Enterprise Open Source (e rischi di adozione) · 2010-05-31 · Tool tecnici (Eclipse, Ant, Junit...) Tool di Sicurezza SNORT (IDS) NMAP (Security Scanner) OpenSSL, OpenSSO Imola,

Imola, Giugno 2010

Gruppoimola

iinterpretanterpreta le TECNOLOGIE sul mercato

iinteragiscenteragisce con il CLIENTE

iinnovannova i PROCESSI tecnologici del cliente

iistruiscestruisce con percorsi di SKILL TRANSFER

iinformanforma con MOKABYTE.it

Enterprise Open Source

Copyright GruppoImola (2005-2010)1

Enterprise Open Source

(e rischi di adozione)

Claudio Bergamini - [email protected] Spazzoli - [email protected] Cimatti - [email protected] Caranna - [email protected]

Imola, Giugno 2010

Gruppoimola

Agenda


Imola, Giugno 2010

Gruppoimola

Definiamo i termini

Software come Proprieta' Intellettuale

Software proprietario

Software Open Source

Freeware


Imola, Giugno 2010

Gruppoimola

Vantaggi del Software proprietario

Indennita' per violazioni

Manutenzione e supporto

Non serve uno staff che sappia cosa e' l' Open Source

Diritti se:

Media difettosi


Media difettosi

Il software contiene virus, backdoor, etc.

Il software si puo' provare che ha fallito nei requisiti scritti funzionali o tecnici

Imola, Giugno 2010

Gruppoimola

Svantaggi del Software proprietario

Costo di licenza e di bundling dei prodotti

Il prodotto non si puo' variare e migliorare

Spesso non sono costruiti sugli standard, portando a problemi di interoperabilita' e di dipendenze

Se non c'e' sviluppo o scambio di informazioni posso solo abbandonare


abbandonare

Spesso il codice proprietario non ha la qualita' dei prodotti Open Source corrispondenti

Imola, Giugno 2010

Gruppoimola

Vantaggi del Software Open Source

Il prezzo della licenza e' nullo o basso

Il codice sorgente ed il permesso di fare miglioramenti e modifiche

Accesso alla comunita' degli sviluppatori Open Source, che puo' essere molto attiva

Continui miglioramenti e sviluppo intenso


Continui miglioramenti e sviluppo intenso

Quasi sempre basati su standard aperti, per cui interoperabili con altri sistemi aperti standard

Imola, Giugno 2010

Gruppoimola

Svantaggi del Software Open Source

Indennita': se qualcuno reclama che il licenziatario sta usando codice che una terza parte ha sviluppato, il licenziatario si deve difendere legalmente e ha danni di immagine

Manutenzione e supporto se non acquistati a parte

Nessuna garanzia su difetti, virus, performance


Lo staff deve avere una cultura di cosa sia l'Open Source

Le licenze non sono standard e vanno esaminate una per una

Imola, Giugno 2010

Gruppoimola

The Free Software Definition

4 tipi di Liberta' per gli utenti del software

1) The freedom to run the program, for any purpose.

2) The freedom to study how the program works, and adapt it to your needs.

3) The freedom to redistribute copies so you can help your neighbor.


4) The freedom to improve the program, and release your improvements

(and modified versions in general) to the public, so that the whole

community benefits.

Access to the source code is a precondition for 2 and 4.

Imola, Giugno 2010

Gruppoimola

Il mondo Open Source

L'Open Source ha molte dimensioni:

La proprietà intellettuale

Il modello di business


Il modello di business

L'approccio allo sviluppo

La collaborazione e la competizione

Il concetto di software libero

Imola, Giugno 2010

Gruppoimola

I criteri chiave di adozione

La diffusione

La dimensione della comunita'

Il tipo di progetto (sponsor, community, ..)

Il target: individuale o enterprise


Il target: individuale o enterprise

Il tipo di licenza

Imola, Giugno 2010

Gruppoimola

Aree coperte dal Software Open Source

Sistemi operativi

Linux

OpenSolaris

FreeBSD

Symbian


Applicazioni

Di tipo infrastrutturale (Apache, Glassfish, Jboss, ...)

Middleware (ERP, SugarCRM,..)

Tool tecnici (Eclipse, Ant, Junit...)

Tool di Sicurezza

SNORT (IDS)

NMAP (Security Scanner)

OpenSSL, OpenSSO

Imola, Giugno 2010

Gruppoimola

The image cannot be displayed. Your computer may not have enough memory to open the image, or the image may have been corrupted. Restart your computer, and then open the file again. If the red x still appears, you may have to delete the image and then insert it again.

