:quality(80)/p7i.vogel.de/wcms/8f/a0/8fa038067940f4f5c49215cbb247b622/0112519526.jpeg "Auch Mendix 10 bekam ordentlich KI unter die Haube: Ein anpassbarer Best Practice Bot, ein Data Validation Bot sowie ein Schritt in Richtung generativer KI mit Mendix Chat sollen das Assist-Portfolio an KI-gestützten Entwicklungstools ergänzen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/a9/06/a906f028f922064597c90a762c130001/0111161743.jpeg "Einer aus dem Dreierteam: Der vierrädrige Roboter Husky im Einsatz auf dem „Mond“. (Bild: FZ Forschungszentrum Informatik)")
:quality(80)/p7i.vogel.de/wcms/c3/e2/c3e2817babb15c4588d3a86955065788/0110467380.jpeg "Deutschlands Leitkongress für Embedded Software Engineering findet vom 4. bis 8. Dezember 2023 in der Stadthalle in Sindelfingen statt. Reichen Sie jetzt Ihren Beitrag ein und werden Sie Speaker auf Deutschlands Leitmesse für Embedded Software Engineering! (Bild: VCG)")
:quality(80)/p7i.vogel.de/wcms/bb/ee/bbee87c9f6e1cd8f7c0585245912e408/0109800544.jpeg "Zielbild: Modulare Intelligenz und Technologien für zukünftige Mobilitätssysteme (Bild: Institut für Kraftfahrzeuge, RWTH Aachen University)")
:quality(80)/p7i.vogel.de/wcms/27/b9/27b9cfbb678630047f85e1adc55f7df7/0114455762.jpeg "Bild 1. Unterschiedliche Verarbeitungszeiten und Garantien für eine bestimmte Echtzeit-Task (Bild: LDRA)")
:quality(80)/p7i.vogel.de/wcms/ac/c6/acc6dd1a0d33df772c9c921d3dd557de/0113763472.jpeg "Melden Sie sich jetzt zum ESE 2023 an und profitieren Sie vom Frühbucherrabatt, der bis zum 31. Oktober gilt. (Bild: VCG )")
:quality(80)/p7i.vogel.de/wcms/96/cf/96cf8ee3ce89479620a24efd9239f673/0111389170.jpeg "Neil Puthuff, RTI (Bild: RTI)")
:quality(80)/p7i.vogel.de/wcms/fa/fb/fafb91c7affa621e7d4ef2a657ca58d7/0115383398.jpeg "Neue Trends kennenlernen, Wissen austauschen, Kontakte knüpfen oder die Kenntnisse erweitern – der ESE Kongress bietet für jeden etwas. (Bild: Elisabeth Wiesner)")
:quality(80)/p7i.vogel.de/wcms/92/a3/92a329ed3731c287e1a0d82c12d8a80d/0112796671.jpeg "Die Revolution durch Künstliche Intelligenz: Eine Betrachtung des Potenzials (Bild: Copyright (c) 2022 Blue Planet Studio/Shutterstock. No use without permission.)")
:quality(80)/p7i.vogel.de/wcms/86/91/8691ac20a6b0d28da930e3e9f783a294/0115104202.jpeg "Sicherheitsnormen: Software, die Teil sicherheitskritischer Systeme ist, muss angemessen verifiziert werden. (Bild: Gerd Altmann, Pixabay)")
:quality(80)/p7i.vogel.de/wcms/5a/a5/5aa55e03a0f2dbae2dc60f836d2e03a2/0114431110.jpeg "Michael Plagge ist Vice President Ecosystem Development der Eclipse Foundation. (Bild: Eclipse Foundation)")
:quality(80)/p7i.vogel.de/wcms/d9/ce/d9cec568cf2bf464153d2c308f7641f6/0112255816.jpeg "(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9c/e1/9ce1e5a9cd2b5c6dda9cf817e2ea7bc1/0111860365.jpeg "Ein Arbeitgeber muss die Ausbildung und Fortbildung als wertvolles Gut betrachten und seine Mitarbeiter entsprechend unterstützen. Mitarbeiter sind das wichtigste Kapital des Arbeitgebers und der Schlüssel zu anhaltendem Geschäftserfolg (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/f5/51/f551f5778d5bd171b3f17d73ff593723/72055891.jpeg "(Bild: Clipdealer)")
:quality(80)/p7i.vogel.de/wcms/3e/6d/3e6df867e075bbd32be8a440e80c9f95/0112830296.jpeg "Android als Betriebssystem: Sowohl in der industrielle Automation oder Automobil setzt sich Android durch. Ein Vorteil des Betriebssystems ist die schnelle Java-Programmierung von Anwendungen auf Basis von Android APIs. (Bild: andrekheren )")
