SlideShare ist ein Scribd-Unternehmen logo
Open Source Governance im Konzern
Ein Erfahrungsbericht
Agenda
21.02.18 EACG - Managing Open Source 2
Kurzvorstellung & Einführung
Herausforderung moderne Software-Entwicklung
(10) Verantwortung, Compliance & Approval-Prozesse in verteilten Organisationen
(5) Einführung OS-Board
(5) Betriebsratsvereinbarung
(5) Praktischer Einstieg
Seit mehr als 10 Jahren unterstützt EACG Unternehmenskunden
in der effektiven Gestaltung und Nutzung von IT
3
E A C G i s a p r o s p e r i n g A W S p a r t n e rE A C G S e r v i c e s
Cloud Service Rating Open Source Risk Management
E A C G i n n o v a t e sE A C G s e r v e s s t r o n g & u p c o m i n g b r a n d s
21.02.18 EACG - Managing Open Source
TRUST YOUR SOURCE
ECS – Von der Not zur Tugend
Nur das Leben ist härter als die Realität:
• 2013 musste in nur 9 Monaten eine Plattform zur Digitalisierung der Landwirtschaft entstehen
(Geo-Daten, Satelliten, Telemetrie, Wetter, Finanzen, Marktangebote, Bedarfe, Bestände, etc.)
• Um Geschwindigkeit zu erzielen, Realisierung auf Basis von Open Source (Köpfe statt Lizenzen)
• 4 Scrum-Teams arbeiten parallel an einzelnen Diensten für die Plattform
• ½ Jahr nach Start, Ausgründung einer Tochtergesellschaft
• ¾ Jahr nach Start, neue Anwendungsfälle (Ausbringung von lokalen Komponenten)
• 1 Jahr nach Start, Übertragung von Anwendungsteilen an einen Partner (Verkauf zum Betrieb im Stall)
• ...
21.02.18 EACG - Managing Open Source 4
Alle paar Wochen eine neue Bestimmung der abhängigen Komponenten vorzunehmen macht keinen Spaß!
Trend zu immer schneller immer mehr Deployments erfordert
Automation der „Compliance“-Prüfung
21.02.18 EACG - Managing Open Source 5
Team Code App Deploy
Traditionell(Branching)Micro-Service-Ansatz
Amazon.com Fakten
~11,6 sec
Mean time between deployments (weekday)
1.079
Max # of deployments in a single hour
~10.000 server
Avg # of hosts updated simultaneously
PLEASE NOTE: Amazon has several thousands of developers ww!!
Nachgelagerte Compliance-Prüfungen sind von gestern und werden vom Release-Druck überholt!!!
Frühes Erkennen der Compliance Issues hilft, Kosten zu reduzieren
22.02.18 EACG - Managing Open Source 6
Plan Develop Test Build Deploy Verify
Run/
Distribute
1
Typische Compliance-Prüfung:
• Abhängigkeiten, verwendeter Bibs
• Lizenz-Eignung
• Lizenz-Dokumentation
• Provinence-Checks
Reifegrad des hauseigenen SW-Entwicklungsprozess bestimmt die Möglichkeiten des SHIFT LEFT
2
Build Break bei Violations
• Black/Whitelists
• Deadly Obligations
• Viability Policy
3
Automatisierte Tests auf Modul-Ebene
bspw. auch bzgl. erfüllter Obligations
• Black-/Whitelisting
• Obligations/ Deadly Obligations
• Vulnerabilities
4
Modul-spezifische (Einsatzzweck),
automatisierte Eignungsprüfung
als API
SHIFT LEFT
Compliance ist eine Frage der Organisationskultur
Großteil der Entwickler fehlt das Bewusstsein für Intellectual Property Rights
• „Der muss es ja nicht ins Netz stellen, wenn er nicht will, dass es genutzt wird“
• „Oben Sors koscht nix un kann jeder nutze“
• „Bei uns ist alles sicher, wir nutzen nur Apache, MIT und BSD-Lizenzen!“
Aber: Non-Compliance ist kein Kavaliersdelikt
• Finanzieller Schaden durch Strafen oder
• Rückruf ist mögliche Folge
• Image-Schaden
• In groben Fällen des Versagens: Manager-Haftung bis hin zu strafrechtlichen Konsequenzen
