Open Source Strategie mit Zukunft?



Ähnliche Dokumente
OSS vor der Reifeprüfung Komponenten und Denk- resp. Businessmodell

Albert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen

MOBILE ON POWER MACHEN SIE IHRE ANWENDUNGEN MOBIL?!

MOBILE ENTERPRISE APPLICATION PLATFORM (MEAP)

MO 27. Aug. 2007, 17:00 UHR JAVA FRAMEWORKS TIPPS VON PROFI-GÄRTNERN GEGEN WILDWUCHS

MOBILE ENTERPRISE APPLICATION PLATFORM (MEAP)

SuSE SmartClient Framework

Open Source Software (OSS) im Mission Critical Umfeld in der Finanzdienstleistungsbranche

Entwicklung und Einsatz von Signaturserverdiensten

Fachapplikationen in heterogenen IT Landschaften

HMS. Statistiken mit SAS ins Internet. HMS Analytical Software GmbH - Johannes Lang

Open Source Einsatz in der Stadt Wien

G DATA GOES AZURE. NEXT LEVEL MANAGED ENDPOINT SECURITY DRAGOMIR VATKOV Technical Product Manager B2B

Open Source. Hendrik Ebbers 2015

Herzlich Willkommen! eine praxisnahe Übersicht. Mit Java ins Web - mb@bebox.franken.de (c) Michael Behrendt -

NetScaler Integration bei Hellmann Worldwide Logistics. Benjamin Kania IS Enterprise Services Manager Hannover,

Welche Kostenfaktoren Wo fallen Kosten an Beispiele Chancen / Risiken beim Einsatz und Migration

AS/point, Ihr Partner die nächsten 10 und mehr Jahre -

Portal-Entwicklung mit der Enterprise Portal und der Enterprise Application Platform von JBoss

ITIL und Entwicklungsmodelle: Die zwei Kulturen

- XPages 2.0? René Winkelmeyer

SAP NetWeaver Gateway. 2013

Nevis Sichere Web-Interaktion

Barrierefreie Web Projekte Ein strategischer Ansatz

HP Asset LiVe. Carsten Bernhardt, HP Software Presales

Vertrauenswürdige, rechtlich belastbare Kommunikation in Datennetzen durch Authentifizierung (nicht Autorisierung) für

Geschützte Webinfrastruktur in der Public Cloud

Systemvoraussetzungen

Open Source als de-facto Standard bei Swisscom Cloud Services

LINUX Schulung. FrauenComputerZentrum Berlin. Jutta Horstmann, Mai 2006

Agile Softwareentwicklung in der Versicherungs-IT Fehlschlag oder Heilsbringer?

Henning Mersch. Tomcat. im Rahmen des RBG-Seminar SS04. Apache-Jakarta-Tomcat-Server RBG-Seminar 1/17

Transfer von Prozessen des Software-Produktlinien Engineering in die Elektrik/Elektronik- Architekturentwicklung von Fahrzeugen

Herzlich Willkommen zur IT - Messe

GOsa2. Eine Identity-Management-Lösung auf Open-Source-Basis. Irina Neerfeld

OpenSource bei PostFinance Einsatz in der Software Entwicklung. informativ

16.4 Wiederverwendung von COTS-Produkten

Linux Desktop im Kanton Solothurn

Application Service Providing ASP - das neue Geschäftsmodell im ecommerce!

Dr. Klaus Körmeier BlueBridge Technologies AG

OpenSource Business Strategien. Thomas Uhl Topalis AG

Oracle GridControl Tuning Pack. best Open Systems Day April Unterföhring. Marco Kühn best Systeme GmbH

Das BIT und die SuisseID : Sicherheit, Kontinuität und Innovation

Echtzeit-Sendungsverfolgung mittels Mobile Java und GPRS

Thema: Eine andere Sicht der Dinge

Con.ECT IT-Service & Business Service Management SAM-Outsourcing: Lizenzmanagement als externer Service

Summer Workshop Mehr Innovationskraft mit Change Management

Android-Testautomatisierung mit Robotium

Free Software Strategy In the Public Administration of South Tyrol. 12. November 2010

Identity & Access Management in der Cloud


Erfolgreicher Ums9eg auf Git

Arbeiten ohne mit Collaborative Task Management. c3 organisationsberatung Energie für Sie & Ihr Unternehmen!