:quality(80)/p7i.vogel.de/wcms/09/f4/09f4cd13cfa544c5ba7464c32917666a/0111368304.jpeg "VW arbeitet an einer eigenen Software, die sich plattform- und markenübergreifend skalieren lässt. Dieses Vorhaben ist offenbar komplexer als zunächst angenommen. (Bild: Volkswagen AG)")
:quality(80)/p7i.vogel.de/wcms/87/52/8752b159480d8cf75f7f58f702aa0ce7/0112816316.jpeg "Softwaretests: Mithilfe von künstilcher Intelligenz können sensible und gleichzeitig hochbeanspruchte Komponenten für den Einsatz im Weltraum getestet werden. (Bild: Keysight)")
:quality(80)/p7i.vogel.de/wcms/0f/56/0f56440b91620ecab4063bd807884227/0111334152.jpeg "Bestätigt: dSpace-Tools dürfen in sicherheitsrelevanten Entwicklungsprojekten nach ISO 26262:2018 für alle Automotive Safety Integrity Levels (ASIL) eingesetzt werden. (Bild: dSPACE GmbH)")
:quality(80)/p7i.vogel.de/wcms/0c/78/0c782ecd788c9280b7e94ad34f23442d/0115220517.jpeg "Viacheslav Gromov: Gründer und Geschäftsführer vom Embedded-KI-Anbieter AITAD. (Bild: AITAD)")
:quality(80)/p7i.vogel.de/wcms/38/99/3899201d40c29970f598747c22c937c8/0115220396.jpeg "Planen eine enge Zusammenarbeit: Jensen Huang von Nvida (links) zusammen mit Youg Liu von Foxconn. Mithilfe von Nvidia will Auftragsfertiger Foxconn KI-basierte Fabriken und Rechenzentren aufbauen. (Bild: Nvidia)")
:quality(80)/p7i.vogel.de/wcms/b7/63/b7639e9da1ca1d887531838f45b5c853/0114878507.jpeg "Einzigartig: Das Urheberrecht für Firmware und Mikrocode hat sich in mehreren Fällen als wirksames Mittel zum Schutz von Innovationen in der Rechnerarchitektur erwiesen. Eingebettete KI-Modelle machen die Situation jedoch komplexer. (Bild: © Martina Berg – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d9/18/d91836c6b6ab6c0718dd3834dd8fc1ab/0114546230.jpeg "Trotz steigender Hardware-Fähigkeiten ist es immer noch die Software, die bestimmt, wie der Datenfluss gesteuert wird. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/94/43/94436767ec04f9eedc80a0d9564502e3/0110183599.jpeg "Die Sicherheit wird m IoT-Zeitalter immer wichtiger. Hackerangriffe können für User und Hersteller verheerend sein. (Bild: frei lizenziert/ Bild von Gerd Altmann auf Pixabay )")
:quality(80)/p7i.vogel.de/wcms/e2/4b/e24b52dba628d199853fb606a97f9334/0108601399.jpeg "Wie eine bessere Absicherung der vernetzten Systeme gelingen kann, können Sie auf dem diesejährigen ESE-Kongress erfahren. (Bild: Perforce )")
:quality(80)/p7i.vogel.de/wcms/a7/67/a7677d18c5dcb651b31dc1e66460f1f2/0107504500.jpeg "SSV stellt ein adaptives Bausteinkonzept mit einer Hardware-agnostischen Firmware für Edge-Gateways vor. Die Firmware ist individuell anpassbar und läuft sowohl auf verschiede-nen Embedded-Plattformen als auch in Docker-Containern. (Bild: SSV)")
:quality(80)/p7i.vogel.de/wcms/4d/96/4d9621a180cfee96ba85d2da83163461/0105948132.jpeg "Eine effektive Verwaltung und nahtlose Orchestrierung verschiedener Softwarekomponenten auf einem einzigen SoC kann auf vielfältige Weise erreicht werden. (Bild: Siemens Software )")
:quality(80)/p7i.vogel.de/wcms/34/05/3405327567eb345e9c0c326a590cd9ae/0105886699.jpeg "Mithilfe der UDE 2022 können Entwickler alle Funktionseinheiten aus einer Umgebung heraus ansprechen. Kerne lassen sich gemeinsam, in Gruppen oder einzeln debuggen. (Bild: PLS)")