21.02.18 EACG - Managing Open Source 7
Bestimmen des kulturellen Bewusstseins als Voraussetzung für begleitendes Change Mangement begreifen
Gestalt des OS-Boards an Unternehmensstruktur anpassen
Wichtige Zielsetzungen bei der Gestaltung
- Service-Orientierung im operativen Bereich
beachten
- Hohe Entscheidungsgeschwindigkeit
ermöglichen
- Klare Zuständigkeiten (wann darf, wann muss
das Board angerufen werden? )
- Trennung der operativen Support-Funktion von
der normativen Orientierungsfunktion bewahren
- Einbindung der Rollen in eine gemeinsame
Kommunikationsinfrastruktur
22.02.18 EACG - Managing Open Source 8
Dezentrale, Service-orientierte Ansätze verankern sich eher als dogmatisch normative
OS Board
Comp A Comp B
Sect A1
A2
OS Board
DezentraleCommunityHierarchischeInstanz
request reply
Policies sollten zielgruppenorientiert aufgebaut sein
Weniger ist oft mehr
• 100-seitige, rechtlich korrekte Policies sind
ungeeignet für die Verbreitung des Themas
• Video-Botschaften haben wesentlich höhere
Akzeptanzraten
• Powerpoint zum Transport der “Take-Home-
Messages“ eignet sich besser
• Kurze Policy mit verlinkten Details
• Inhaltlich mit den organisatorischen
Gegebenheiten abgleichen (beschriebene
Rollen müssen auch abbildbar sein)
• Nachvollziehbarkeit des Policy-Rollouts
sicherstellen (wer hat‘s gelesen?)
• Mit Updates inkrementell vom Groben ins
Feine arbeiten
22.02.18 EACG - Managing Open Source 9
OS-Policy mit Stand der Kultur und Organisationsgestaltung abstimmen, ggf. sukzessive Aufbauen
Richtige Tool-Unterstützung zur Mitarbeitergewinnung
„It‘s not just a tool, it‘s good manufacturing practice!“
Dr. V.D.P., Head of Compliance
Kommunikation mit Betriebsräten rechtzeitig und vorteilsbetont beginnen
• Rechtlich konform arbeiten ist nicht optional, sondern Pflichtprogramm
• Problematik (er)klären
• Hilfestellung anbieten, bspw. :
• Automatisieren der Informationssammlung
• Unterstützung bei der Analyse, Auswertung und Interpretation
• Automatisieren der Dokumentationsunterstützung
• Hilfestellung bei der Abarbeitung
• Approval-Prozess zur Enthaftung
21.02.18 EACG - Managing Open Source 10
Mitarbeiter lassen sich gewinnen, wenn sie verstehen, dass ihnen lästige Aufgaben erleichtert werden
Erfolgreiche OS Compliance baut auf vier Säulen
Herausforderung erkennen, Ziele definieren
- Situation verstehen
- Automatisierung & Shift left adressieren
- Zielsetzung und Weg klären
Bewusstsein schaffen, Transparenz und Verbindlichkeit erzeugen
- Bedeutung der Compliance klären und verankern (=> Change Management)
- Umlegen der Manager-Haftung auf die Organisation durch Aufklärung und Unterstützung (=> OS Board, Change)
- Sicherstellen und Klären: Wer hat welche Verantwortung? (=> Policy!)
- Basis für Dokumentationspflicht und Auditierung schaffen (=> Tool-Unterstützung)
- Mehrwerte durch intelligente Integration (=>Tool-Unterstützung)
- Enthaftung des Einzelnen durch Approvals (=> Tool-Unterstützung)
22.02.18 EACG - Managing Open Source 11
Erfolgreiche OS
Complianece
Change
Management
OSBoard(Oraga)
OSPolicy
(verantwortlichkei
ten)
Tooling(Prozess)
EACG GmbH – Enterprise Architecture Consulting Group
Taunustor 1 (TaunusTurm)
60310 Frankfurt am Main
T: +49 69 153 22 77 50
F: +49 69 153 22 77 51
W: https://www.eacg.de
Dipl.-Wirtsch.-Inf. Jan Thielscher, LL.M.

