:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/65/3b/653bccb0f4511868163e35e79ef17efe/0118315737.jpeg "Im Fokus dieses Artikels steht die Verbesserung der Systemsicherheit von Linux und die Optimierung von dessen Security-Funktionen. (Bild: Antonio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9b/70/9b701d17f9947da98f7ff66794de1c40/0118171949.jpeg "Aktuell ist es möglich, dass Cyberkriminelle Malware über GitHub verteilen. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/90/1b90e93ba52866a4520b86a925993f29/0117406981.jpeg "Durch ein offenes Raumdesign können Beschäftigte leichter miteinander interagieren, Ideen austauschen und eine stärkere Gemeinschaft bilden. (Bild: © – Summit Art Creations – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/95/0d/950dd2218249e3c616e1666c30c8548a/0117578309.jpeg "Die Log4j-Schwachstelle zeigte mit Blick auf die Sicherheit von Open-Source-Projekten sowohl Vor- als auch Nachteile. (© Alexander Limbach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a6/36/a636fe064793ade70e7c90d9399a538d/0117657802.jpeg "Apache Nutch lässt sich effektiv mit einer Reihe anderer Open-Source-Lösungen kombinieren, um leistungsfähige und vielseitige Datenverarbeitungssysteme zu schaffen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/98/1b/981b9520fd3ed77b1db64bb37cfc0f81/0117922410.jpeg "Verteilte und lose gekoppelte Anwendungen machen Application-Security-Teams die Arbeit deutlich schwerer. (© ArtemisDiana - stock.adobe.com)")
![„Ressourcen zum Wissensaufbau [rund um Cloud Native] gibt es erstmal genug. Das wichtigste ist, glaube ich, ein aufrichtiges Interesse und das Wollen“, konstatiert Max Hille im Dev-Metal-Podcast. (Bild: Vogel IT-Medien / Cloudflight)](https://cdn1.vogel.de/wn4z_Ut4eM9FMQWpNr19rQyzndY=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/89/54/89548254b1bad25c375bbe4497bd614e/0118326747.jpeg "„Ressourcen zum Wissensaufbau [rund um Cloud Native] gibt es erstmal genug. Das wichtigste ist, glaube ich, ein aufrichtiges Interesse und das Wollen“, konstatiert Max Hille im Dev-Metal-Podcast. (Bild: Vogel IT-Medien / Cloudflight)")
:quality(80)/p7i.vogel.de/wcms/53/73/5373f7073941b80f759d0ba5af02d122/0118064832.jpeg "Das empfindliche Gleichgewicht zwischen Modellgenauigkeit und Modellleistung ist entscheidend für die Auswahl von KI-Modellen, heißt es im Amazon Blog. (Bild: Amazon)")
:quality(80)/p7i.vogel.de/wcms/5f/f8/5ff8b33a74c400cae216d0256d7e6d85/0117562724.jpeg "Cyber-Bedrohungen entwickeln sich permanent weiter, weshalb Unternehmen beim Einsatz von SaaS-Anwendungen spezielle Sicherheitsstrategien anwenden müssen, um diese Risiken zu mindern. (Bild: lee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2e/72/2e7289e13f9938285540e96be53cc098/0117654091.jpeg "Nebenläufigkeit, mehr Performance, bessere Fehlerbehandlung: Das für September geplante Upgrade auf Swift 6 verspricht einige Optimierungen. (Bild: <u><a href=https://pixabay.com/users/stocksnap-894430/>StockSnap</a></u>)")
:quality(80)/p7i.vogel.de/wcms/7a/26/7a26ccac018032f39646084535d08b71/0118315576.jpeg "Bei .NET 7-Anwendungen kann es nach dem 14. Mai 2024 zu technischen Schwierigkeiten kommen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/bd/f1/bdf1217cc5885d60e2eac54ad9a69e26/0117073864.jpeg "Die Sicherung der Lieferkette einer „containerisierten“ Anwendung ist ein mehrstufiger Prozess, der sich von der Entwicklung bis hin zur Bereitstellung erstreckt. (Bild: <u><a target="_blank" href=https://pixabay.com/photos/container-ship-cargo-ship-freighter-596083/>46173</a></u>)")
:quality(80)/p7i.vogel.de/wcms/9c/d1/9cd11868f7678b81932032a894bcd81a/0117948576.jpeg "Moderne EdTech-Entwickler und -Designer sollten eine Umgebung schaffen, in der sich alle Lernenden wohlfühlen und einen barrierefreien Zugang zu Wissensinhalten haben. (Bild: <u><a target="_blank" href=https://pixabay.com/users/roszie-6000120/>RosZie</a></u>)")