:quality(80)/p7i.vogel.de/wcms/74/a1/74a1fcd5d60af69422390e97fbf77dcd/0109296819.jpeg "Das war der ESE Kongress 2022. (Bild: Elisabeth Wiesner)")
:quality(80)/p7i.vogel.de/wcms/5d/06/5d06c990c23f740700e79851e71ac6ba/0109150162.jpeg "Nadine Riederer, Avision: „Die Wahl der Programmiersprache ist und bleibt eine Wette. Etablierte Sprachen haben dabei eindeutig die besseren Quoten, wenn es um die langfristige und sichere Planung geht.“ (Bild: TWX Photography)")
Einsatz von quelloffenen Komponenten Stücklisten von Open-Source-Lizenzen pflegen
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/119600/119672/65.png "Logo_hoch_600x600.png ()")
:fill(fff,0)/p7i.vogel.de/companies/63/8f/638f6ed06f4c8/parasoft-logo-2018.png "parasoft-logo-2018 (Parasoft)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5f/bf/5fbfdf326d5dd/rti-logo-color-200px.jpg "rti-logo-color-200px.jpg (rti)"){kind=logo}
Welche Bedingungen für den Einsatz von Open-Source-Komponenten gelten, hängt von den zugrundeliegenden Lizenzen ab. Deshalb müssen die Verbauenden in Form einer Stückliste aller Open-Source-Komponenten sicherstellen, dass stets klar ist, wo welche Lizenz zum Einsatz kommt und welche Verpflichtungen sich damit ergeben.
Darum sind Lizenz-Stücklisten relevant
Es gibt zahllose unterschiedliche Open-Source-Lizenzen. Sie sollen die Prinzipien von quelloffener Software auf ein rechtliches Fundament setzen. Obwohl die Gemeinsamkeiten zwischen den Lizenzen groß sind, gibt es dennoch Unterschiede – mitunter nur Nuancen, die allerdings erhebliche Folgen haben können.
Um zwei Beispiele zu nennen: Kommt die Apache-Lizenz 2.0 zum Einsatz, dann müssen Änderungen am Quellcode dokumentiert und die Änderungen in Form einer NOTICE-Datei mitgeliefert werden. Die GPL v3 kann wiederum dazu führen, dass auch das neue Werk unter GPL veröffentlicht werden muss.
Das Problem ist dabei, dass es eine Open-Source-Komponente quasi im Vorbeigehen in ein Produkt schaffen kann. Der Entwickler benötigte eine schnelle Lösung für ein spezifisches Problem? Eine kurze Suche, die Lizenzbedingungen ignoriert, ein einzelner Kommandozeilenbefehl später und schon ist die Open-Source-Komponente integriert. Die transitiven Abhängigkeiten dieser Komponenten führen wiederum dazu, dass zahlreiche Open-Source-Komponenten im Projekt landen, die der Entwickler gar nicht berücksichtigt hat.
Wohl dem, der hier verantwortungsvolle Entwickler beschäftigt, die diesen Schritt absprechen und kommunizieren. Eine Stückliste der verwendeten Komponenten mitsamt den Lizenzen stellt dann die Ausgangsbasis dar, um diesen Umstand aufzudecken, Probleme zu erkennen und Lösungsmaßnahmen zu ergreifen.
Lizenz-Stücklisten erstellen
Die Lizenz-Stückliste lässt sich sowohl manuell als auch automatisiert erstellen. Schlussendlich bleibt allerdings nur eine Kombination aus beiden Maßnahmen übrig. Denn egal wie ausgefeilt der zum Einsatz kommende Automatismus ist: Es existieren einfach zu viele exotische Lizenzen und Sonderfälle, deren Konsequenzen nicht bekannt oder eindeutig sind. Eine gute Strategie besteht deshalb aus einem hohen automatisierten Anteil kombiniert mit den richtigen, manuellen Maßnahmen.
Automatisierte Maßnahmen
Automatisieren lassen sich sämtliche quantitativen Aufgaben. Zu denen gehört es, alle verbauten oder referenzierten Pakete, Quellen und Abhängigkeiten nach Lizenzen zu durchsuchen. Entsprechende Tools existieren bereits in großer Anzahl, etwa Scancode Toolkit.