Weitere ähnliche Inhalte

Ähnlich wie Open Source Governance - Erfahrungen

Vortragsreihe Dortmund: Unified Development Environments
Vortragsreihe Dortmund: Unified Development EnvironmentsVortragsreihe Dortmund: Unified Development Environments
Vortragsreihe Dortmund: Unified Development Environments
Thorsten Kamann
 
20191113 dev ops und continuous delivery_testautomatisierung ist trumpf
20191113 dev ops und continuous delivery_testautomatisierung ist trumpf20191113 dev ops und continuous delivery_testautomatisierung ist trumpf
20191113 dev ops und continuous delivery_testautomatisierung ist trumpf
Stefan Jobst
 
Microservices - Was EAs zu Microservices wissen sollten
Microservices - Was EAs zu Microservices wissen solltenMicroservices - Was EAs zu Microservices wissen sollten
Microservices - Was EAs zu Microservices wissen sollten
Jan Thielscher
 
Outpost24 webinar . Vulnerability Management Do's and Don'ts
Outpost24 webinar . Vulnerability Management Do's and Don'tsOutpost24 webinar . Vulnerability Management Do's and Don'ts
Outpost24 webinar . Vulnerability Management Do's and Don'ts
Outpost24
 
DevOps - ab auf die Reise
DevOps - ab auf die ReiseDevOps - ab auf die Reise
DevOps - ab auf die Reise
Alex Lichtenberger
 
1. Cloud Native Meetup Innsbruck, 23.11.2023
1. Cloud Native Meetup Innsbruck, 23.11.20231. Cloud Native Meetup Innsbruck, 23.11.2023
1. Cloud Native Meetup Innsbruck, 23.11.2023
Johannes Kleinlercher
 
Agiles Management für erfolgreiche IT-Projekte
Agiles Management für erfolgreiche IT-ProjekteAgiles Management für erfolgreiche IT-Projekte
Agiles Management für erfolgreiche IT-Projekte
JustRelate
 
DevOps und ITIL: Waffenbrüder oder Feinde?
DevOps und ITIL: Waffenbrüder oder Feinde?DevOps und ITIL: Waffenbrüder oder Feinde?
DevOps und ITIL: Waffenbrüder oder Feinde?
OPITZ CONSULTING Deutschland
 
8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen
8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen
8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen
AWS Germany
 
Seal Software - Digitales Vertragsmanagement mit kuenstlicher Intelligenz
Seal Software - Digitales Vertragsmanagement mit kuenstlicher IntelligenzSeal Software - Digitales Vertragsmanagement mit kuenstlicher Intelligenz
Seal Software - Digitales Vertragsmanagement mit kuenstlicher Intelligenz
Constanze Liebenau
 
Agiles Wissensmanagement: Shift-Left-Ansätze im Service Desk mit Knowledge Ce...
Agiles Wissensmanagement: Shift-Left-Ansätze im Service Desk mit Knowledge Ce...Agiles Wissensmanagement: Shift-Left-Ansätze im Service Desk mit Knowledge Ce...
Agiles Wissensmanagement: Shift-Left-Ansätze im Service Desk mit Knowledge Ce...
pro accessio GmbH & Co. KG
 