:quality(80)/p7i.vogel.de/wcms/f7/6d/f76d249a97c8c0a91983ab137df5a078/0117977628.jpeg "Durch die neue EU-Produkthaftungsrichtlinie wird „Software“ erstmals ausdrücklich Gegenstand von verschuldensunabhängiger Haftung. (Bild: finecki - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fb/0e/fb0ec038774b9939f8180f811b62645d/0118117596.jpeg "In vielen IT-Bereichen sind Cross- und Upskilling die bevorzugten Methoden, um für die benötigte Expertise im Unternehmen zu sorgen. (Bild: Linux Foundation)")
![Mithilfe eines anderen Konsensverfahrens, Hashgraph, ließe sich eine Menge CO2 bei der Berechnung von Kryptowährungen sparen. (Bild: Benjamin ['O°] Zweig - stock.adobe.com)](https://cdn1.vogel.de/annR7MKBLjg3UGu-x3l6Nvb7-fI=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/4e/40/4e40e5356b18ebce4656f2a51e65c815/0116079923.jpeg "Mithilfe eines anderen Konsensverfahrens, Hashgraph, ließe sich eine Menge CO2 bei der Berechnung von Kryptowährungen sparen. (Bild: Benjamin ['O°] Zweig - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d0/01d02743d019010886e4fe0d47222d72/0115628204.jpeg "Der Autor Fabian Tröltzsch auf der w3.vision X DMEXCO 2023. (© koelnmesse)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/be/18/be18ae4c02dbf9aa47e97decf9b84ea4/0118091847.jpeg "Die meisten der existierenden Datenbanksysteme verfügen über SQL-Schnittstellen. (Bild: alphaspirit - Fotolia.com)")
:quality(80)/p7i.vogel.de/wcms/af/ba/afba059e1e635289905bc63ce8cc4579/0117149678.jpeg "On-Premise bezeichnet den Betrieb von Software auf selbstverwalteten Hardware-Ressourcen. (Bild: <u><a href=https://unsplash.com/de/@tvick>Taylor Vick</a></u>)")
:quality(80)/p7i.vogel.de/wcms/79/8a/798ac0bb2a4e3a384a3c7634dc919ceb/0117709235.jpeg "APIs ermöglichen es verschiedenen Software-Anwendungen, Daten auszutauschen und miteinander zu interagieren, ohne dass Details zu Implementierung bekannt sein müssen. (Bild: <u><a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a></u>)")
:quality(80)/p7i.vogel.de/wcms/ef/83/ef83b21f59d76ece1f76070d93e9bd6b/0116763715.jpeg "Mit der Verbreitung von generativer KI wird die Bedeutung von Software-Bots weiter zunehmen. (Bild: <u><a href=https://pixabay.com/users/alexandra_koch-621802/>Alexandra Koch</a></u>)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Compliance in der Cloud Das SaaS-Schlupfloch in der GNU GPL
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/65/68/656863dbcf3d9/logo-devops-windhoff-group.png "logo-devops-windhoff-group (Windhoff Group)"){kind=logo}
Hebt ein Software-Anbieter seine Lösungen in die Cloud hebt, verändert sich nicht nur das Bereitstellungsmodell. Im Zweifelsfall gelten auch andere Richtlinien bei der Nutzung von Open-Source-Software-, kurz OSS-Komponenten. Das betrifft zum Beispiel SaaS und die GNU General Public License (GNU GPL).
Die Frage, wie die freie Nutzung von OSS auch innerhalb neuer Anwendungsszenarien sichergestellt bleibt, beschäftigt die Open Source Community schon länger. Gerade in Hinblick auf die Cloud wurde viel über mögliche Regelungslücken in bestehenden Copyleft-Lizenzen diskutiert.
Nach glasklaren Bestimmungen in Lizenztexten sucht man vergeblich. Das liegt zum einen daran, dass die Cloud zum Zeitpunkt des Verfassens schlichtweg noch keine Rolle spielte. Zum anderen knüpft die Offenlegung des Quellcodes in OSS-Lizenzen an die sogenannte „Distribution“ an.
In den englischen Originalfassungen ist dieser Begriff nicht näher definiert und ermöglicht je nach Übersetzung unterschiedliche Interpretationsweisen. Typischerweise ist damit die Übergabe des Objektcodes an den Kunden gemeint. Beim Cloud Computing läuft der Code jedoch nicht auf den Rechnern der Nutzer ab, sondern auf den Servern des Cloud-Anbieters.
Was ist die GNU General Public License?
Können also Unternehmen, die eine Software hosten bzw. diese als Application Service Provider (ASP) anbieten, entsprechende Lizenzbestimmungen umgehen? Hier lohnt sich ein genauer Blick auf die jeweiligen Bestimmungen der GNU General Public License (kurz GNU GPL).