Strategien eine Software- Dienstleisters

Informatikstrategieorgan Bund ISB PloneGov Team Collaboration und GEVER light

geo.admin.ch: das Geoportal des Bundes auf der Überholspur in der Public Cloud dank Open Source Open Cloud Day, 19. Juni 2012, Universität Bern

5 Schritte zur IT-Sicherheit. Johannes Nöbauer Leiter Enterprise Services

Webcast-Serie IT Transformation in die Cloud, Teil 2. Private Cloud & SaaS Konzepte und deren Anwendung. Henning von Kielpinski (ConSol* GmbH)

Unabhängig, investitionssicher, nutzerfreundlich: Open Source für integrale betriebliche IT-Systeme

Hersteller-neutrale IT-Zertifizierungen im internationalen IT-Umfeld

eevolution DMS Dokumenten Management & Office Produktivität Dipl. Ing. Jens Hampl

Ihr Weg in die Cloud einfach A1. Alexandros Osyos, MBA Leiter Partner Management A1 Telekom Austria

Comparing Software Factories and Software Product Lines

Bewertungsansätze für IT Application Evolution

Multi-Device Applikationen aus der Swisscom Cloud. Lukas Lehmann

Anforderungen an die HIS

CeBIT CARMAO GmbH

Multimedia im Netz. Wintersemester 2011/12. Übung 10. Betreuer: Verantwortlicher Professor: Sebastian Löhmann. Prof. Dr.

Seminar Grid-Computing. Oktay Tugan, WS 2006/07 SICHERHEIT

IT-Strategie zum Einsatz von Open Source Software. SenInnSport IT-Kompetenzzentrum

Systemvoraussetzungen

10/31/14. Interop. MÖGLICHKEITEN und GRENZEN der DIGITAL VERNETZTEN SWISS ICT SYMPOSIUM 2014

Projektarbeit POS II zum Thema Branchensoftware in der Druckindustrie. Ben Polter, Holger Räbiger, Kilian Mayer, Jochen Wied

Solaris Cluster. Dipl. Inform. Torsten Kasch Bielefeld.DE> 8. Januar 2008

Microsoft SharePoint 2013 Designer

Viele gute Stellen sind frei. Besetzen Sie eine.

1. Umfrage zum Einsatz von Open Source Software in österreichischen Unternehmen

PKI-Forum Schweiz, 15. Mai Erfahrungsbericht über den Aufbau der PKI der

OSGi-basierte Webapplikationen Ein Erfahrungsbericht

Wachstum ermöglichen durch Agilität und Transparenz in der IT

Open Source GIS - das alternative geogovernment

Software SCP Global Technology. ????? SCP Global?????

Die Integration von Requirements Management, Software Configuration Management und Change Management mit der MKS Integrity Suite 2006

Soft Migration Angelika Gößler

Eclipse Equinox als Basis für Smart Client Anwendungen. Christian Campo, compeople AG, Java Forum Stuttgart 2007

mtc mapping technology & consulting

IPv6 im Rechenzentrum

Mobile App Testing - Mit der richtigen Strategie zum Erfolg

Server-centric vs. Client-centric Web Applications. BITKOM Software Summit 2014, Frankfurt

Wie weit können öffentliche Aufträge Schweizer Auftragnehmer, Schweizer Hard-und Software fordern? / Nationalrat Thomas Maier

Konfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung

Stabilisierung von J2EE-Anwendungen durch APM

Time To Market. Eine Plattform für alle Anforderungen. Lokale Betreuung (existierende Verträge und Vertragspartner, ) Kosten

Hardware- und Softwareanforderungen für die Installation von California.pro

Schweizerisches Bundesgericht

Sichere Einbindung von Open Source in kommerzielle Projekte

AppOcalypse now! Die Zukunft des Intranets ist Mobile Jussi Mori

Transkript:

Open Source Strategie mit Zukunft? Stefan Arn, Präsident ICTswitzerland Dipl. Informatik-Ing. ETH Zürich Agenda Hintergrund des Referenten Thematik-Verständnis Fokus Entrerprise-Umfeld Knacknüsse Technologie-Management und rechtliche Aspekte Praxisbeispiele Mit Fallstudie PKI-Implementation Kriterienkatalog Fazit OSS-Motivation: There are always two reasons: The good reason and the real reason. The good reason is that you want it this way. The real reason is that you get the credit for doing it this way. 1