Interview: Herausforderungen bei Auswahl und Installation eines DMS-/ECM-Systems
Interview: Herausforderungen bei Auswahl und Installation eines DMS-/ECM-SystemsInterview: Herausforderungen bei Auswahl und Installation eines DMS-/ECM-Systems
Interview: Herausforderungen bei Auswahl und Installation eines DMS-/ECM-Systems
OPTIMAL SYSTEMS GmbH
 
Vergleich Agentursoftware - So finden Sie die richtige Software!
Vergleich Agentursoftware - So finden Sie die richtige Software!Vergleich Agentursoftware - So finden Sie die richtige Software!
Vergleich Agentursoftware - So finden Sie die richtige Software!
Because Software
 
Modernisierung in Zeiten wie diesen
Modernisierung in Zeiten wie diesenModernisierung in Zeiten wie diesen
Modernisierung in Zeiten wie diesen
enpit GmbH & Co. KG
 
Architektur und Automation als Enabler für DevOps
Architektur und Automation als Enabler für DevOpsArchitektur und Automation als Enabler für DevOps
Architektur und Automation als Enabler für DevOps
matfsw
 
Applikationsmodernisierung: Der Weg von Legacy in die Cloud
Applikationsmodernisierung: Der Weg von Legacy in die CloudApplikationsmodernisierung: Der Weg von Legacy in die Cloud
Applikationsmodernisierung: Der Weg von Legacy in die Cloud
Aarno Aukia
 
"Erfolgreiche Strategien zur Migration veralteter Software" Präsentation vom ...
"Erfolgreiche Strategien zur Migration veralteter Software" Präsentation vom ..."Erfolgreiche Strategien zur Migration veralteter Software" Präsentation vom ...
"Erfolgreiche Strategien zur Migration veralteter Software" Präsentation vom ...
Bernhard Schimunek
 
Config as Code: Der Weg zu Configuration as Code
Config as Code: Der Weg zu Configuration as CodeConfig as Code: Der Weg zu Configuration as Code
Config as Code: Der Weg zu Configuration as Code
DevOps Meetup Bern
 
Migration von Applikationen in die Cloud
Migration von Applikationen in die CloudMigration von Applikationen in die Cloud
Migration von Applikationen in die Cloud
Aarno Aukia
 

Ähnlich wie Open Source Governance - Erfahrungen (20)

Vortragsreihe Dortmund: Unified Development Environments
Vortragsreihe Dortmund: Unified Development EnvironmentsVortragsreihe Dortmund: Unified Development Environments
Vortragsreihe Dortmund: Unified Development Environments
 
20191113 dev ops und continuous delivery_testautomatisierung ist trumpf
20191113 dev ops und continuous delivery_testautomatisierung ist trumpf20191113 dev ops und continuous delivery_testautomatisierung ist trumpf
20191113 dev ops und continuous delivery_testautomatisierung ist trumpf
 
Microservices - Was EAs zu Microservices wissen sollten
Microservices - Was EAs zu Microservices wissen solltenMicroservices - Was EAs zu Microservices wissen sollten
Microservices - Was EAs zu Microservices wissen sollten
 
Outpost24 webinar . Vulnerability Management Do's and Don'ts
Outpost24 webinar . Vulnerability Management Do's and Don'tsOutpost24 webinar . Vulnerability Management Do's and Don'ts
Outpost24 webinar . Vulnerability Management Do's and Don'ts
 
DevOps - ab auf die Reise
DevOps - ab auf die ReiseDevOps - ab auf die Reise
DevOps - ab auf die Reise
 
1. Cloud Native Meetup Innsbruck, 23.11.2023
1. Cloud Native Meetup Innsbruck, 23.11.20231. Cloud Native Meetup Innsbruck, 23.11.2023
1. Cloud Native Meetup Innsbruck, 23.11.2023
 
Agiles Management für erfolgreiche IT-Projekte
Agiles Management für erfolgreiche IT-ProjekteAgiles Management für erfolgreiche IT-Projekte
Agiles Management für erfolgreiche IT-Projekte
 
DevOps und ITIL: Waffenbrüder oder Feinde?
DevOps und ITIL: Waffenbrüder oder Feinde?DevOps und ITIL: Waffenbrüder oder Feinde?
DevOps und ITIL: Waffenbrüder oder Feinde?
 