Die GPL ist eine Open-Source-Software-Lizenz, die es Entwicklerinnen und Entwicklern erlaubt, Quellcode zu nutzen, zu kopieren, zu verbreiten und zu ändern – auch für kommerzielle Produkte. Diese weitreichenden Rechte sind allerdings an Verpflichtungen geknüpft, in erster Linie der sogenannten „Copyleft“.
Die Klausel besagt, dass Veränderungen und Weiterentwicklungen, die auf einer frei zugänglichen Software basieren, ebenfalls offengelegt werden und frei zugänglich sein müssen. Dazu zählt die Offenlegung des GPL-Lizenztextes, einschließlich des Quellcodes, oder eines für drei Jahre gültigen, schriftlichen Angebots, den Quellcode zur Verfügung zu stellen.
GPL gilt als die wohl am weitesten verbreitete Software-Lizenz überhaupt. Sie wird sowohl vom Linux-Kernel und GNU-Tools als auch von vielen anderen populären Open-Source-Projekten genutzt. Für Software-Anbieter, die mit proprietärer Software Geld verdienen wollen und ihr geistiges Eigentum schützen müssen, ist die GPL hingegen mit Risiken verbunden.
Gilt GPL bei SaaS?
„Distribution“ ist, wie bereits erwähnt, das Schlüsselwort der GPL, welches im Bereitstellungsmodell von SaaS grundsätzlich keine Rolle spielt. Denn hier wird der Quellcode nicht an den Nutzer weitergeben oder auf seinem Rechner installiert. Dies macht SaaS-Produkte bis zu einem gewissen Grad immun gegenüber GPL – zumindest, wenn man im SaaS-Modell lediglich das Ausführen („Running“) bzw. das Vervielfältigen der Software sowie der darin enthaltenen OSS-Komponenten sieht.
Wie so oft bei Software-Lizenzen gibt es auch hier Ausnahmen zu beachten – zum Beispiel SaaS-Anwendungen, die eine JavaScript-Bibliothek verwenden. Animation und grafische Elemente der Software basieren auf einem Code, der auf dem Computer heruntergeladen und dort ausgeführt wird.
Juristisch ist dies durchaus als Weitergabe zu werten und fällt damit unter GPL. Angesichts der Dominanz von Javascript in der Webentwicklung gibt es wohl nur wenige SaaS-Produkte, die tatsächlich zu 100-prozentig Javascript-frei sind und damit das SaaS-Schlupfloch nutzen können.
Warum gibt es die GNU Affero General Public License (AGPL)?
Um Unsicherheiten in Bezug auf GPL und Cloud Computing zu beseitigen, entwickelte die Free Software Foundation daher die GNU Affero General Public License (AGPL). AGPL-3.0 basiert auf dem Lizenztext der GPL, wurde aber um den entscheidenden Abschnitt 13 erweitert.
Anbieter müssen den Quelltext einer Software demnach auch dann offenlegen, wenn diese lediglich auf einem Server als Dienst betrieben wird. „Distribution“ bzw. die Weitergabe des Codes ist also nicht mehr alleiniger Auslöser für die Gültigkeit der Lizenzregelung. AGPL zielt damit explizit auf Anwendungsszenarien innerhalb des Cloud Computings und schließt effektiv die SaaS-Lücke.
Welche Risiken bleiben bei der Nutzung von OSS-Komponenten?
Unabhängig von der Debatte um das GPL-SaaS-Schlupfloch sollten Software-Anbieter die Lizenzen von OSS-Komponenten genau im Blick behalten. Denn die Lizenzen sind komplex, teilweise schwer verständlich und verändern sich im Laufe der Zeit. Dadurch entstehen unterschiedliche Risiken:
Compliance-Risiken
Unwissenheit schützt vor Strafe nicht – oder zumindest nicht vor langwierigen und kostspieligen Rechtsstreitigkeiten. GPL mag SaaS-Anwendungen ein Schlupfloch bieten, AGPL jedoch verlangt klar Open-Source-Konformität. Anbieter müssen hier genau wissen, woher eingesetzte OSS-Komponenten stammen und welchen Lizenzen sie unterliegen. Bei jeder Lizenz kann es Ausnahmen geben, die verstanden, respektiert und weitergegeben werden müssen.
Vorsicht ist ebenfalls geboten, wenn hinsichtlich der Lizenzierung keine Angaben vorliegen. Nur weil die Lizenz einer OSS-Komponente nicht genannt wird, heißt das nicht, dass keine Lizenzvorgaben zu erfüllen sind. Eventuell wird die Komponente nicht häufig genutzt oder der Kreis der Benutzer ist relativ klein. So ist es zum Beispiel möglich, dass ein Entwickler nachträglich einen Antrag stellt, um seinen Code unter eine neue Lizenz zu stellen bzw. um die Lizenzbestimmungen zu ändern. Liegt keine klare Erlaubnis für die Verwendung einer OSS-Komponente vor, besteht also immer ein Risiko.
