Wer mehr darüber wissen möchte, ist herzlich eingeladen, uns direkt zu kontaktieren.OpenChain ist ein Projekt der Linux Foundation, welches sich zum Ziel gesetzt hat, das Vertrauen in den Einsatz von Open Source Software zu stärken. Hierzu hat die OpenChain einen Satz anAnforderungen entwickelt, deren Einhaltung den nachhaltigen Umgang mit Open Source sicherstellen.

„Open Source Komponenten einer OpenChain zertifizierten Organisation kann man vertrauen“

Die Spezifikation der Anforderungen ist öffentlich und kann auf der Webseite der OpenChain heruntergeladen werden. Sie definiert sechs Ziele, die sich wiederum in zehn wesentliche Anforderungen herunter brechen lassen. Besonders an der Spezifikation ist, dass Sie nicht nur die Anforderungen definiert, sondern auch Kriterien, welche das Erreichen der Anforderung sicherstellen.

Nachstehende Abbildung fasst die gesamte Spezifikation auf einer Seite zusammen. Bitte beachten Sie, dass für diese Darstellung einige inhaltliche Kürzungen erfordelrich waren. Um die Grundgedanken der Spezifikation zu verstehen, ist die Übersicht jedoch hinreichend.

Was bedeutet das im Allgemeinen?

Mit der Spezifikation ist ein erster Ansatz geschaffen, eine neue Orientierung im Umgang  mit Open Source zu geben. Zwar ist es derzeit so, dass kaum eine Organisation ohne Open Source auskommt, dennoch behandeln die meisten Open Source noch recht stiefmütterlich. Das wiederum führt dazu dass die Nutzung von Open Source selbst aber auch die Nutzung von Produkten immer wieder rechtliche Probleme aufwirft.

Die Spezifikation ist dafür geeignet, einen nachhaltigen Umgang mit Open Source zu erzeugen. In größeren Organisationen, die es gewohnt sind, Vorgänge zu strukturieren, gewinnt diese Ansicht bereits an Akzeptanz. Es ist davon auszugehen, dass sich diese Erkenntnis auch mittelfristig im Einkauf der großen Organisationen durchsetzen und somit das Vorgehen an Bedeutung gewinnen wird.

Was bedeutet das für mich?

Wenn Sie Software erzeugen und oder diese an Dritte ausliefern, sollten Sie sich mit den Anforderungen der OpenChain vertraut machen. Die Wahrscheinlichkeit, dass der nächste Abnehmer eine OpenChain-Zertfizierung verlangt ist nur eine Frage der Zeit. Der Prozess zur Zertfiizierung ist ein langer Prozess, der sich nicht in wenigen Wochen erzwingen lässt. Daher ist eine frühzeitige Beschäftigung mit dem Thema zu empfehlen.

Holen Sie sich die Übersichtsgrafik als Poster!

Poster bestellen

Wenn Sie mehr bezüglich der OpenChain Zertfizierung  derzeit eine Zertfizierung im Selbst-Zertfizierungsformat – benötigen, finden Sie diese auf der Webseite der OpenChain unter OpenChain/conformace.

Wenn Sie Kontakt zu uns zur Klärung von Fragen einer OpenChain-Zertifizierung aufnehmen wollen, können Sie uns hier kontaktieren.

Wenn Sie erfahren wollen, wie TrustSource Ihnen bei der Ausrichtung nach OpenChain hilft, lesen Sie hier mehr.


Release v1.5 verfügbar

Wir freuen uns, heute die Version 1.5 von TrustSource zur Verfügung zu stellen. Mit diesem Release haben wir vor allem die Reporting-Fähigkeiten gestärkt, um die in TrustSource existierenden Daten verfügbarer zu machen.