8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen
8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen
8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen
 
Seal Software - Digitales Vertragsmanagement mit kuenstlicher Intelligenz
Seal Software - Digitales Vertragsmanagement mit kuenstlicher IntelligenzSeal Software - Digitales Vertragsmanagement mit kuenstlicher Intelligenz
Seal Software - Digitales Vertragsmanagement mit kuenstlicher Intelligenz
 
Agiles Wissensmanagement: Shift-Left-Ansätze im Service Desk mit Knowledge Ce...
Agiles Wissensmanagement: Shift-Left-Ansätze im Service Desk mit Knowledge Ce...Agiles Wissensmanagement: Shift-Left-Ansätze im Service Desk mit Knowledge Ce...
Agiles Wissensmanagement: Shift-Left-Ansätze im Service Desk mit Knowledge Ce...
 
Interview: Herausforderungen bei Auswahl und Installation eines DMS-/ECM-Systems
Interview: Herausforderungen bei Auswahl und Installation eines DMS-/ECM-SystemsInterview: Herausforderungen bei Auswahl und Installation eines DMS-/ECM-Systems
Interview: Herausforderungen bei Auswahl und Installation eines DMS-/ECM-Systems
 
Vergleich Agentursoftware - So finden Sie die richtige Software!
Vergleich Agentursoftware - So finden Sie die richtige Software!Vergleich Agentursoftware - So finden Sie die richtige Software!
Vergleich Agentursoftware - So finden Sie die richtige Software!
 
Modernisierung in Zeiten wie diesen
Modernisierung in Zeiten wie diesenModernisierung in Zeiten wie diesen
Modernisierung in Zeiten wie diesen
 
Architektur und Automation als Enabler für DevOps
Architektur und Automation als Enabler für DevOpsArchitektur und Automation als Enabler für DevOps
Architektur und Automation als Enabler für DevOps
 
Applikationsmodernisierung: Der Weg von Legacy in die Cloud
Applikationsmodernisierung: Der Weg von Legacy in die CloudApplikationsmodernisierung: Der Weg von Legacy in die Cloud
Applikationsmodernisierung: Der Weg von Legacy in die Cloud
 
"Erfolgreiche Strategien zur Migration veralteter Software" Präsentation vom ...
"Erfolgreiche Strategien zur Migration veralteter Software" Präsentation vom ..."Erfolgreiche Strategien zur Migration veralteter Software" Präsentation vom ...
"Erfolgreiche Strategien zur Migration veralteter Software" Präsentation vom ...
 
Config as Code: Der Weg zu Configuration as Code
Config as Code: Der Weg zu Configuration as CodeConfig as Code: Der Weg zu Configuration as Code
Config as Code: Der Weg zu Configuration as Code
 
Migration von Applikationen in die Cloud
Migration von Applikationen in die CloudMigration von Applikationen in die Cloud
Migration von Applikationen in die Cloud
 
Agile Business Software mit der Enterprise Cloud
Agile Business Software mit der Enterprise CloudAgile Business Software mit der Enterprise Cloud
Agile Business Software mit der Enterprise Cloud
 

Kürzlich hochgeladen

Polizeigeschichten.pptx PolizeigeschichtenPolizeigeschichten
Polizeigeschichten.pptx PolizeigeschichtenPolizeigeschichtenPolizeigeschichten.pptx PolizeigeschichtenPolizeigeschichten
Polizeigeschichten.pptx PolizeigeschichtenPolizeigeschichten
OlenaKarlsTkachenko
 