Hintergrund des Referenten Dipl. Informatik-Ing. ETH Zürich, 1989 AdNovum Informatik AG, 1988 2006 Gründer, Besitzer, Verwaltungsratspräsident, CEO High-End Software- und Security-Engineering www.adnovum.ch Zürich (HS), Bern, Budapest: 150 MA, 75% Software-Ingenieure Kunden: Banken, Privatbanken, Bund, Behörden, Die Schweiz. Post Zitat UBS: AdNovum is a very well-recognized and respected name in software engineering. Ernst&Young Entrepreneur of the Year 2003 Präsident von ICTswitzerland, seit Mai 2006 Dachverband der Schweizer ICT-Branche UBS AG, seit 1.1.2007 Head of SDU Clients & Products, Global WM&BB OSS Starkes Momentum Treiber Marktdynamik Deutsche Postbank setzt auf Linux und Novell Novell kauft SuSE, Oracle kauft Sleepycat, Red Hat kauft JBoss Breite Akzeptanz Finanzdienstleister, Bund, Behörden, Schulen 'Schwellenländer' Security-Umfeld Kontrolle (Sourcecode), Kostenoptimierung (Wettbewerb) Releasezyklen & Standards Investitionsschutz: best-of-breed statt single vendor Hoher Reifegrad einzelner Produkte mit Enterprise readiness Apache, Linux, OpenSSL, EJBCA, OpenOffice, log4j, OpenLDAP,... Verfügbarkeit: Know-how und Skills 2

OSS 'Window of opportunity' Investitionsschutz Minimaler Vendor Lock-in / Standards oder de facto Standards Kontrollierte Abhängigkeit von Produktzyklus, reduzierte Marktkonzentration Erhöhte Transparenz; u.a. mangels Haftung... Community-Foren / Verifikation in der Codebasis Betriebs- & Systemsicherheit / Security Alerts Autonomie & Kontrolle über Source-Code-Zugriff Breite Wissensbasis; globalisierte Umsetzungsmöglichkeit Kürzere Reaktionszeiten: Bulletins, Updates, Releasezyklen & Roadmaps Sparpotential Lizenz-/Wartungskosten (... vor allem auch ein echter Wettbewerb für Produktlizenzen und -wartungskosten) Knacknüsse im Praxiseinsatz Voraussetzungen Support auf strategischer Ebene Abstimmung der Bedürfnismatrix Business vs. Technologie vs. Architektur vs. Organisation vs. Betrieb vs. Verfügbarkeit notwendiger Engineering-Leistungen (intern, extern) Reifegrad-Beurteilung Funktionalität, Lebenszyklus, Qualität, Know-how, Integrations- und Customizing-Grad Support SLA 3

Knacknüsse im Praxiseinsatz (II) Kostentransparenz Von Entwicklung bis Configuration & Change Mgmt. Security & Technologie-Management Weiterentwicklungen werden evtl. übersehen/ignoriert Rechtliche Aspekte, v.a. Lizenzen Patenteinkaufsgemeinschaft IBM, Novell, Sony, Philips etc. Länderspezifische Auslegungen der OSS-Lizenzmodelle Security im OSS-Umfeld Einbaumöglichkeit für Security Features Keine 'Security by Obscurity' Eingehende, weltweit verteilte Code-Analyse Sicherheits- und Qualitätsrisiken Zunehmende Anzahl Security Alerts Indiz für Popularität & pro-aktive Komm.; auch Folge der 'Offenheit' Hohe Komplexität und viele 'Contributors': Potentielle Sicherheitslecks 'Zwischenhändler' für zeitgerechte Vulnerability-Fixes erforderlich Kann ich Code-Änderungen trauen? Rechtliche Aspekte Verantwortung: Liability Issues?, Patente?, Urheberrechtsverletzung? SLA Zertifizierung als Vertrauenselement? 4

OSS Development: Nevis Sicherheitsarchitektur: bewährt, skalierend, offen Im Grosseinsatz UBS, EJPD, Die Post, PostFinance, Standards Java, Java EE, Corba, W3C/ WSS, Liberty, GSS, PKCS#11, Erweiterte OSS-Implementationen Apache, OpenSSL, log4j, Struts, JDom, Tomcat, Transparente Integration Zertifiziert OSS Security-Komponenten Beispiel Secure Reverse Proxy - nevisproxy High-grade Security Unterstützt HTTPS, IIOPS, Citrix ICA, transparent tunneling Effektiver Schutz gegen MitM-Attacken, basierend auf Client- Zertifikaten/PKI oder SSL/TLS Session aware User Authentication 5

