Evaluation von rein Open Source Produkten

[Andehake]

Hallo zusammen,

ich weiß das IHK Prüfer viel Wert auf die Evaluation legen. Wie kann ich die Evaluation von reinen "free ware" Produkten am besten gestalten? In der Nutzwertanalyse ist das kein Problem. Reicht bei der Evaluation auch Fließtext anstatt einer Tabelle?

[Chief Wiggum]

Beachte bitte:

Open Source ≠ Freeware ≠ kostenlos.

Die Evaluation von Open Source Software folgt also rein grundsätzlich einmal dem Schema, wie man es für kostenpflichtige Software anwendet.

[Andehake]

Also fallen die Punkte vom Preis einfach weg? Kommt das nicht negativ rüber weil man sich zb mit Angebotsanfragen nicht auseinander setzen musste?

[Visar]

Weshalb sollten die Punkte vom Preis wegfallen?

vor 14 Minuten schrieb Chief Wiggum:

Open Source ≠ Freeware ≠ kostenlos.

Das ist ein Ungleichheitszeichen, kein Gleichheitszeichen.

[charmanta]

vor 2 Minuten schrieb Andehake:

Also fallen die Punkte vom Preis einfach weg? Kommt das nicht negativ rüber weil man sich zb mit Angebotsanfragen nicht auseinander setzen musste?

.... 1.April ist zum Glück bald vorbei.

und kostenlos ist ganz sicher nicht kostenlos ....

 

[Chief Wiggum]

vor 1 Minute schrieb Andehake:

Also fallen die Punkte vom Preis einfach weg?

Du hast meinen Beitrag überhaupt nicht verstanden.

Als Beispiel:

Red Hat Enterprise Linux ist Open Source und trotzdem kostenpflichtig.

Willst du eine Software ohne Supportzusage verwenden? Wohlmöglich noch an einer kritischen Stelle in der Infrastruktur? Meinst du einen Support bekommst du für lau?

 

[Andehake]

@Chief Wiggum das ist ein netter Hinweis. Ich bin mir jedoch dessen bewusst. Den Beitrag habe ich auf dem Handy erstellt und darum sollte es auch nicht gehen. Sagen wir mal Open Source..

Wie soll ich denn einen Preis deklarieren (unabhängig von den kosten die entstehen durch die Einrichtung also Stundenlohn, Strom was auch immer)? Ich kann doch nicht 100% genau wissen wie genau der Installationsaufwand und die anschließende Instandhaltung ist.

[Andehake]

vor 3 Stunden schrieb Chief Wiggum:

Du hast meinen Beitrag überhaupt nicht verstanden.

Als Beispiel:

Red Hat Enterprise Linux ist Open Source und trotzdem kostenpflichtig.

Willst du eine Software ohne Supportzusage verwenden? Wohlmöglich noch an einer kritischen Stelle in der Infrastruktur? Meinst du einen Support bekommst du für lau?

Wenn Updates kostenlos sind und z.B. Zusatzfeatures die nicht benötigt werden etwas kosten warum sollte man dann die Zahlvariante bevorzugen? Zudem braucht man keinen Technischen Support, da es genügend Dokumentationen und Knowhow gibt.

 

Bearbeitet 1. April 2020 von Andehake

[Chief Wiggum]

vor 2 Minuten schrieb Andehake:

Zudem braucht man keinen Technischen Support,

Das möchte ich sehen, wenn ein kritisches System ohne Support steht, weil du erst mal Dokumentationen durcharbeiten musst und keine sofortige Lösung parat hast... Chefs haben dann die Angewohnheit, extrem unentspannt zu sein.

Was machst du wenn ein Softwarehersteller statt eines Patches für eine kritische Sicherheitslücke einfach die Segel streicht und den Laden dicht macht? Der Fall Truecrypt ist dir noch bekannt?

Eure Server laufen auch ohne Hardware-Servicelevel? Keine garantierten BIOS Updates? Meltdown ist dir noch bekannt?

Diese Diskussion haben wir hier mit schöner Regelmässigkeit...

[SaJu]

Leider gibt es Geschäftsführer, denen der Hardware - Support egal ist und wo auch die Dienste in der Firma so gut wie nichts kosten dürfen. Das muss alles mit Dokumentationen vom billigen eigenen Administrator dann gemacht werden. Das gilt dann auch für die IHK - Abschlussprojekte. 

Ich durfte das damals leider als Azubi auch erfahren. Dem Unternehmen durften damit so gut wie keine Kosten entstehen (bis auf Arbeitskosten und Stromkosten). 

[Andehake]

vor 14 Minuten schrieb Chief Wiggum:

Das möchte ich sehen, wenn ein kritisches System ohne Support steht, weil du erst mal Dokumentationen durcharbeiten musst und keine sofortige Lösung parat hast... Chefs haben dann die Angewohnheit, extrem unentspannt zu sein.

Was machst du wenn ein Softwarehersteller statt eines Patches für eine kritische Sicherheitslücke einfach die Segel streicht und den Laden dicht macht? Der Fall Truecrypt ist dir noch bekannt?

Eure Server laufen auch ohne Hardware-Servicelevel? Keine garantierten BIOS Updates? Meltdown ist dir noch bekannt?

Diese Diskussion haben wir hier mit schöner Regelmässigkeit...

Falls es dir nicht bewusst ist. Es gibt auch Open Source Produkte z.B. die innerhalb einer DMZ abgeschirmt von außen genutzt werden, die nach außen hin keine Anbindung haben.