New Features

  • PDF-your-Reports - Es ist jetzt möglich, alle Berichte auch in ein PDF zu überführen und entsprechend herunterzuladen bzw. zu speichern. Die PDFs erhalten in Kopf- und Fußzeile automatisch Versionummer und Zeitstempel, um Chaos zu vermeiden.
  • Neues Beipackzettel - Mit diesem Release haben wir die Bill of materials-Funktion überarbeitet. Soweit möglich, verlinken die Komponenten nun auf die Origianllizenz aus dem jeweiligen Repository. Als Fallback wird eine Originallizenz aus TrustSource zur Verfügung gestellt.
  • CVE-Impact Analyse - Mit dem neuen Bericht "CVE-Impact" ist es möglich, den Einfluss einer CVE auf das gesamte in TrustSource verwaltete Software-Portfolio auf einen Klick zu ermitteln. Die Berichtsergebnisse erlauben zudem direkt an die jeweilige Stelle im Projekt zu springen und dort Folgeaktionen wie Jora-Tasks an die jeweiligen Projekte auszulösen.

Improvements

  • Branding auf  TrustSource umgestellt -von jetzt ab ist auch TrustSource drin! Nicht nur die Optik (Logo etc.) ist auf TrustSource ungestellt, auch die URLs. Die alten URLs sind noch verfügbar, jedoch empfeheln wir, auf die neuen umzustellen. Das sind anstelle ecs-app.eacg.de nun https://app.trustsource.io für die Anwendung, https://www.trustsource.io für die Webseite und  https://support.trustsource.io für den Zugang zum Support.
  • Vorschau für Mengenimport bei Benutzern - Auf vielfachen Wunsch wurde der Import von Mengendaten für Benutzer vereinfacht. Es ist nun möglich, das CSV mehrfach zu laden und die Ergebnisse im Vorfeld zu sehen, sodass einzelne Zeilen vor dem effektiven Import noch einmal überarbeitet werden können.
  • Jira -Status-Bericht - Der Status-Bericht für Jira-Tickets zeigt jetzt den Status der Tickets schöner an und erlaubt es auch projekctspezifsch uz sortieren.

EACG wird OpenChain-Partner

Frankfurt, 8.Juni 2018, EACG - die Mutter von TrustSource - und Linux Foundation zeichnen eine Partnerschaftsvereinbarung zur Zusammenarbeit im Projekt OpenChain.

EACG ist bereits seit einigen Jahren im Umfeld der Open Source Governnace und Compliance aktiv. Durch eigene Großprojekte auf die Problematik sensibilisiert, ist das heutige TrustSource entstanden, die Plattform für die Automation der Open Source Governance."Wir sind noch nicht ganz am Ziel, aber auf einem guten Weg", meint Jan Thielscher, der das Unterfangen federführend treibt.

"Unsere Plattform liefert den technischen Teil: scanning, mapping, Dokumentation und Berichte. Governance ist aber mehr, als ein Werkzeug leisten kann. Um wirklich rechtskonform ud sicher Software zu erstellen und auszuliefern, ist es auch erforderlich, Prozesse und Kultur anzupassen. Hier kommt OpenChain ins Spiel. Die vielen, wohlüberlegten Anforderungen fürhren zu dem erforderlichen Wandel. Wir begrüßen das und bauen die Workflow-Unterstützung der Pplattform so aus, dass sie die Anforderungen bestmöglich unterstützt."

EACG bietet Beratungsleistungen zum Thema Open Source Compliance und Governance an, sowie die Lösungsplattform TrustSource als SaaS. Es gibt unterschiedliche Editionen, von einer freien Lösung für einzelne Entwickler bis hin zur Enterprise-Lösung on premises. Ausprobieren lässt sich die Löung hier.

In Zuge der Zusammenarbeit wird EACG zunächst die Übersetzung der OpenChain Spezifikation v1.2 in die deutsche Sprache unterstützen und anschließend deutschsprachige Seminare anbieten. Interessierte können sich gerne direkt an uns wenden.


Warum ist eine Lizenz so wichtig?