Teaching and Learning Experience Design – der Ruf nach besserer Lehre: aber wie?
Teaching and Learning Experience Design – der Ruf nach besserer Lehre: aber wie?Teaching and Learning Experience Design – der Ruf nach besserer Lehre: aber wie?
Teaching and Learning Experience Design – der Ruf nach besserer Lehre: aber wie?
Isa Jahnke
 
Wie spät ist es.pptx Wie spät ist es Wie spät ist es
Wie spät ist es.pptx Wie spät ist es Wie spät ist esWie spät ist es.pptx Wie spät ist es Wie spät ist es
Wie spät ist es.pptx Wie spät ist es Wie spät ist es
OlenaKarlsTkachenko
 
Mathematikunterricht in 1zu1 Ausstattungen.pptx
Mathematikunterricht in 1zu1 Ausstattungen.pptxMathematikunterricht in 1zu1 Ausstattungen.pptx
Mathematikunterricht in 1zu1 Ausstattungen.pptx
FlippedMathe
 
6 Verben Gruppe e a o.pptx 6 Verben Gruppe e a o
6 Verben Gruppe e a o.pptx 6 Verben Gruppe e a o6 Verben Gruppe e a o.pptx 6 Verben Gruppe e a o
6 Verben Gruppe e a o.pptx 6 Verben Gruppe e a o
OlenaKarlsTkachenko
 
matematicasIIcastellano.pdfnavarraevau2024
matematicasIIcastellano.pdfnavarraevau2024matematicasIIcastellano.pdfnavarraevau2024
matematicasIIcastellano.pdfnavarraevau2024
amayaltc18
 

Kürzlich hochgeladen (6)

Polizeigeschichten.pptx PolizeigeschichtenPolizeigeschichten
Polizeigeschichten.pptx PolizeigeschichtenPolizeigeschichtenPolizeigeschichten.pptx PolizeigeschichtenPolizeigeschichten
Polizeigeschichten.pptx PolizeigeschichtenPolizeigeschichten
 
Teaching and Learning Experience Design – der Ruf nach besserer Lehre: aber wie?
Teaching and Learning Experience Design – der Ruf nach besserer Lehre: aber wie?Teaching and Learning Experience Design – der Ruf nach besserer Lehre: aber wie?
Teaching and Learning Experience Design – der Ruf nach besserer Lehre: aber wie?
 
Wie spät ist es.pptx Wie spät ist es Wie spät ist es
Wie spät ist es.pptx Wie spät ist es Wie spät ist esWie spät ist es.pptx Wie spät ist es Wie spät ist es
Wie spät ist es.pptx Wie spät ist es Wie spät ist es
 
Mathematikunterricht in 1zu1 Ausstattungen.pptx
Mathematikunterricht in 1zu1 Ausstattungen.pptxMathematikunterricht in 1zu1 Ausstattungen.pptx
Mathematikunterricht in 1zu1 Ausstattungen.pptx
 
6 Verben Gruppe e a o.pptx 6 Verben Gruppe e a o
6 Verben Gruppe e a o.pptx 6 Verben Gruppe e a o6 Verben Gruppe e a o.pptx 6 Verben Gruppe e a o
6 Verben Gruppe e a o.pptx 6 Verben Gruppe e a o
 
matematicasIIcastellano.pdfnavarraevau2024
matematicasIIcastellano.pdfnavarraevau2024matematicasIIcastellano.pdfnavarraevau2024
matematicasIIcastellano.pdfnavarraevau2024
 