Sicherheitsrisiken
Frei verwendbar und sicher sind zwei Begriffe, die in der heutigen Zeit eher selten im selben Atemzug fallen. Wer OSS-Komponenten – egal ob unter GPL oder AGPL – in seinen Produkten verwendet, setzt sich immer den Risiken von Schwachstellen und Bugs aus. Das Gute an der Open-Source-Gemeinschaft ist, dass sie sich lautstark und aktiv für Schwachstellen einsetzt. Sobald Sicherheitslücken im Code identifiziert sind, findet sich in der Regel auch ein entsprechender Patch. Das CVE-System (Common Vulnerabilities and Exposures) bietet einen zuverlässigen Referenzrahmen für bekannt gewordene Schwachstellen.
Der schönste Patch hilft allerdings nur wenig, wenn Anbietern der Einblick und Überblick ihrer Software-Komponenten fehlt. Im Rahmen von Software-Audits wertete Revenera mehr als 2,6 Milliarden Codezeilen aus und entdeckte dabei insgesamt 230.000 kritische Fälle.
Im Durchschnitt stießen die Analysten alle 11.500 Codezeilen auf einen Compliance-Verstoß, eine Sicherheitsschwachstelle oder Ähnliches. Das eigentlich Fatale: 83 Prozent der in den Audits aufgedeckten Risiken waren den UntSucheSicheernehmen im Vorfeld der Untersuchung nicht bekannt.
Strategische Risiken
Unternehmen, die sich voll und ganz auf die Entwicklung von SaaS Anwendungen fokussieren und dabei das GPL-Schlupfloch ausnutzen, sollten sich zudem über die möglichen strategische Konsequenzen bewusst sein. Nicht alle Kunden wollen oder können den Weg in die Cloud gehen. In bestimmten Industrien und Anwendungsszenarien (z. B. KRITIS) sind On-Premises-Anwendungen weiterhin die bessere Wahl.
Basiert die Architektur einer Software jedoch zum Großteil auf GPL-lizenzierten Code, müssen Anbieter notgedrungen auf andere Bereitstellungsmodell und damit auf potenziell zahlungskräftige Kunden verzichten. Je stärker die Abhängigkeit von GPL, desto weniger Spielraum bleibt Anbietern in der späteren Weiterentwicklung und Ausbau ihrer Geschäftsstrategie.
OSS-Governance: Software Composition Analysis & SBOM
Um Compliance- und Sicherheitsrisiken von OSS zu managen, braucht es einen ganzheitlichen Ansatz für die Open-Source-Governance (OS-Governance). Rechtlich verbindliche Richtlinien zum Umgang mit OSS gibt es zwar bislang nur in Ansätzen. Trotzdem ist es für Software-Anbieter dringend notwendig, entlang der Software Supply Chain einheitliche Verfahren zu etablieren. Dazu gehört unter anderem die Integration von OSS-Scanning in den Build-Prozess von Anwendungen.
SCA-Tools (Software Composition Analysis) decken nicht nur auf, welche Source Libraries für ein Programm genutzt werden, sondern auch welche Drittanbieter-Bibliotheken standardmäßig damit verknüpft sind. Entwickler, Compliance-Manager und Sicherheitsteams können so den genauen Anteil des übernommenen Codes innerhalb des proprietären Quellcodes prozentual bestimmen.
Ein weiteres Kernelement der OS-Governance ist die Software-Bill-of-Materials (SBOM). Die Software-Stückliste liefert eine detaillierte Auflistung aller eingesetzten Code-Komponenten, einschließlich ihrer Lizenzierung. Automatisierte SBOM-Lösungen aggregieren Daten ganzheitlich über unterschiedliche Quellen hinweg – von vorgelagerten Upstream-Partnern und Drittanbieter, SCA-Scans, Open Source Software-Libraries und anderen Data Services. Die konsolidierte Sicht auf den Code macht es somit möglich, Sicherheits- und Compliance-Risiken frühzeitig zu erkennen und OSS in effektiver Weise für kommerzielle Anwendungen zu nutzen – egal ob für SaaS oder On-Premise.
* Nicole Segerer treibt als SVP and General Manager die Vision, Strategie und Roadmap von Revenera kontinuierlich voran. Sie ist für die Bereiche Produktmanagement, Marketing und Engineering verantwortlich, wobei ein besonderer Fokus auf der Analyse und Monetarisierung von Softwareprodukten sowie der Verbesserung der User Experience liegt.
(ID:49423467)
:quality(80)/p7i.vogel.de/wcms/30/30/30306b6886177b7b8c377809d984b8dd/0115716097.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/c0/dac012b63d5b3b6c849dd9dd36a73f9c/0113035061.jpeg "In den Open-Source-Communitie für Linux und Java machen sich heftige Erschütterungen bemerkbar. (Bild: yuuta - stock.adobe.com)")