„Wenn jemand sein Zeug bei GitHub in ein Public-repository lädt, muss er doch damit rechnen, dass es auch genutzt wird!“

Diese kritische Fehleinschätzung der Sachlage hören wir gelegentlich, wenn wir im zuge von Analysen auf Open Source Komponenten im Quellcode treffen, die nicht hinireichend deklariert sind. Es erscheint daher sinnvoll, noch einmal die Grundlagen zu klären.

In unserer westlichen Welt hat der Schutz des geistigen Eigentums einen hohen Wert. Innvoation ist der Grundstein unserer Zivilisation und wurde daher auch mit den Urheber-Rechten entsprechend geschützt. Diese Erkenntnis existiert bereits recht lange und ist inziwschen im internationalen Rechtsraum auch durch die Berner Konventionen weitgehend harmonisiert.

Grundüberlegungen dabei sind, dass ein Urheber stets die Rechte bzgl. Nutzung, Verbreitung und Veränderung an seinem Werk haben soll. Dies gilt – je nach Gegegenstand – für eine gewisse Zeit nach der Schöpfung als Urheberrecht. Nun kann natürlich ein Urheber diese Rechte auch anderen übertragen. Die typische Ausdrucksform hierfür ist eine Lizenz.

Liegt keine Lizenz vor, gelten zum Schutze des Urhebers die Rechte als nicht erteilt!

Liegt eine solche nicht vor, gelten zum Schutze des Urhebers die Rechte als nicht erteilt. Somit bewegt sich jeder Benutzer von Komponenten ohne Lizenz auf unsicherem Terrain. Vermutlich wird zunächst auch kein direktes Problem entstehen. Jedoch ist die gegenwärtige Situation eines, die zukünftige Situation etwas anderes. So kann der Wunsch nach einer entgeltfreien Bereitstellung sich mit der Zeit ändern. Wohl dem Anwender, der sich auf eine Lizenz berufen kann, wehe dem, der eine Distribution ohne klare Bedingungen vorgenommen hat.

Ebenfalls ist es in unserem Rechtsraum üblich, die unrechtmäßige Nutzung als Straftrat zu betrachten. Somit stehen nicht nur mögliche finanzielle Schäden durch Rückruf oder Image-Verlust im Raum, auch eine strafrechtliche Verfolgung der Nutzung ohne Rechte kann die Folge sein. Letztere benötigt nicht mal einen Kläger, denn das übernimmt die Staatsnawaltaschaft im Zuge ihrer Aufgaben bei hinreichendem Verdacht. Hierzu reicht eine Indikation zur Sachlage, egal von wem sie kommt (Wettbewerber, ehemaliger Mitarbeiter, eigentlicher Rechteinhaber, etc.)

Zur Abwendung von Schaden empfiehlt es sich daher, stets auf das Vorhandensein von Lizenzen zu achten!

Zur Abwendung von Schaden empfiehlt es sich daher, stets auf das Vorhandensein von Lizenzen zu achten. Um dies jedoch zu ermöglichen, ist es erforderlich, genau zu wissen, was wurde verbaut und unter welchen Bedingungen.

TrustSource wurde entwickelt, um diese Aufgabe zu automatisieren. Mit Hilfe der automatisierten Scans können Sie frühzeitig erkennen, welche Komponenten in Ihrer Software verbaut sind und welche Lizenzen – oder auch nicht – mit diesen einhergehen.

Unsere Architekten helfen Ihnen auch dabei, kritische Fälle zu klären oder alternative Lösungen zu finden. Zögern Sie nicht, beginnen Sie noch heute mit der Aufklärung!


TrustSource v1.4 released

Wir freuen uns, die Verfügbarkeit der Version v1.4 anzukündigen!

