TrustSource v1.4 released

Wir freuen uns, die Verfügbarkeit der Version v1.4 anzukündigen!

Endlich ist es soweit. Nach viel Arbeit, Schweiß und Tests haben wir die v1.4 released. Es sind eine Vielzahl von Neuerungen dabei, die die Arbeit mit TrustSource erheblich effizienter machen werden:

  • Eine Inbox nimmt zukünftig alle Kommunikation auf, damit nichts mehr verloren geht.
  • Vulnerability-Feeds ermöglichen das frühzeitge Erkennen von möglichen Porblemen
  • CVS-Scores und Angriffsvektoren helfen bei der Einschätzung der Kritikalität identifizierter Schwachstellen.
  • Erweiterte Verpflichtungsanalyse - Es ist jetzt möglich, direkt von dem Obligation-Report auf die verursachenden Komponenten zu springen. Zudem kann der Bericht auch direkt aus der Modulansicht heraus aufgerufen werden.
  • Eignungsprüfung - Um den SHIFT-LEFT-Effekt weiter zu unterstützen, haben wir ein Test-Feature für noch nicht verbaute Lizenzen und/oder Komponenten eingeführt. Damit können Entwickler bereits _vor_ Einsatz einer Komponente die Auswirkungen projekt- und modulspezifisch prüfen. Die Funktionen werden auch im API bereitgestellt.
  • Private Lizenzen - Es ist nun möglich, eigene Lizenzschlüssel anzulegen, um eigene Lizenzen nicht mehr zwingend als commercial klassifizieren zu müssen.

Zudem wurden einige Verbesserungen und Fixes durchgeführt. unter anderem wurde ein Matching-Problem im Vulnerability Scanner behoben.

Weitere Informationen und Details zu dem Release finden sich auch hier.


19.6. Compliance Breakfast @ Frankfurt a.M.

Um innovative Produkte und Lösungen schnell und kostengünstig an den Markt zu bringen, ist der Einsatz von Software und insbesondere Open Source Software überlebensnotwendig.

Open Source Software ist jedoch kein Free Lunch!

Welche Verbindlichkeiten mit dem Einsatz von Open Source Software einhergehen, was sie auslöst und was daraus folgt sowie wie man die daraus resultierenden Risiken beherrschbar hält, ist Gegenstand dieser Informationsveranstaltung. Neben einem Überblick zur aktuellen Rechtsprechung stellen die Referenten praktische Erfahrungen aus der Einführung von Open Source Governance vor.

0830-0900 Welcome Kaffee & Tee

0900-0915 Begrüßung durch Gastgeber (EACG) und Vorstellung der Referenten

0915-0945 Aktuelle, rechtliche Entwicklungen (Heinzke)

0945-1000 Fragen und Diskussion

1000-1045 Erfahrungsbericht Einführung Open Source Governance im Konzern (Thielscher)

1045-1100 Fragen und Diskussion

Reservierung von Plätzen (verbindliche Teilnahme) ist hier möglich. Um die Teilnahme gewinnbringend zu gestalten, ist die Teilnehmerzahl auf 25 begrenzt.


OpenChain Spezifikation v1.2 verfügbar

Heute hat das OpenChain-Projekt die Spezifikation in der Version 1.2 veröffentlicht. Die Spezifikation kann hier in der englischen Version heruntergeladen werden. Die begleitende Information zum Release der Spezifikation findet sich hier.

Was ist OpenChain?

OpenChain ist ein Projekt der Linux Foundation, das sich zum Ziel gesetzt hat, das Vertrauen in die Nutzung von Open Source, insbesondere entlang der Wertschöpfungskette in der Software-Industrie zu erhöhen.

Wie wird das erricht?