Open Source Governance - Erfahrungen

  • 1. Open Source Governance im Konzern Ein Erfahrungsbericht
  • 2. Agenda 21.02.18 EACG - Managing Open Source 2 Kurzvorstellung & Einführung Herausforderung moderne Software-Entwicklung (10) Verantwortung, Compliance & Approval-Prozesse in verteilten Organisationen (5) Einführung OS-Board (5) Betriebsratsvereinbarung (5) Praktischer Einstieg
  • 3. Seit mehr als 10 Jahren unterstützt EACG Unternehmenskunden in der effektiven Gestaltung und Nutzung von IT 3 E A C G i s a p r o s p e r i n g A W S p a r t n e rE A C G S e r v i c e s Cloud Service Rating Open Source Risk Management E A C G i n n o v a t e sE A C G s e r v e s s t r o n g & u p c o m i n g b r a n d s 21.02.18 EACG - Managing Open Source TRUST YOUR SOURCE
  • 4. ECS – Von der Not zur Tugend Nur das Leben ist härter als die Realität: • 2013 musste in nur 9 Monaten eine Plattform zur Digitalisierung der Landwirtschaft entstehen (Geo-Daten, Satelliten, Telemetrie, Wetter, Finanzen, Marktangebote, Bedarfe, Bestände, etc.) • Um Geschwindigkeit zu erzielen, Realisierung auf Basis von Open Source (Köpfe statt Lizenzen) • 4 Scrum-Teams arbeiten parallel an einzelnen Diensten für die Plattform • ½ Jahr nach Start, Ausgründung einer Tochtergesellschaft • ¾ Jahr nach Start, neue Anwendungsfälle (Ausbringung von lokalen Komponenten) • 1 Jahr nach Start, Übertragung von Anwendungsteilen an einen Partner (Verkauf zum Betrieb im Stall) • ... 21.02.18 EACG - Managing Open Source 4 Alle paar Wochen eine neue Bestimmung der abhängigen Komponenten vorzunehmen macht keinen Spaß!
  • 5. Trend zu immer schneller immer mehr Deployments erfordert Automation der „Compliance“-Prüfung 21.02.18 EACG - Managing Open Source 5 Team Code App Deploy Traditionell(Branching)Micro-Service-Ansatz Amazon.com Fakten ~11,6 sec Mean time between deployments (weekday) 1.079 Max # of deployments in a single hour ~10.000 server Avg # of hosts updated simultaneously PLEASE NOTE: Amazon has several thousands of developers ww!! Nachgelagerte Compliance-Prüfungen sind von gestern und werden vom Release-Druck überholt!!!
  • 6. Frühes Erkennen der Compliance Issues hilft, Kosten zu reduzieren 22.02.18 EACG - Managing Open Source 6 Plan Develop Test Build Deploy Verify Run/ Distribute 1 Typische Compliance-Prüfung: • Abhängigkeiten, verwendeter Bibs • Lizenz-Eignung • Lizenz-Dokumentation • Provinence-Checks Reifegrad des hauseigenen SW-Entwicklungsprozess bestimmt die Möglichkeiten des SHIFT LEFT 2 Build Break bei Violations • Black/Whitelists • Deadly Obligations • Viability Policy 3 Automatisierte Tests auf Modul-Ebene bspw. auch bzgl. erfüllter Obligations • Black-/Whitelisting • Obligations/ Deadly Obligations • Vulnerabilities 4 Modul-spezifische (Einsatzzweck), automatisierte Eignungsprüfung als API SHIFT LEFT
  • 7. Compliance ist eine Frage der Organisationskultur Großteil der Entwickler fehlt das Bewusstsein für Intellectual Property Rights • „Der muss es ja nicht ins Netz stellen, wenn er nicht will, dass es genutzt wird“ • „Oben Sors koscht nix un kann jeder nutze“ • „Bei uns ist alles sicher, wir nutzen nur Apache, MIT und BSD-Lizenzen!“ Aber: Non-Compliance ist kein Kavaliersdelikt • Finanzieller Schaden durch Strafen oder • Rückruf ist mögliche Folge • Image-Schaden • In groben Fällen des Versagens: Manager-Haftung bis hin zu strafrechtlichen Konsequenzen 21.02.18 EACG - Managing Open Source 7 Bestimmen des kulturellen Bewusstseins als Voraussetzung für begleitendes Change Mangement begreifen