Endlich ist es soweit. Nach viel Arbeit, Schweiß und Tests haben wir die v1.4 released. Es sind eine Vielzahl von Neuerungen dabei, die die Arbeit mit TrustSource erheblich effizienter machen werden:

  • Eine Inbox nimmt zukünftig alle Kommunikation auf, damit nichts mehr verloren geht.
  • Vulnerability-Feeds ermöglichen das frühzeitge Erkennen von möglichen Porblemen
  • CVS-Scores und Angriffsvektoren helfen bei der Einschätzung der Kritikalität identifizierter Schwachstellen.
  • Erweiterte Verpflichtungsanalyse - Es ist jetzt möglich, direkt von dem Obligation-Report auf die verursachenden Komponenten zu springen. Zudem kann der Bericht auch direkt aus der Modulansicht heraus aufgerufen werden.
  • Eignungsprüfung - Um den SHIFT-LEFT-Effekt weiter zu unterstützen, haben wir ein Test-Feature für noch nicht verbaute Lizenzen und/oder Komponenten eingeführt. Damit können Entwickler bereits _vor_ Einsatz einer Komponente die Auswirkungen projekt- und modulspezifisch prüfen. Die Funktionen werden auch im API bereitgestellt.
  • Private Lizenzen - Es ist nun möglich, eigene Lizenzschlüssel anzulegen, um eigene Lizenzen nicht mehr zwingend als commercial klassifizieren zu müssen.

Zudem wurden einige Verbesserungen und Fixes durchgeführt. unter anderem wurde ein Matching-Problem im Vulnerability Scanner behoben.

Weitere Informationen und Details zu dem Release finden sich auch hier.


19.6. Compliance Breakfast @ Frankfurt a.M.

Um innovative Produkte und Lösungen schnell und kostengünstig an den Markt zu bringen, ist der Einsatz von Software und insbesondere Open Source Software überlebensnotwendig.

Open Source Software ist jedoch kein Free Lunch!

Welche Verbindlichkeiten mit dem Einsatz von Open Source Software einhergehen, was sie auslöst und was daraus folgt sowie wie man die daraus resultierenden Risiken beherrschbar hält, ist Gegenstand dieser Informationsveranstaltung. Neben einem Überblick zur aktuellen Rechtsprechung stellen die Referenten praktische Erfahrungen aus der Einführung von Open Source Governance vor.

0830-0900 Welcome Kaffee & Tee

0900-0915 Begrüßung durch Gastgeber (EACG) und Vorstellung der Referenten

0915-0945 Aktuelle, rechtliche Entwicklungen (Heinzke)

0945-1000 Fragen und Diskussion

1000-1045 Erfahrungsbericht Einführung Open Source Governance im Konzern (Thielscher)

1045-1100 Fragen und Diskussion

Reservierung von Plätzen (verbindliche Teilnahme) ist hier möglich. Um die Teilnahme gewinnbringend zu gestalten, ist die Teilnehmerzahl auf 25 begrenzt.


OpenChain Spezifikation v1.2 verfügbar

Heute hat das OpenChain-Projekt die Spezifikation in der Version 1.2 veröffentlicht. Die Spezifikation kann hier in der englischen Version heruntergeladen werden. Die begleitende Information zum Release der Spezifikation findet sich hier.

Was ist OpenChain?

OpenChain ist ein Projekt der Linux Foundation, das sich zum Ziel gesetzt hat, das Vertrauen in die Nutzung von Open Source, insbesondere entlang der Wertschöpfungskette in der Software-Industrie zu erhöhen.

Wie wird das erricht?

Um dieses hochgesteckte Ziel zu erreichen, hat sich ein internationales Gremium aus Spezialisten gebildet, welches mit der OpenChain-Spezifikation einen Rahmen geschaffen hat, der Mindestanforderungen an betriebliche Abläufe und Dokumentation stellt. Damit soll in erster Linie ein bewusster Umgang mit Open Source im Unternehmen gewährleistet werden. Es besteht die Möglichkeit, seine Organisation im Zuge eines Self-Assessment gegen die OpenChain-Spezifkation zu prüfen bzw. zu zertfizieren. Zertfiizierte Unternehmen, sollten somit einem einheitlichen Standard im Umgang (EInkauf, Verarbeitung, Auslieferung) von Open Sourc eunterliegen.