Wichtig ist, dieses Tool nicht einmal auszuführen, sondern regelmäßig, spätestens vor jeder Auslieferung, idealerweise aber mit jedem erstellten Build oder Deployment. Das Ergebnis einer solchen Prüfung ist in der Regel eine Liste, die eine Übersicht aller Komponenten und Lizenzen bildet. Die verbreitetsten Open-Source-Lizenzen schreiben vor, dass die ursprüngliche Lizenz in abgeleiteten Werken mitgegeben werden muss.
Im nächsten Schritt muss die Liste paketiert und in das abgeleitete Werk integriert werden. Entweder alle Lizenztexte werden im Original beigefügt oder – einfacher und auch bei großen Projekten wie Chrome üblich – als Liste mit Verlinkungen, unter denen sich der Lizenztext nachlesen lässt und das Projekt finden lässt. Die Liste sollte dann alphabetisch nach Komponente sortiert sein.
Manuelle Maßnahmen
Nicht-automatisieren lassen sich hingegen die qualitativen Arbeiten. Hierzu gehört es, die Liste der gefundenen Lizenzen auf Ausreißer oder Exoten zu durchsuchen. Gibt es Exoten, dann müssen diese eingehend fachlich respektive juristisch geprüft werden. Exoten können dabei veraltete oder ungültige Lizenzen sein. Es können auch abgewandelte Lizenzen sein, die eine ganz spezifische Nutzung untersagen oder vorschreiben. Fehlt gar eine Lizenz, dann greift unter Umständen das Urhebergesetz, das je nach Land unterschiedlich geregelt ist.
Spätestens bei solchen Lizenzen sollte die gesamte Komponenten-Architektur überprüft werden. Aus diesem Audit muss klar hervorgehen, ob die Komponente direkt in das erstellte Produkt integriert und somit Bestandteil ist. Oder ob die Komponente lediglich aufgerufen wird. Bei einem bloßen Aufruf entfallen nämlich fast alle Restriktionen, die eine Open-Source-Lizenz normalerweise vorgibt.
Im Zuge des Audits – aber auch unabhängig davon – lassen sich verbaute Komponenten selbstverständlich auch durch solche ersetzen, die eine Lizenz nutzen, die einfacher einzuhalten ist. Das erfordert dann aber wiederum einen Umbau im Projekt, der wiederum zahlreiche weitere Maßnahmen notwendig machen kann.
Eine Frage der Pflege
Kurzum: Lizenz-Stücklisten sind eine Frage der Pflege, bestehend aus automatischen und manuellen Maßnahmen. Die Stückliste der Open-Source-Lizenzen ist kein optionales Element, es ist ein Pflichtbestandteil heutiger Software- und Hardware-Produkte. Denn in nahezu allen Produkten kommen Open-Source-Komponenten zum Einsatz. Nur wer einen klaren Überblick über die Lizenzen hat und sämtliche Konsequenzen kennt, kann guten Gewissens Produkte ausliefern.
:quality(80)/images.vogel.de/vogelonline/bdb/1388900/1388919/original.jpg "Demo – Software Component Analysis am Beispiel eines Kunden (Dezember 2017) (Flexera)")
Risiken bei Open-Source-Software: Warum eine Bill-of-Materials sinnvoll ist
:quality(80)/images.vogel.de/vogelonline/bdb/1927700/1927716/original.jpg "Die Software-Lieferkette ist drei spezifischen Risiken ausgesetzt: Fehlende Transparenz, versteckte Abhängigkeiten und False Positives. (© brudertack69 - stock.adobe.com)")
Akteure, Taktiken und Abwehr von Supply Chain Attacks – Teil 2
Die Verteidigung der Softwarelieferkette
Dieser Beitrag stammt von unserem Partnerportal Dev-Insider.de.
(ID:48392622)
:quality(80)/p7i.vogel.de/wcms/a7/93/a793dc60bdb11ec46e634041e7791dba/0110078725.jpeg "Projekt OSSelot: Der Ozelot gab der FOSS-Kuratierungsdatenbank von OSADL ihren Namen. (Bild: Leonardo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c1/95/c195ad6e40da6d5768b41a22f614bc53/0109633729.jpeg "Zephyr: Das ist der Name einer griechischen Windgottheit. Dies inspirierte die Promotoren des gleichnamigen RTOS vermutlich dazu, einen Kinderdrachen im Logo zu verwenden. (Bild: Vogel Communications Group)")