  • 8. Gestalt des OS-Boards an Unternehmensstruktur anpassen Wichtige Zielsetzungen bei der Gestaltung - Service-Orientierung im operativen Bereich beachten - Hohe Entscheidungsgeschwindigkeit ermöglichen - Klare Zuständigkeiten (wann darf, wann muss das Board angerufen werden? ) - Trennung der operativen Support-Funktion von der normativen Orientierungsfunktion bewahren - Einbindung der Rollen in eine gemeinsame Kommunikationsinfrastruktur 22.02.18 EACG - Managing Open Source 8 Dezentrale, Service-orientierte Ansätze verankern sich eher als dogmatisch normative OS Board Comp A Comp B Sect A1 A2 OS Board DezentraleCommunityHierarchischeInstanz request reply
  • 9. Policies sollten zielgruppenorientiert aufgebaut sein Weniger ist oft mehr • 100-seitige, rechtlich korrekte Policies sind ungeeignet für die Verbreitung des Themas • Video-Botschaften haben wesentlich höhere Akzeptanzraten • Powerpoint zum Transport der “Take-Home- Messages“ eignet sich besser • Kurze Policy mit verlinkten Details • Inhaltlich mit den organisatorischen Gegebenheiten abgleichen (beschriebene Rollen müssen auch abbildbar sein) • Nachvollziehbarkeit des Policy-Rollouts sicherstellen (wer hat‘s gelesen?) • Mit Updates inkrementell vom Groben ins Feine arbeiten 22.02.18 EACG - Managing Open Source 9 OS-Policy mit Stand der Kultur und Organisationsgestaltung abstimmen, ggf. sukzessive Aufbauen
  • 10. Richtige Tool-Unterstützung zur Mitarbeitergewinnung „It‘s not just a tool, it‘s good manufacturing practice!“ Dr. V.D.P., Head of Compliance Kommunikation mit Betriebsräten rechtzeitig und vorteilsbetont beginnen • Rechtlich konform arbeiten ist nicht optional, sondern Pflichtprogramm • Problematik (er)klären • Hilfestellung anbieten, bspw. : • Automatisieren der Informationssammlung • Unterstützung bei der Analyse, Auswertung und Interpretation • Automatisieren der Dokumentationsunterstützung • Hilfestellung bei der Abarbeitung • Approval-Prozess zur Enthaftung 21.02.18 EACG - Managing Open Source 10 Mitarbeiter lassen sich gewinnen, wenn sie verstehen, dass ihnen lästige Aufgaben erleichtert werden
  • 11. Erfolgreiche OS Compliance baut auf vier Säulen Herausforderung erkennen, Ziele definieren - Situation verstehen - Automatisierung & Shift left adressieren - Zielsetzung und Weg klären Bewusstsein schaffen, Transparenz und Verbindlichkeit erzeugen - Bedeutung der Compliance klären und verankern (=> Change Management) - Umlegen der Manager-Haftung auf die Organisation durch Aufklärung und Unterstützung (=> OS Board, Change) - Sicherstellen und Klären: Wer hat welche Verantwortung? (=> Policy!) - Basis für Dokumentationspflicht und Auditierung schaffen (=> Tool-Unterstützung) - Mehrwerte durch intelligente Integration (=>Tool-Unterstützung) - Enthaftung des Einzelnen durch Approvals (=> Tool-Unterstützung) 22.02.18 EACG - Managing Open Source 11 Erfolgreiche OS Complianece Change Management OSBoard(Oraga) OSPolicy (verantwortlichkei ten) Tooling(Prozess)
  • 12. EACG GmbH – Enterprise Architecture Consulting Group Taunustor 1 (TaunusTurm) 60310 Frankfurt am Main T: +49 69 153 22 77 50 F: +49 69 153 22 77 51 W: https://www.eacg.de Dipl.-Wirtsch.-Inf. Jan Thielscher, LL.M.