Was sind die Limitierungen?

Die Spezifikation stellt Anforderungen an Prozesse und bietet somit einen Rahmen für die Organisationsgestaltung. Sie macht keine Vorgaben bzgl. spezifischer Dokumente oder der einzlener Artefakte, die zu erezeugen sind, um eine hinreichende Dokumentation zu erzeugen.

Wenn Sie mehr zu OpenChain erfahren wollen oder Hilfe bei dem Self-Assessment suchen, kontaktieren Sie uns!

Jetzt kontaktieren

22.2. Erfahrungen aus dem Aufbau von Open Source Governance

Am 22.2.2018 fand in Erfurt der 2. Compliance Day des Bitkom Arbeitkreises Open Source statt. Auf dieser Veranstaltung hat Jan in einem Vortrag Erfahrungen aus der Einführung von Prozessen und Policies zur Open Source Compliance vorgestellt. In diesen Vortrag geht Jan auf die Motivation und Herausforderungen der Einführung von Open Source Governance ein. Darauf aufsetzend stellt er ein umfassendes Konzept mit vier Säulen vor, welche nicht isoliert betrachtet werden sollten und gibt Hinweise, wie diese erfolgreich umzusetzen sind.

Der Vortrag kann hier heruntergeladen werden.

Informationen über weitere Veranstaltungen und des zum  AK Open Source gibt es hier.


1.11.17 Übernahme der VersionEye Geschäftskunden

Version Eye streckt die Flügel

Es ist immer schade, wenn ein angesehener Mitstreiter den Markt verlässt. Robert hat mit Version Eye das Thema Versionierung von Open Source Bibliotheken seit 2011 besetzt. Er hat eine große Community aufgebaut und – wie auch in seinem Blog beschrieben – einige Unternehmenskunden gewinnen können. Eine beachtliche und starke Leistung für eine Einzelperson bzw. sein kleines Team.

Zwar hat er in den letzten Jahren vermehrt auch in den Bereich Lizenzprüfung investiert, jedoch hat er mit seinen Kunden scheinbar keinen Weg gefunden, die Sache wirtschaftlich erfolgreich zu gestalten.

Was tun?

Was nun aber tun? Angenommen, die Prozesse sind auf Version Eye eingespielt, jedoch ist ab November, bzw. spätestens Ende Dezember nicht mehr mit der Fortführung zu rechnen.

Wir bieten interessierten Kunden an, für sie die Version Eye-Crawler nach Absprache für einige Monate in unserem Frankfurter Rechenzentrum weiterzubetreiben. Nach Rücksprache mit Robert lässt sich das einfach arrangieren, ohne dass auf Kundenseite viel zu tun ist. In dieser Zeit unterstützen wir Sie auch gerne dabei, einen neuen, für Ihren Bedarf geeigneten Weg zu identifizieren. Gerne stellen wir Ihnen auch unsere Open Source Compliance-Lösung TrustSource vor.

TrustSource fokussiert License-Compliance. Neben den OS-Komponenten lassen sich auch Infrastrukturkomponenten (DBs, MQs, etc.) verwalten, Releases einfrieren und Freigabeprozesse auditfähig dokumentieren. Zudem verfügt ECS über eine Logik, die es ermöglicht, die Eignung von Lizenzen auf einen Awnendungskontext zu prüfen und die resultierenden Anforderungen in Form eines Obligations-Reports abzufragen. SPDX Export und Bill of Materials APIs unterstützen die erforderliche Dokumentation.

Sprechen Sie uns an. Wir helfen Ihnen, die richtigen Schritte zu identifizieren!

Kontakt aufnehmen