SlideShare una empresa de Scribd logo

Open Source Governance - Erfahrungen

J
Jan Thielscher

Open Source macht vieles schneller, jedoch erfordert die unternehmensweite Nutzung auf klare Spielgregeln. Dieser Beitrag stellt die Erfahrung aus mehreren Einführungsprojekten zusammen und gibt Hinweise, wie es erfolgreich möglich wird.

Educación
1 de 12
Descargar para leer sin conexión
Open Source Governance im Konzern Ein Erfahrungsbericht
Agenda 21.02.18 EACG - Managing Open Source 2 Kurzvorstellung & Einführung Herausforderung moderne Software-Entwicklung (10) Verantwortung, Compliance & Approval-Prozesse in verteilten Organisationen (5) Einführung OS-Board (5) Betriebsratsvereinbarung (5) Praktischer Einstieg
Seit mehr als 10 Jahren unterstützt EACG Unternehmenskunden in der effektiven Gestaltung und Nutzung von IT 3 E A C G i s a p r o s p e r i n g A W S p a r t n e rE A C G S e r v i c e s Cloud Service Rating Open Source Risk Management E A C G i n n o v a t e sE A C G s e r v e s s t r o n g & u p c o m i n g b r a n d s 21.02.18 EACG - Managing Open Source TRUST YOUR SOURCE
ECS – Von der Not zur Tugend Nur das Leben ist härter als die Realität: • 2013 musste in nur 9 Monaten eine Plattform zur Digitalisierung der Landwirtschaft entstehen (Geo-Daten, Satelliten, Telemetrie, Wetter, Finanzen, Marktangebote, Bedarfe, Bestände, etc.) • Um Geschwindigkeit zu erzielen, Realisierung auf Basis von Open Source (Köpfe statt Lizenzen) • 4 Scrum-Teams arbeiten parallel an einzelnen Diensten für die Plattform • ½ Jahr nach Start, Ausgründung einer Tochtergesellschaft • ¾ Jahr nach Start, neue Anwendungsfälle (Ausbringung von lokalen Komponenten) • 1 Jahr nach Start, Übertragung von Anwendungsteilen an einen Partner (Verkauf zum Betrieb im Stall) • ... 21.02.18 EACG - Managing Open Source 4 Alle paar Wochen eine neue Bestimmung der abhängigen Komponenten vorzunehmen macht keinen Spaß!
Trend zu immer schneller immer mehr Deployments erfordert Automation der „Compliance“-Prüfung 21.02.18 EACG - Managing Open Source 5 Team Code App Deploy Traditionell(Branching)Micro-Service-Ansatz Amazon.com Fakten ~11,6 sec Mean time between deployments (weekday) 1.079 Max # of deployments in a single hour ~10.000 server Avg # of hosts updated simultaneously PLEASE NOTE: Amazon has several thousands of developers ww!! Nachgelagerte Compliance-Prüfungen sind von gestern und werden vom Release-Druck überholt!!!
Frühes Erkennen der Compliance Issues hilft, Kosten zu reduzieren 22.02.18 EACG - Managing Open Source 6 Plan Develop Test Build Deploy Verify Run/ Distribute 1 Typische Compliance-Prüfung: • Abhängigkeiten, verwendeter Bibs • Lizenz-Eignung • Lizenz-Dokumentation • Provinence-Checks Reifegrad des hauseigenen SW-Entwicklungsprozess bestimmt die Möglichkeiten des SHIFT LEFT 2 Build Break bei Violations • Black/Whitelists • Deadly Obligations • Viability Policy 3 Automatisierte Tests auf Modul-Ebene bspw. auch bzgl. erfüllter Obligations • Black-/Whitelisting • Obligations/ Deadly Obligations • Vulnerabilities 4 Modul-spezifische (Einsatzzweck), automatisierte Eignungsprüfung als API SHIFT LEFT
Compliance ist eine Frage der Organisationskultur Großteil der Entwickler fehlt das Bewusstsein für Intellectual Property Rights • „Der muss es ja nicht ins Netz stellen, wenn er nicht will, dass es genutzt wird“ • „Oben Sors koscht nix un kann jeder nutze“ • „Bei uns ist alles sicher, wir nutzen nur Apache, MIT und BSD-Lizenzen!“ Aber: Non-Compliance ist kein Kavaliersdelikt • Finanzieller Schaden durch Strafen oder • Rückruf ist mögliche Folge • Image-Schaden • In groben Fällen des Versagens: Manager-Haftung bis hin zu strafrechtlichen Konsequenzen 21.02.18 EACG - Managing Open Source 7 Bestimmen des kulturellen Bewusstseins als Voraussetzung für begleitendes Change Mangement begreifen
Gestalt des OS-Boards an Unternehmensstruktur anpassen Wichtige Zielsetzungen bei der Gestaltung - Service-Orientierung im operativen Bereich beachten - Hohe Entscheidungsgeschwindigkeit ermöglichen - Klare Zuständigkeiten (wann darf, wann muss das Board angerufen werden? ) - Trennung der operativen Support-Funktion von der normativen Orientierungsfunktion bewahren - Einbindung der Rollen in eine gemeinsame Kommunikationsinfrastruktur 22.02.18 EACG - Managing Open Source 8 Dezentrale, Service-orientierte Ansätze verankern sich eher als dogmatisch normative OS Board Comp A Comp B Sect A1 A2 OS Board DezentraleCommunityHierarchischeInstanz request reply
Policies sollten zielgruppenorientiert aufgebaut sein Weniger ist oft mehr • 100-seitige, rechtlich korrekte Policies sind ungeeignet für die Verbreitung des Themas • Video-Botschaften haben wesentlich höhere Akzeptanzraten • Powerpoint zum Transport der “Take-Home- Messages“ eignet sich besser • Kurze Policy mit verlinkten Details • Inhaltlich mit den organisatorischen Gegebenheiten abgleichen (beschriebene Rollen müssen auch abbildbar sein) • Nachvollziehbarkeit des Policy-Rollouts sicherstellen (wer hat‘s gelesen?) • Mit Updates inkrementell vom Groben ins Feine arbeiten 22.02.18 EACG - Managing Open Source 9 OS-Policy mit Stand der Kultur und Organisationsgestaltung abstimmen, ggf. sukzessive Aufbauen
Richtige Tool-Unterstützung zur Mitarbeitergewinnung „It‘s not just a tool, it‘s good manufacturing practice!“ Dr. V.D.P., Head of Compliance Kommunikation mit Betriebsräten rechtzeitig und vorteilsbetont beginnen • Rechtlich konform arbeiten ist nicht optional, sondern Pflichtprogramm • Problematik (er)klären • Hilfestellung anbieten, bspw. : • Automatisieren der Informationssammlung • Unterstützung bei der Analyse, Auswertung und Interpretation • Automatisieren der Dokumentationsunterstützung • Hilfestellung bei der Abarbeitung • Approval-Prozess zur Enthaftung 21.02.18 EACG - Managing Open Source 10 Mitarbeiter lassen sich gewinnen, wenn sie verstehen, dass ihnen lästige Aufgaben erleichtert werden
Erfolgreiche OS Compliance baut auf vier Säulen Herausforderung erkennen, Ziele definieren - Situation verstehen - Automatisierung & Shift left adressieren - Zielsetzung und Weg klären Bewusstsein schaffen, Transparenz und Verbindlichkeit erzeugen - Bedeutung der Compliance klären und verankern (=> Change Management) - Umlegen der Manager-Haftung auf die Organisation durch Aufklärung und Unterstützung (=> OS Board, Change) - Sicherstellen und Klären: Wer hat welche Verantwortung? (=> Policy!) - Basis für Dokumentationspflicht und Auditierung schaffen (=> Tool-Unterstützung) - Mehrwerte durch intelligente Integration (=>Tool-Unterstützung) - Enthaftung des Einzelnen durch Approvals (=> Tool-Unterstützung) 22.02.18 EACG - Managing Open Source 11 Erfolgreiche OS Complianece Change Management OSBoard(Oraga) OSPolicy (verantwortlichkei ten) Tooling(Prozess)
EACG GmbH – Enterprise Architecture Consulting Group Taunustor 1 (TaunusTurm) 60310 Frankfurt am Main T: +49 69 153 22 77 50 F: +49 69 153 22 77 51 W: https://www.eacg.de Dipl.-Wirtsch.-Inf. Jan Thielscher, LL.M.

Recomendados

VSHN DevOps Workshop at topsoft 2019
VSHN DevOps Workshop at topsoft 2019VSHN DevOps Workshop at topsoft 2019
VSHN DevOps Workshop at topsoft 2019Markus Speth
 
DevOps: Revolution im IT Betrieb?
DevOps: Revolution im IT Betrieb?DevOps: Revolution im IT Betrieb?
DevOps: Revolution im IT Betrieb?Digicomp Academy AG
 
Xidra 2016 DevOps
Xidra 2016 DevOpsXidra 2016 DevOps
Xidra 2016 DevOpsEduard van den Bongard
 
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...Virtual Forge
 
Windows as a Service - Herausforderungen ohne Windows Desktop Analytics
Windows as a Service - Herausforderungen ohne Windows Desktop AnalyticsWindows as a Service - Herausforderungen ohne Windows Desktop Analytics
Windows as a Service - Herausforderungen ohne Windows Desktop AnalyticsFabian Niesen
 
Agiles Wissensmanagement im Service mit KCS®
Agiles Wissensmanagement im Service mit KCS®Agiles Wissensmanagement im Service mit KCS®
Agiles Wissensmanagement im Service mit KCS®pro accessio GmbH & Co. KG
 
Plone im Kontext des WCMS Marktes
Plone im Kontext des WCMS MarktesPlone im Kontext des WCMS Marktes
Plone im Kontext des WCMS MarktesAlexander Loechel
 
Agents of D.E.V.O.P.S
Agents of D.E.V.O.P.SAgents of D.E.V.O.P.S
Agents of D.E.V.O.P.SConSol Consulting & Solutions Software GmbH
 

Recomendados

VSHN DevOps Workshop at topsoft 2019
VSHN DevOps Workshop at topsoft 2019VSHN DevOps Workshop at topsoft 2019
VSHN DevOps Workshop at topsoft 2019Markus Speth
 
DevOps: Revolution im IT Betrieb?
DevOps: Revolution im IT Betrieb?DevOps: Revolution im IT Betrieb?
DevOps: Revolution im IT Betrieb?Digicomp Academy AG
 
Xidra 2016 DevOps
Xidra 2016 DevOpsXidra 2016 DevOps
Xidra 2016 DevOpsEduard van den Bongard
 
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...Virtual Forge
 
Windows as a Service - Herausforderungen ohne Windows Desktop Analytics
Windows as a Service - Herausforderungen ohne Windows Desktop AnalyticsWindows as a Service - Herausforderungen ohne Windows Desktop Analytics
Windows as a Service - Herausforderungen ohne Windows Desktop AnalyticsFabian Niesen
 
Agiles Wissensmanagement im Service mit KCS®
Agiles Wissensmanagement im Service mit KCS®Agiles Wissensmanagement im Service mit KCS®
Agiles Wissensmanagement im Service mit KCS®pro accessio GmbH & Co. KG
 
Plone im Kontext des WCMS Marktes
Plone im Kontext des WCMS MarktesPlone im Kontext des WCMS Marktes
Plone im Kontext des WCMS MarktesAlexander Loechel
 
Agents of D.E.V.O.P.S
Agents of D.E.V.O.P.SAgents of D.E.V.O.P.S
Agents of D.E.V.O.P.SConSol Consulting & Solutions Software GmbH
 
Vortragsreihe Dortmund: Unified Development Environments
Vortragsreihe Dortmund: Unified Development EnvironmentsVortragsreihe Dortmund: Unified Development Environments
Vortragsreihe Dortmund: Unified Development EnvironmentsThorsten Kamann
 
20191113 dev ops und continuous delivery_testautomatisierung ist trumpf
20191113 dev ops und continuous delivery_testautomatisierung ist trumpf20191113 dev ops und continuous delivery_testautomatisierung ist trumpf
20191113 dev ops und continuous delivery_testautomatisierung ist trumpfStefan Jobst
 
Microservices - Was EAs zu Microservices wissen sollten
Microservices - Was EAs zu Microservices wissen solltenMicroservices - Was EAs zu Microservices wissen sollten
Microservices - Was EAs zu Microservices wissen solltenJan Thielscher
 
Outpost24 webinar . Vulnerability Management Do's and Don'ts
Outpost24 webinar . Vulnerability Management Do's and Don'tsOutpost24 webinar . Vulnerability Management Do's and Don'ts
Outpost24 webinar . Vulnerability Management Do's and Don'tsOutpost24
 
DevOps - ab auf die Reise
DevOps - ab auf die ReiseDevOps - ab auf die Reise
DevOps - ab auf die ReiseAlex Lichtenberger
 
1. Cloud Native Meetup Innsbruck, 23.11.2023
1. Cloud Native Meetup Innsbruck, 23.11.20231. Cloud Native Meetup Innsbruck, 23.11.2023
1. Cloud Native Meetup Innsbruck, 23.11.2023Johannes Kleinlercher
 
Agiles Management für erfolgreiche IT-Projekte
Agiles Management für erfolgreiche IT-ProjekteAgiles Management für erfolgreiche IT-Projekte
Agiles Management für erfolgreiche IT-ProjekteJustRelate
 
DevOps und ITIL: Waffenbrüder oder Feinde?
DevOps und ITIL: Waffenbrüder oder Feinde?DevOps und ITIL: Waffenbrüder oder Feinde?
DevOps und ITIL: Waffenbrüder oder Feinde?OPITZ CONSULTING Deutschland
 
8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen
8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen
8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzenAWS Germany
 
Seal Software - Digitales Vertragsmanagement mit kuenstlicher Intelligenz
Seal Software - Digitales Vertragsmanagement mit kuenstlicher IntelligenzSeal Software - Digitales Vertragsmanagement mit kuenstlicher Intelligenz
Seal Software - Digitales Vertragsmanagement mit kuenstlicher IntelligenzConstanze Liebenau
 
Agiles Wissensmanagement: Shift-Left-Ansätze im Service Desk mit Knowledge Ce...
Agiles Wissensmanagement: Shift-Left-Ansätze im Service Desk mit Knowledge Ce...Agiles Wissensmanagement: Shift-Left-Ansätze im Service Desk mit Knowledge Ce...
Agiles Wissensmanagement: Shift-Left-Ansätze im Service Desk mit Knowledge Ce...pro accessio GmbH & Co. KG
 
Interview: Herausforderungen bei Auswahl und Installation eines DMS-/ECM-Systems
Interview: Herausforderungen bei Auswahl und Installation eines DMS-/ECM-SystemsInterview: Herausforderungen bei Auswahl und Installation eines DMS-/ECM-Systems
Interview: Herausforderungen bei Auswahl und Installation eines DMS-/ECM-SystemsOPTIMAL SYSTEMS GmbH
 
Vergleich Agentursoftware - So finden Sie die richtige Software!
Vergleich Agentursoftware - So finden Sie die richtige Software!Vergleich Agentursoftware - So finden Sie die richtige Software!
Vergleich Agentursoftware - So finden Sie die richtige Software!Because Software
 
Modernisierung in Zeiten wie diesen
Modernisierung in Zeiten wie diesenModernisierung in Zeiten wie diesen
Modernisierung in Zeiten wie diesenenpit GmbH & Co. KG
 
Architektur und Automation als Enabler für DevOps
Architektur und Automation als Enabler für DevOpsArchitektur und Automation als Enabler für DevOps
Architektur und Automation als Enabler für DevOpsmatfsw
 
Applikationsmodernisierung: Der Weg von Legacy in die Cloud
Applikationsmodernisierung: Der Weg von Legacy in die CloudApplikationsmodernisierung: Der Weg von Legacy in die Cloud
Applikationsmodernisierung: Der Weg von Legacy in die CloudAarno Aukia
 
"Erfolgreiche Strategien zur Migration veralteter Software" Präsentation vom ...
"Erfolgreiche Strategien zur Migration veralteter Software" Präsentation vom ..."Erfolgreiche Strategien zur Migration veralteter Software" Präsentation vom ...
"Erfolgreiche Strategien zur Migration veralteter Software" Präsentation vom ...Bernhard Schimunek
 
Config as Code: Der Weg zu Configuration as Code
Config as Code: Der Weg zu Configuration as CodeConfig as Code: Der Weg zu Configuration as Code
Config as Code: Der Weg zu Configuration as CodeDevOps Meetup Bern
 
Migration von Applikationen in die Cloud
Migration von Applikationen in die CloudMigration von Applikationen in die Cloud
Migration von Applikationen in die CloudAarno Aukia
 
Agile Business Software mit der Enterprise Cloud
Agile Business Software mit der Enterprise CloudAgile Business Software mit der Enterprise Cloud
Agile Business Software mit der Enterprise Cloudlogicline - Enterprise Cloud & Mobile Apps
 

Más contenido relacionado

Similar a Open Source Governance - Erfahrungen

Vortragsreihe Dortmund: Unified Development Environments
Vortragsreihe Dortmund: Unified Development EnvironmentsVortragsreihe Dortmund: Unified Development Environments
Vortragsreihe Dortmund: Unified Development EnvironmentsThorsten Kamann
 
20191113 dev ops und continuous delivery_testautomatisierung ist trumpf
20191113 dev ops und continuous delivery_testautomatisierung ist trumpf20191113 dev ops und continuous delivery_testautomatisierung ist trumpf
20191113 dev ops und continuous delivery_testautomatisierung ist trumpfStefan Jobst
 
Microservices - Was EAs zu Microservices wissen sollten
Microservices - Was EAs zu Microservices wissen solltenMicroservices - Was EAs zu Microservices wissen sollten
Microservices - Was EAs zu Microservices wissen solltenJan Thielscher
 
Outpost24 webinar . Vulnerability Management Do's and Don'ts
Outpost24 webinar . Vulnerability Management Do's and Don'tsOutpost24 webinar . Vulnerability Management Do's and Don'ts
Outpost24 webinar . Vulnerability Management Do's and Don'tsOutpost24
 
1. Cloud Native Meetup Innsbruck, 23.11.2023
1. Cloud Native Meetup Innsbruck, 23.11.20231. Cloud Native Meetup Innsbruck, 23.11.2023
1. Cloud Native Meetup Innsbruck, 23.11.2023Johannes Kleinlercher
 
Agiles Management für erfolgreiche IT-Projekte
Agiles Management für erfolgreiche IT-ProjekteAgiles Management für erfolgreiche IT-Projekte
Agiles Management für erfolgreiche IT-ProjekteJustRelate
 
8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen
8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen
8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzenAWS Germany
 
Seal Software - Digitales Vertragsmanagement mit kuenstlicher Intelligenz
Seal Software - Digitales Vertragsmanagement mit kuenstlicher IntelligenzSeal Software - Digitales Vertragsmanagement mit kuenstlicher Intelligenz
Seal Software - Digitales Vertragsmanagement mit kuenstlicher IntelligenzConstanze Liebenau
 
Agiles Wissensmanagement: Shift-Left-Ansätze im Service Desk mit Knowledge Ce...
Agiles Wissensmanagement: Shift-Left-Ansätze im Service Desk mit Knowledge Ce...Agiles Wissensmanagement: Shift-Left-Ansätze im Service Desk mit Knowledge Ce...
Agiles Wissensmanagement: Shift-Left-Ansätze im Service Desk mit Knowledge Ce...pro accessio GmbH & Co. KG
 
Interview: Herausforderungen bei Auswahl und Installation eines DMS-/ECM-Systems
Interview: Herausforderungen bei Auswahl und Installation eines DMS-/ECM-SystemsInterview: Herausforderungen bei Auswahl und Installation eines DMS-/ECM-Systems
Interview: Herausforderungen bei Auswahl und Installation eines DMS-/ECM-SystemsOPTIMAL SYSTEMS GmbH
 
Vergleich Agentursoftware - So finden Sie die richtige Software!
Vergleich Agentursoftware - So finden Sie die richtige Software!Vergleich Agentursoftware - So finden Sie die richtige Software!
Vergleich Agentursoftware - So finden Sie die richtige Software!Because Software
 
Modernisierung in Zeiten wie diesen
Modernisierung in Zeiten wie diesenModernisierung in Zeiten wie diesen
Modernisierung in Zeiten wie diesenenpit GmbH & Co. KG
 
Architektur und Automation als Enabler für DevOps
Architektur und Automation als Enabler für DevOpsArchitektur und Automation als Enabler für DevOps
Architektur und Automation als Enabler für DevOpsmatfsw
 
Applikationsmodernisierung: Der Weg von Legacy in die Cloud
Applikationsmodernisierung: Der Weg von Legacy in die CloudApplikationsmodernisierung: Der Weg von Legacy in die Cloud
Applikationsmodernisierung: Der Weg von Legacy in die CloudAarno Aukia
 
"Erfolgreiche Strategien zur Migration veralteter Software" Präsentation vom ...
"Erfolgreiche Strategien zur Migration veralteter Software" Präsentation vom ..."Erfolgreiche Strategien zur Migration veralteter Software" Präsentation vom ...
"Erfolgreiche Strategien zur Migration veralteter Software" Präsentation vom ...Bernhard Schimunek
 
Config as Code: Der Weg zu Configuration as Code
Config as Code: Der Weg zu Configuration as CodeConfig as Code: Der Weg zu Configuration as Code
Config as Code: Der Weg zu Configuration as CodeDevOps Meetup Bern
 
Migration von Applikationen in die Cloud
Migration von Applikationen in die CloudMigration von Applikationen in die Cloud
Migration von Applikationen in die CloudAarno Aukia
 

Similar a Open Source Governance - Erfahrungen (20)

Vortragsreihe Dortmund: Unified Development Environments
Vortragsreihe Dortmund: Unified Development EnvironmentsVortragsreihe Dortmund: Unified Development Environments
Vortragsreihe Dortmund: Unified Development Environments
 
20191113 dev ops und continuous delivery_testautomatisierung ist trumpf
20191113 dev ops und continuous delivery_testautomatisierung ist trumpf20191113 dev ops und continuous delivery_testautomatisierung ist trumpf
20191113 dev ops und continuous delivery_testautomatisierung ist trumpf
 
Microservices - Was EAs zu Microservices wissen sollten
Microservices - Was EAs zu Microservices wissen solltenMicroservices - Was EAs zu Microservices wissen sollten
Microservices - Was EAs zu Microservices wissen sollten
 
Outpost24 webinar . Vulnerability Management Do's and Don'ts
Outpost24 webinar . Vulnerability Management Do's and Don'tsOutpost24 webinar . Vulnerability Management Do's and Don'ts
Outpost24 webinar . Vulnerability Management Do's and Don'ts
 
DevOps - ab auf die Reise
DevOps - ab auf die ReiseDevOps - ab auf die Reise
DevOps - ab auf die Reise
 
1. Cloud Native Meetup Innsbruck, 23.11.2023
1. Cloud Native Meetup Innsbruck, 23.11.20231. Cloud Native Meetup Innsbruck, 23.11.2023
1. Cloud Native Meetup Innsbruck, 23.11.2023
 
Agiles Management für erfolgreiche IT-Projekte
Agiles Management für erfolgreiche IT-ProjekteAgiles Management für erfolgreiche IT-Projekte
Agiles Management für erfolgreiche IT-Projekte
 
DevOps und ITIL: Waffenbrüder oder Feinde?
DevOps und ITIL: Waffenbrüder oder Feinde?DevOps und ITIL: Waffenbrüder oder Feinde?
DevOps und ITIL: Waffenbrüder oder Feinde?
 
8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen
8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen
8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen
 
Seal Software - Digitales Vertragsmanagement mit kuenstlicher Intelligenz
Seal Software - Digitales Vertragsmanagement mit kuenstlicher IntelligenzSeal Software - Digitales Vertragsmanagement mit kuenstlicher Intelligenz
Seal Software - Digitales Vertragsmanagement mit kuenstlicher Intelligenz
 
Agiles Wissensmanagement: Shift-Left-Ansätze im Service Desk mit Knowledge Ce...
Agiles Wissensmanagement: Shift-Left-Ansätze im Service Desk mit Knowledge Ce...Agiles Wissensmanagement: Shift-Left-Ansätze im Service Desk mit Knowledge Ce...
Agiles Wissensmanagement: Shift-Left-Ansätze im Service Desk mit Knowledge Ce...
 
Interview: Herausforderungen bei Auswahl und Installation eines DMS-/ECM-Systems
Interview: Herausforderungen bei Auswahl und Installation eines DMS-/ECM-SystemsInterview: Herausforderungen bei Auswahl und Installation eines DMS-/ECM-Systems
Interview: Herausforderungen bei Auswahl und Installation eines DMS-/ECM-Systems
 
Vergleich Agentursoftware - So finden Sie die richtige Software!
Vergleich Agentursoftware - So finden Sie die richtige Software!Vergleich Agentursoftware - So finden Sie die richtige Software!
Vergleich Agentursoftware - So finden Sie die richtige Software!
 
Modernisierung in Zeiten wie diesen
Modernisierung in Zeiten wie diesenModernisierung in Zeiten wie diesen
Modernisierung in Zeiten wie diesen
 
Architektur und Automation als Enabler für DevOps
Architektur und Automation als Enabler für DevOpsArchitektur und Automation als Enabler für DevOps
Architektur und Automation als Enabler für DevOps
 
Applikationsmodernisierung: Der Weg von Legacy in die Cloud
Applikationsmodernisierung: Der Weg von Legacy in die CloudApplikationsmodernisierung: Der Weg von Legacy in die Cloud
Applikationsmodernisierung: Der Weg von Legacy in die Cloud
 
"Erfolgreiche Strategien zur Migration veralteter Software" Präsentation vom ...
"Erfolgreiche Strategien zur Migration veralteter Software" Präsentation vom ..."Erfolgreiche Strategien zur Migration veralteter Software" Präsentation vom ...
"Erfolgreiche Strategien zur Migration veralteter Software" Präsentation vom ...
 
Config as Code: Der Weg zu Configuration as Code
Config as Code: Der Weg zu Configuration as CodeConfig as Code: Der Weg zu Configuration as Code
Config as Code: Der Weg zu Configuration as Code
 
Migration von Applikationen in die Cloud
Migration von Applikationen in die CloudMigration von Applikationen in die Cloud
Migration von Applikationen in die Cloud
 
Agile Business Software mit der Enterprise Cloud
Agile Business Software mit der Enterprise CloudAgile Business Software mit der Enterprise Cloud
Agile Business Software mit der Enterprise Cloud
 

Open Source Governance - Erfahrungen

  • 1. Open Source Governance im Konzern Ein Erfahrungsbericht
  • 2. Agenda 21.02.18 EACG - Managing Open Source 2 Kurzvorstellung & Einführung Herausforderung moderne Software-Entwicklung (10) Verantwortung, Compliance & Approval-Prozesse in verteilten Organisationen (5) Einführung OS-Board (5) Betriebsratsvereinbarung (5) Praktischer Einstieg
  • 3. Seit mehr als 10 Jahren unterstützt EACG Unternehmenskunden in der effektiven Gestaltung und Nutzung von IT 3 E A C G i s a p r o s p e r i n g A W S p a r t n e rE A C G S e r v i c e s Cloud Service Rating Open Source Risk Management E A C G i n n o v a t e sE A C G s e r v e s s t r o n g & u p c o m i n g b r a n d s 21.02.18 EACG - Managing Open Source TRUST YOUR SOURCE
  • 4. ECS – Von der Not zur Tugend Nur das Leben ist härter als die Realität: • 2013 musste in nur 9 Monaten eine Plattform zur Digitalisierung der Landwirtschaft entstehen (Geo-Daten, Satelliten, Telemetrie, Wetter, Finanzen, Marktangebote, Bedarfe, Bestände, etc.) • Um Geschwindigkeit zu erzielen, Realisierung auf Basis von Open Source (Köpfe statt Lizenzen) • 4 Scrum-Teams arbeiten parallel an einzelnen Diensten für die Plattform • ½ Jahr nach Start, Ausgründung einer Tochtergesellschaft • ¾ Jahr nach Start, neue Anwendungsfälle (Ausbringung von lokalen Komponenten) • 1 Jahr nach Start, Übertragung von Anwendungsteilen an einen Partner (Verkauf zum Betrieb im Stall) • ... 21.02.18 EACG - Managing Open Source 4 Alle paar Wochen eine neue Bestimmung der abhängigen Komponenten vorzunehmen macht keinen Spaß!
  • 5. Trend zu immer schneller immer mehr Deployments erfordert Automation der „Compliance“-Prüfung 21.02.18 EACG - Managing Open Source 5 Team Code App Deploy Traditionell(Branching)Micro-Service-Ansatz Amazon.com Fakten ~11,6 sec Mean time between deployments (weekday) 1.079 Max # of deployments in a single hour ~10.000 server Avg # of hosts updated simultaneously PLEASE NOTE: Amazon has several thousands of developers ww!! Nachgelagerte Compliance-Prüfungen sind von gestern und werden vom Release-Druck überholt!!!
  • 6. Frühes Erkennen der Compliance Issues hilft, Kosten zu reduzieren 22.02.18 EACG - Managing Open Source 6 Plan Develop Test Build Deploy Verify Run/ Distribute 1 Typische Compliance-Prüfung: • Abhängigkeiten, verwendeter Bibs • Lizenz-Eignung • Lizenz-Dokumentation • Provinence-Checks Reifegrad des hauseigenen SW-Entwicklungsprozess bestimmt die Möglichkeiten des SHIFT LEFT 2 Build Break bei Violations • Black/Whitelists • Deadly Obligations • Viability Policy 3 Automatisierte Tests auf Modul-Ebene bspw. auch bzgl. erfüllter Obligations • Black-/Whitelisting • Obligations/ Deadly Obligations • Vulnerabilities 4 Modul-spezifische (Einsatzzweck), automatisierte Eignungsprüfung als API SHIFT LEFT