Um dieses hochgesteckte Ziel zu erreichen, hat sich ein internationales Gremium aus Spezialisten gebildet, welches mit der OpenChain-Spezifikation einen Rahmen geschaffen hat, der Mindestanforderungen an betriebliche Abläufe und Dokumentation stellt. Damit soll in erster Linie ein bewusster Umgang mit Open Source im Unternehmen gewährleistet werden. Es besteht die Möglichkeit, seine Organisation im Zuge eines Self-Assessment gegen die OpenChain-Spezifkation zu prüfen bzw. zu zertfizieren. Zertfiizierte Unternehmen, sollten somit einem einheitlichen Standard im Umgang (EInkauf, Verarbeitung, Auslieferung) von Open Sourc eunterliegen.

Was sind die Limitierungen?

Die Spezifikation stellt Anforderungen an Prozesse und bietet somit einen Rahmen für die Organisationsgestaltung. Sie macht keine Vorgaben bzgl. spezifischer Dokumente oder der einzlener Artefakte, die zu erezeugen sind, um eine hinreichende Dokumentation zu erzeugen.

Wenn Sie mehr zu OpenChain erfahren wollen oder Hilfe bei dem Self-Assessment suchen, kontaktieren Sie uns!

Jetzt kontaktieren

22.2. Erfahrungen aus dem Aufbau von Open Source Governance

Am 22.2.2018 fand in Erfurt der 2. Compliance Day des Bitkom Arbeitkreises Open Source statt. Auf dieser Veranstaltung hat Jan in einem Vortrag Erfahrungen aus der Einführung von Prozessen und Policies zur Open Source Compliance vorgestellt. In diesen Vortrag geht Jan auf die Motivation und Herausforderungen der Einführung von Open Source Governance ein. Darauf aufsetzend stellt er ein umfassendes Konzept mit vier Säulen vor, welche nicht isoliert betrachtet werden sollten und gibt Hinweise, wie diese erfolgreich umzusetzen sind.

Der Vortrag kann hier heruntergeladen werden.

Informationen über weitere Veranstaltungen und des zum  AK Open Source gibt es hier.


1.11.17 Übernahme der VersionEye Geschäftskunden

Version Eye streckt die Flügel

Es ist immer schade, wenn ein angesehener Mitstreiter den Markt verlässt. Robert hat mit Version Eye das Thema Versionierung von Open Source Bibliotheken seit 2011 besetzt. Er hat eine große Community aufgebaut und – wie auch in seinem Blog beschrieben – einige Unternehmenskunden gewinnen können. Eine beachtliche und starke Leistung für eine Einzelperson bzw. sein kleines Team.

Zwar hat er in den letzten Jahren vermehrt auch in den Bereich Lizenzprüfung investiert, jedoch hat er mit seinen Kunden scheinbar keinen Weg gefunden, die Sache wirtschaftlich erfolgreich zu gestalten.

Was tun?

Was nun aber tun? Angenommen, die Prozesse sind auf Version Eye eingespielt, jedoch ist ab November, bzw. spätestens Ende Dezember nicht mehr mit der Fortführung zu rechnen.

Wir bieten interessierten Kunden an, für sie die Version Eye-Crawler nach Absprache für einige Monate in unserem Frankfurter Rechenzentrum weiterzubetreiben. Nach Rücksprache mit Robert lässt sich das einfach arrangieren, ohne dass auf Kundenseite viel zu tun ist. In dieser Zeit unterstützen wir Sie auch gerne dabei, einen neuen, für Ihren Bedarf geeigneten Weg zu identifizieren. Gerne stellen wir Ihnen auch unsere Open Source Compliance-Lösung TrustSource vor.

TrustSource fokussiert License-Compliance. Neben den OS-Komponenten lassen sich auch Infrastrukturkomponenten (DBs, MQs, etc.) verwalten, Releases einfrieren und Freigabeprozesse auditfähig dokumentieren. Zudem verfügt ECS über eine Logik, die es ermöglicht, die Eignung von Lizenzen auf einen Awnendungskontext zu prüfen und die resultierenden Anforderungen in Form eines Obligations-Reports abzufragen. SPDX Export und Bill of Materials APIs unterstützen die erforderliche Dokumentation.

Sprechen Sie uns an. Wir helfen Ihnen, die richtigen Schritte zu identifizieren!

Kontakt aufnehmen