Applicazioni di tipo Infrastrutturale


Imola, Giugno 2010

Gruppoimola

Web Server attivi 2000-2007


Ricerca Netcraft, Aprile 2007 – Market share Web Server attraverso tutti i domini

Imola, Giugno 2010

Gruppoimola

Middleware

categoria OSS descrizione

ESB OpenESB, ServiceMix,Mule, Petals

Integration middleware

ECM Alfresco Framework di gestione documentale


documentale

ERP Compiere ERP, OpenBravo

Applicazioni gestionali

CRM SugarCRM community edition

Customer Relationship Management

BI Pentaho, Mondrian piattaforma di Business Intelligence

Imola, Giugno 2010

Gruppoimola

Tool tecnici


IDE Eclipse, NetBeans ambiente di sviluppo

Build tools/ Continuos integration

Ant, Maven, CruiseControl

strumenti per la build, gestione delle dipendenze, deploy


Testing tools Junit, Selenium strumenti per il test

Modeling tools NetBeansUML, ArgoUML

strumenti per analisi e design

Bug tracking tools

Bugzilla, Trac strumenti per la gestione dei progetti e dei bug

Versioning tools CVS, SubVersion strumenti per il versionamento

Imola, Giugno 2010

Gruppoimola

Frameworks



Imola, Giugno 2010

Gruppoimola

Tool di sicurezza


Network intrusion detection

Snort, OSSEC, Bro

programma per rilevare i tentativi di intrusione

Security scanning

Nessus, NMAP programma per analizzare da remoto la vulnerabilità dei pc


SSL OpenSSL secure socket layer e transport layer security

VPN OpenVPN Virtual Private Network OS

IAM OpenIAM Identity and access management

Imola, Giugno 2010

Gruppoimola

OS e l'Enterprise

Il software OS è pronto per l'ambiente enterprise?

Tomcat, JBoss, Eclipse, NetBeans,

MySQL, Spring, Hibernate, OpenESB, ...


MySQL, Spring, Hibernate, OpenESB, ...

hanno dimostrato che i progetti OS possono

produrre software per l'enterprise

Es. LAMP (Linux-Apache-MySQL-PHP/Python/Perl)

Imola, Giugno 2010

Gruppoimola

Criteri di selezione


Imola, Giugno 2010

Gruppoimola

OS e l'Enterprise


Imola, Giugno 2010

Gruppoimola

Agenda


Imola, Giugno 2010

Gruppoimola

Rischi connessi all'adozione

•Le licenze

•Le garanzie nel tempo

•Il supporto

•I servizi


•I servizi

•Le implementazioni

Imola, Giugno 2010

Gruppoimola

Le licenze

•Il software OS non è privo di licenza!

•Le licenze OS possono essere raggruppate nelle seguenti famiglie:

–General Public Licenses (GPL, LGPL)


–Academic Licenses (Berkeley, MIT e Apache)

–Corporate Licenses (Mozilla, Eclipse)

Imola, Giugno 2010

Gruppoimola

Riepilogo delle caratteristiche


Imola, Giugno 2010

Gruppoimola

Il Supporto ed i Servizi

•La preoccupazione principale delle aziende che

usano software OS è la disponibilità dei servizi e

il supporto per l'Open Source

•Esistono aziende specializzate nel supporto di

stack di prodotti Open Source


stack di prodotti Open Source

•I vendor offrono in modo piu' o meno

convincente:

– Servizi (implementazione, supporto)

– Formazione sui prodotti

Imola, Giugno 2010

Gruppoimola

Implementazione Open Source: Contratto

The Parties acknowledge that the purpose of this Agreement is to contribute and

publish the appropriate portions of the Deliverables to the open source communities

under appropriate Open Source Initiative (OSI) certified open source licenses. The

parties shall specify in the Project Plan both the portions of Deliverables to be so

published and the license to be applied.

Without limiting other provisions of this Agreement, the Developer agrees to use


reasonable efforts to promptly provide bug-fixes and/or otherwise solve any error-

reports from the participants of the relevant open source community regarding such

Deliverables, which are published to open source communities in accordance with this

Agreement.

It is explicitely stated that the section “8.Intellectual Property Rights” of the

APPENDIX 3 shall not apply, because the Developer will contribute the development

to the Open Source project to which XXXXX is currently part of.

Imola, Giugno 2010

Gruppoimola

Rischi e benefici di sviluppare su Open Source



Imola, Giugno 2010

Gruppoimola

Agenda


Imola, Giugno 2010

Gruppoimola

Aspetti di sicurezza

•Codice aperto: + o – sicuro

•Applicazioni di sicurezza vs. prodotti commerciali

•I prodotti di sicurezza

•I servizi di sicurezza


Imola, Giugno 2010

Gruppoimola

Codice aperto + o – sicuro: il caso

Borland's InterBase server

Tra il 1992 e il 1994, Borland inseri' una ``back door'' intenzionale nel loro database

server InterBase

''This back door allowed any local or remote user to manipulate any database object and

install arbitrary programs, and in some cases could lead to controlling the machine as

“root''.


“root''.

Questa vulnerabilita' e' rimasta nel prodotto per oltre 6 anni, perche' Borland non aveva

alcun incentivo a rimuoverla.

In Luglio 2000 Borland ha rilasciato il codice sorgente.

Il progetto"Firebird" scopri' il serio problema di sicurezza in Dicembre 2000, ed il CERT lo

ha pubblicato in Gennaio 2001:CERT advisory CA-2001-01.

E' stato fissato il mese successivo.

Imola, Giugno 2010

Gruppoimola

Gli studi quantitativi

IBM Internet Security Systems' X-Force R&D team

Report on cyber attacks on Sept. 17, 2007

Top five vulnerable vendors(accounted for 12.6 of all disclosed vulnerabilities in the first half of the year—or 411 of 3,272 vulnerabilities disclosed).

Microsoft, 4.2 %

Apple, 3 %


Apple, 3 %

Oracle, 2 %

Cisco Systems, 1.9 %

Sun Microsystems, 1.5 %

IBM, 1.3 %

Mozilla, 1.3 %

XOOPS, 1.2 %

BEA, 1.1 %

Linux kernel, 0.9 %

Imola, Giugno 2010

Gruppoimola

Gli studi quantitativi

Sempre sul Report si dice che:

21 percent of vulnerabilities disclosed by the top 5 vendors remain unpatched up from a year ago

While that might seem alarming, it's notable that 60 percent of vulnerabilities from all other vendors found in the first half of the year remained unaddressed.


The vast majority—90 percent—of the 3,273 vulnerabilities reported in the first half of the year can be exploited remotely. And more than half—51.6 percent—of the vulnerabilities found would give an attacker access to the host after exploitation.

Attrition.org http://attrition.org/errata/statistics/stats-50.html

Imola, Giugno 2010

Gruppoimola

Agenda


Imola, Giugno 2010

Gruppoimola

Vendor e Open Source


Copyright www.heritage-history.com

Imola, Giugno 2010

Gruppoimola

Perche' i Vendor si interessano di Open Source

Open source provides an excellent way to allow the

community to contribute, thereby naturally helping these

tools evolve in the way the user community desires, while

enhancing their value in support of the product which is important

to IBM.

This can effectively shorten the ‘‘need-implement-use’’ loop,


This can effectively shorten the ‘‘need-implement-use’’ loop,

compared with what it might be with the conventional product

cycle.

The Eclipse open source project, with its affiliated eclipse.org

governance body, has provided a very successful model for this

kind of effort and is further discussed later.

Capek, Frank, Gerdt, Shields

A history of IBM's Open Source involvement and strategy

IBM Systen Journal Vol. 44, 2005

Imola, Giugno 2010

Gruppoimola

SUN's Open Source strategic goals(prima dell'acquisizione da parte di Oracle...)...Sun recognizes that the way software is written and distributed has changed forever

Open Source is About Sharing: Ideas, Code, Innovation

In Sun's view, open source is the ideal development and business model for today's

massively connected, Participation Age economy. The open source model offers liberties

to every user and developer that encourage genuinely collaborative innovation.

Open source software can lower customer barriers to: access, switching costs, and

greater value achieved in an environment that allows for increased participation and

competition. Companies gain compensation for their innovations by building on the

contributions of others.


contributions of others.

Imola, Giugno 2010

Gruppoimola

ORACLE's Open Source strategic goalsOracle is committed to developing, supporting, and promoting Open Source. Oracle has

been, and continues to be, committed to offering choice, flexibility, and a lower cost of

computing for end users.

By investing significant resources in developing, testing, optimizing and supporting

open source technologies such as Linux, PHP, Apache, Eclipse, Berkeley DB, and

InnoDB, Oracle is clearly embracing and offering open source solutions as a viable

choice for development and deployment. Today, many customers are using Oracle and

supported open source technologies in mission-critical environments and are reaping

the benefits of lower costs, easier manageability, higher availability, and reliability


along with performance and scalability advantages.

Imola, Giugno 2010

Gruppoimola

2009: Oracle acquisisce Sun

• Quale futuro per i progetti

Open Source di Sun?

Glassfish, OpenESB, OpenSolaris, …

• Il caso “MySQL”


• Il caso “MySQL”

• ...e cosa accadrà a Java?

Imola, Giugno 2010

Gruppoimola

IBM vs Oracle: duopolio?

• A tutti i livelli:

– Hardware

– Sistema operativo

– Database

– Application server


– Integration server

– …

• Open Source come terza alternativa...

Imola, Giugno 2010

Gruppoimola

Inclusione e implementazione di prodotti Open Sourc e

IBM Webshere Application Server costruito su Apache Http Server

IBM Webshere Portal Server include Apache JetSpeed

IBM Websphere Studio Application Developer include Eclipse e Ant

Sun Microsystem jCaps include OpenESB, Glassfish e NetBeans

Etc.


Gartner dice (2007):“commercial software will include Open Source”

Imola, Giugno 2010

Gruppoimola

Grazie per l'attenzione


Imola Informaticawww.imolinfo.it (also english version)

MokaBytewww.MokaByte.itwww.MokaByte-swp.com

SensibleLogicwww.SensibleLogic.com

Documents

Enterprise Open Source (e rischi di adozione) · 2010-05-31 · Tool tecnici (Eclipse, Ant, Junit...) Tool di Sicurezza SNORT (IDS) NMAP (Security Scanner) OpenSSL, OpenSSO Imola,