Der SW-Engineering-Prozess Der Kernprozess Analyse & Design Dev. / Implementation Test & Integration Manage & Optimize Jede Phase definiert Rollen & Aufgaben Lieferobjekte & Checkpoints Treten in der Regel am Ende jeder Phase auf: Anforderungsspezifikation und technische Spezifikation Security- & Architektur-Sign-off Technologie-Management Werkzeugkasten 3 Ebenen Strategisch Taktisch Operativ Gesamtkonsistenz Fokus: Definiertes Set Multi-lokale Entwicklung Expertenwissen Voraussagbarkeit Kostenkontrolle Bedingung: Automatisierung 6

Technologie-Management II Erfolgsentscheidend beim Open-Source-Einsatz Strategisch: Technologiematrix Einordnung gemäss Lebenszyklus & Bedeutung Taktisch: Engineering Toolbox Katalog gereifter Technologien inkl. Anwendungserfahrung Operativ: Application Web Automatische Überprüfung von Versionen & Abhängigkeiten (in der Entwicklungsumgebung integriert) Basis für eine kontrollierte Evolution OSS-Komponenten kommen oft wegen der tiefen Einstiegsschwelle ungeahnt feingranular zum Einsatz: Menge, Varianten, Redundanzen Rechtsaspekte im OSS-Umfeld Grosse Varianz der OSS-Lizenzmodelle Typische OSS-Lizenzbedingungen: Urhebernennung, Überbindung des Lizenzmodells Weiterentwicklungen müssen zurück an den Urheber (community) Absicherung beim Auftraggeber Mehraufwand bei der Projektsynchronisation Original Source Code verfügbar machen Rechtslage unklar noch keine Präzedenzfälle Durchsetzbarkeit nach lokal anwendbarem Recht fragwürdig Problem für Auftraggeber: unsichere Rechtsgewährleistung Lösungsansatz: Versicherungslösungen 7

Lizenzmodelle im OSS-Umfeld Beispiel Öffentliche Verwaltung Verwaltung von >1 Mio. Personen/Dossiers & Akten Entwicklungsaufwand: neutral, keine Einsparung Einsparung: Lizenzkosten einmalig ~0.3/M, Wartung ~0.1/M/y 8

Beispiel Öffentliche Verwaltung OSS 'Product' Bundle ( Unabhängigkeit, Kosten) Applikationsserver JBoss & Servlet Container Apache Tomcat Jakarta Struts & Spring Frameworks,... Fallstudie PKI auf OSS Aufbau erweiterbarer Basis-PKI für Finanz-DL Basiert auf Open Source PKI Projekt (EJBCA) Plattformunabhängig: Java- / J2EE-Applikation Sicherheit Trennung von RA und CA (eigenes Subnetz, keine Listener ) CA-Keys auf Hardware Security Module (HSM) Konfigurierbar 4 Node-CAs, User-CA-Hierarchie, Zertifikats-Profile, Admin-Rechte,.. Kunden-spezifische Prozesse Admin, Life Cycle, Validierung, Notfallszenarien Gewinn: Sicherheit, keine Einzel-Zertifikatskosten & Massschneiderung 9

OSS EJBCA out of the box Problematik Direkte Zugriffe auf RA (ohne Reverse Proxy) auf CA (gleicher Rechner wie RA) Private CA-Schlüssel in DB lesbar Auth./Autorisierung erst in Applikation Kein Auth.-Service, Kein IDM mit Rechteverwaltung Keine Integration in Kundenprozesse Kein integrierter Workflow Eigener Look&Feel Nicht kundenspezifisch Umsetzung: PKI auf EJBCA Einbindung in bestehende Security-Infrastruktur Geschützte Zugriffe (nevisproxy, nevisauth) Trennung von RA und CA Private CA-Schlüssel auf HSM 10

Kriterienkatalog Fazit OSS besitzt starkes Momentum Einsatz im 'Enterprise'-Umfeld erfordert Entscheid & Support auf Management-Stufe Organisatorische Vorkehrungen von Entwicklung bis Betrieb Know-how, Umsetzungskompetenz & flankierende (Security-) Module Griffiges Technologie-Management Kriterienkatalog als Hilfsmittel für Evaluationsentscheide... generiert aber nicht notwendigerweise unmittelbar Kosteneinsparungen, sondern fördert den Wettbewerb, reduziert Abhängigkeiten und kann in wichtigen Bereichen die Transparenz erhöhen. 11

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback