DEFREN

Login et recherche



Sponsors /ch/open

Univention GmbH - /ch/open Sponsor
Security-Report auf Open Source Basis mit CleanerVersion

Security-​Report auf Open Source Basis mit CleanerVersion

von Manuel Jeckel­mann | 24.07.2015

Swiss­com setzt bei ihrer Eigen­ent­wick­lung einer Reporting-​Plattform für Security-​Kennzahlen auf Open Source. Dabei wer­den alle Rol­len, die in Open Source mög­lich sind, ein­ge­nom­men — Anwen­der, Con­tri­bu­ter und Maintainer.

Das Kun­den­spek­trum von Swiss­com ist enorm breit, es reicht vom ein­zel­nen Pri­vat­kun­den mit Inter­net und Handy bis hin zur Bank mit einem kom­plet­ten Outsourcing-​Auftrag. Allen Ser­vice­an­sprü­chen gerecht zu wer­den und die erwar­tete Qua­li­tät zu erbrin­gen, erfor­dert eine kom­plexe IT-​Infrastruktur im Hin­ter­grund. Dabei ist eine homo­gene, stark stan­dar­di­sierte Sys­tem­land­schaft wenig realistisch.

Swiss­com als Open Source Anwender

Der Anspruch ist es, in einer hete­ro­ge­nen Umge­bung eine stan­dar­di­sierte und sys­te­ma­ti­sche Über­prü­fung der Sicher­heits­richt­li­nien umzu­set­zen und zu rap­por­tie­ren. Da auf dem kom­mer­zi­el­len Markt keine Lösung ver­füg­bar war, wel­che diese Anfor­de­run­gen abdeckt, wurde eine Eigen­ent­wick­lung in Angriff genom­men. Von Anfang an war dabei klar, dass nur Open Source die Fle­xi­bi­li­tät bie­ten kann, um den Anfor­de­run­gen der weit über 20 Daten­quel­len wel­che die Reporting-​Plattform spei­sen, gerecht zu wer­den. Dar­un­ter befin­den sich ver­schie­denste offene For­mate und Pro­dukte (XML, JSON, CSV, MySQL, etc.) aber auch pro­prie­täre Quel­len (Ora­cle DB, Micro­soft SQL, etc.).

Swiss­com als Con­tri­bu­tor und Maintainer

In einer hete­ro­ge­nen Umge­bung wie die­ser und ange­sichts der zu erfül­len­den Anfor­de­run­gen, kamen auch die exis­tie­ren­den Open Source Lösun­gen an ihre Gren­zen. Wo immer mög­lich wur­den daher beste­hende Open Source Software-​Komponenten erwei­tert und mit den Main­tai­nern zusam­men gear­bei­tet. Eine eigene Lösung wurde im Bereich der His­to­ri­sie­rung von Daten kon­zi­piert und imple­men­tiert — und eben­falls wie­der der Öffent­lich­keit zurück­ge­ge­ben. Clea­ner­Ver­sion war gebo­ren. Die Lösung ermög­licht eine Ver­sio­nie­rung von Objek­ten und setzt auf dem Django Web Frame­work auf. Clea­ner­Ver­sion nutzt das bereits beste­hende Object Rela­tio­nal Map­ping (ORM) von Django und ergänzt die­ses durch eine Ver­sio­nie­rung auf der Zeit­achse. Dank Django ist Clea­ner­Ver­sion auf ver­schie­dene rela­tio­nale Daten­ban­ken por­tier­bar, jedoch für Post­greSQL opti­miert. Ver­schie­dene Gründe gaben den Impuls, die His­to­ri­sie­rungs­kom­po­nente auf Git­Hub offen­zu­le­gen, unter anderem:

• kann die Com­mu­nity davon profitieren

• kann das Feed­back von Anwen­dern und Ent­wick­lern zur Qua­li­tät beitragen

• ist der Source Code kein Wettbewerbs-​relevanter Differenzierungsfaktor

Mit der Frei­gabe des Quell­codes unter einer Open Source Lizenz pro­fi­tiert die Swiss­com vom Feed­back der Anwen­der und Ent­wick­ler und kann so die Qua­li­tät der Soft­ware kon­ti­nu­ier­lich verbessern.

Open Source als Befä­hi­ger einer agi­len Entwicklung

Mit dem aktu­el­len Ansatz, zu einem gros­sen Teil auf Open Source auf­zu­bauen, kommt mit der Fle­xi­bi­li­tät einer­seits die Ver­ant­wor­tung, ein sau­be­res Design bei­zu­be­hal­ten. Dies ver­langt wäh­rend der Imple­men­tie­rungs­phase einige Dis­zi­plin, sich an die Archi­tek­tur zu hal­ten. Auf der ande­ren Seite bleibt, auf­grund der neuen oder wech­seln­den Anfor­de­run­gen der hete­ro­ge­nen Sys­tem­land­schaft, die ver­füg­bare Reak­ti­ons­zeit kurz.

_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​_​

Über den Autor

Manuel Jeckel­mann ist Secu­rity Archi­tect bei Swisscom’s Group Secu­rity und arbei­tet auf den The­men “Secure Soft­ware Deve­lop­ment” und “Soft­ware Deve­lop­ment for Secu­rity”. Open Source spielt in bei­den Berei­chen eine mass­geb­li­che Rolle.


Télé­char­ger (PDF 154.4 KB)


Twitter Feed







Liens

Über unsNewsletterContactConditions d'utilisationCH Open Initiativen