  • 7. Compliance ist eine Frage der Organisationskultur Großteil der Entwickler fehlt das Bewusstsein für Intellectual Property Rights • „Der muss es ja nicht ins Netz stellen, wenn er nicht will, dass es genutzt wird“ • „Oben Sors koscht nix un kann jeder nutze“ • „Bei uns ist alles sicher, wir nutzen nur Apache, MIT und BSD-Lizenzen!“ Aber: Non-Compliance ist kein Kavaliersdelikt • Finanzieller Schaden durch Strafen oder • Rückruf ist mögliche Folge • Image-Schaden • In groben Fällen des Versagens: Manager-Haftung bis hin zu strafrechtlichen Konsequenzen 21.02.18 EACG - Managing Open Source 7 Bestimmen des kulturellen Bewusstseins als Voraussetzung für begleitendes Change Mangement begreifen
  • 8. Gestalt des OS-Boards an Unternehmensstruktur anpassen Wichtige Zielsetzungen bei der Gestaltung - Service-Orientierung im operativen Bereich beachten - Hohe Entscheidungsgeschwindigkeit ermöglichen - Klare Zuständigkeiten (wann darf, wann muss das Board angerufen werden? ) - Trennung der operativen Support-Funktion von der normativen Orientierungsfunktion bewahren - Einbindung der Rollen in eine gemeinsame Kommunikationsinfrastruktur 22.02.18 EACG - Managing Open Source 8 Dezentrale, Service-orientierte Ansätze verankern sich eher als dogmatisch normative OS Board Comp A Comp B Sect A1 A2 OS Board DezentraleCommunityHierarchischeInstanz request reply
  • 9. Policies sollten zielgruppenorientiert aufgebaut sein Weniger ist oft mehr • 100-seitige, rechtlich korrekte Policies sind ungeeignet für die Verbreitung des Themas • Video-Botschaften haben wesentlich höhere Akzeptanzraten • Powerpoint zum Transport der “Take-Home- Messages“ eignet sich besser • Kurze Policy mit verlinkten Details • Inhaltlich mit den organisatorischen Gegebenheiten abgleichen (beschriebene Rollen müssen auch abbildbar sein) • Nachvollziehbarkeit des Policy-Rollouts sicherstellen (wer hat‘s gelesen?) • Mit Updates inkrementell vom Groben ins Feine arbeiten 22.02.18 EACG - Managing Open Source 9 OS-Policy mit Stand der Kultur und Organisationsgestaltung abstimmen, ggf. sukzessive Aufbauen
  • 10. Richtige Tool-Unterstützung zur Mitarbeitergewinnung „It‘s not just a tool, it‘s good manufacturing practice!“ Dr. V.D.P., Head of Compliance Kommunikation mit Betriebsräten rechtzeitig und vorteilsbetont beginnen • Rechtlich konform arbeiten ist nicht optional, sondern Pflichtprogramm • Problematik (er)klären • Hilfestellung anbieten, bspw. : • Automatisieren der Informationssammlung • Unterstützung bei der Analyse, Auswertung und Interpretation • Automatisieren der Dokumentationsunterstützung • Hilfestellung bei der Abarbeitung • Approval-Prozess zur Enthaftung 21.02.18 EACG - Managing Open Source 10 Mitarbeiter lassen sich gewinnen, wenn sie verstehen, dass ihnen lästige Aufgaben erleichtert werden
  • 11. Erfolgreiche OS Compliance baut auf vier Säulen Herausforderung erkennen, Ziele definieren - Situation verstehen - Automatisierung & Shift left adressieren - Zielsetzung und Weg klären Bewusstsein schaffen, Transparenz und Verbindlichkeit erzeugen - Bedeutung der Compliance klären und verankern (=> Change Management) - Umlegen der Manager-Haftung auf die Organisation durch Aufklärung und Unterstützung (=> OS Board, Change) - Sicherstellen und Klären: Wer hat welche Verantwortung? (=> Policy!) - Basis für Dokumentationspflicht und Auditierung schaffen (=> Tool-Unterstützung) - Mehrwerte durch intelligente Integration (=>Tool-Unterstützung) - Enthaftung des Einzelnen durch Approvals (=> Tool-Unterstützung) 22.02.18 EACG - Managing Open Source 11 Erfolgreiche OS Complianece Change Management OSBoard(Oraga) OSPolicy (verantwortlichkei ten) Tooling(Prozess)
  • 12. EACG GmbH – Enterprise Architecture Consulting Group Taunustor 1 (TaunusTurm) 60310 Frankfurt am Main T: +49 69 153 22 77 50 F: +49 69 153 22 77 51 W: https://www.eacg.de Dipl.-Wirtsch.-Inf. Jan Thielscher, LL.M.