So wie du das schilderst dürfte man im Prinzip nichts nutzen, da alles eine unbekannte Sicherheitslücke beinhalten könnte oder wie du sagst "in einem Patch mitgeliefert wird". Bsp. vor nicht allzu langer Zeit Tomcat mit Ihrer seit Jahren offenen Sicherheitslücke AJP die gerade erst publik gemacht wurde. Wie viele große Firmen nutzen Tomcat? Einige..

Bearbeitet 1. April 2020 von Andehake

[Andehake]

vor 2 Minuten schrieb SaJu:

Leider gibt es Geschäftsführer, denen der Hardware - Support egal ist und wo auch die Dienste in der Firma so gut wie nichts kosten dürfen. Das muss alles mit Dokumentationen vom billigen eigenen Administrator dann gemacht werden. Das gilt dann auch für die IHK - Abschlussprojekte. 

Ich durfte das damals leider als Azubi auch erfahren. Dem Unternehmen durften damit so gut wie keine Kosten entstehen (bis auf Arbeitskosten und Stromkosten). 

Genauso ist es. Ich will ja garnicht wiedersprechen, die Dinge Stimmen schon wie du sie sagst @Chief Wiggum. Naja zur not muss ich halt die Support Variante der jeweiligen Lösung mit einbeziehen obwohl es dazu nicht kommen wird.

[SaJu]

Ich habe dann damals einfach die Arbeitskosten und Hardware - Kosten mit aufgelistet. Beim Kauf der Software stand in der Tabelle 0€ versus der Preis bei kommerziellen Produkten. Da war es anschließend einfach zu begründen, warum die Open Source Variante vom Chef präferiert wird. 

[pr0gg3r]

vor 14 Stunden schrieb Andehake:

In der Nutzwertanalyse ist das kein Problem. Reicht bei der Evaluation auch Fließtext anstatt einer Tabelle?

Wenn die Nutzwertanalyse kein Problem ist, wieso willst du dann keine Tabelle machen (auf der du im Fließtext referenzieren kannst)?

[charmanta]

vor 11 Stunden schrieb Andehake:

Falls es dir nicht bewusst ist. Es gibt auch Open Source Produkte z.B. die innerhalb einer DMZ abgeschirmt von außen genutzt werden, die nach außen hin keine Anbindung haben.

Wahre er bitte die Contenance

Du triffst hier mit Sicherheit auf eine ganze Reihe von IT Experten, die sehr wohl wissen, wo Opensource zuhause ist.

Leider verstehst Du irgendwie alle Tips nicht. Daher mal präziser:

Die Einführung und auch der Betrieb eines jeden Produktes hat Kosten zur Folge, auch wenn der Bezug des Produktes kostenlos ist.

Unterschied zwischen OpenSource Produkten kann die Existenz einer Herstellerwartung durch zb eine Subscription sein, die dann für bestimmte Anforderungen den Umstand eines "angemessenen Datenschutzniveaus" erfüllt.

Weiterhin kannst Du TCO und TBO betrachten ...

Wird das nun klarer ?

vor 15 Stunden schrieb Andehake:

Reicht bei der Evaluation auch Fließtext anstatt einer Tabelle?

Du bekommst 100 Punkte für eine sehr gute Leistung. Reichen zum Bestehen täten 50 ....

Ich hoffe auch diese Frage nun eindeutig beantwortet zu haben.

Das ist vermutlich eine laufende Prüfung. Wir sind hier eigentlich schon zu sehr ins Detail gegangen ...

 

[Maniska]

vor 12 Stunden schrieb Andehake:

Zudem braucht man keinen Technischen Support, da es genügend Dokumentationen und Knowhow gibt.

Es gibt mehr als genug Dokus zu CentOS, trotzdem rennt mein ERP unter RedHat. Warum? Weil es die Firma unterm Strich mehr kostet wenn das Ding steht.

Wenn ich eine Tag Dokus wälzen muss und 1 Tag Fehler suchen, dann steht die komplette Firma für 2 Tage, das kostet definitiv mehr als der Supportvertrag.

Viele Hersteller koppeln ihre Lizenzen an Update- und Supportverträge, warum wohl? Klar einerseits zum Geld verdienen, andererseits aber auch um den Kunden keine Ausrede zu geben noch auf der Version "Methusalem" zu arbeiten und trotzdem Support haben zu wollen.

Erst mal Update, dann gucken ob der Fehler noch besteht, dann Support.

Meine Hardware (Server, Netzwerk...) ist unter Wartung, klar kostet das Geld, aber ich habe innerhalb von 4h das benötigte Ersatzteil vor Ort wenn was ausfällt. Ich muss mich dann nicht darum kümmern die Logs zu analysieren (macht der Hersteller), das richtige Teil heraussuchen (Hersteller) und muss auch nicht lange bibbern dass das Teil überhaupt noch verfügbar ist und rechtzeitig kommt.

Ich kann keine Tage/Wochen auf ein neues Servernetzteil warten.

vor 12 Stunden schrieb SaJu:

Leider gibt es Geschäftsführer, denen der Hardware - Support egal ist und wo auch die Dienste in der Firma so gut wie nichts kosten dürfen.

Solange alles gut geht, klar, aber wenn es dann knallt, geht man als Firmenadmin lieber direkt zum Jobcenter als zu versuchen da noch was zu retten.

vor 12 Stunden schrieb Andehake:

Falls es dir nicht bewusst ist. Es gibt auch Open Source Produkte z.B. die innerhalb einer DMZ abgeschirmt von außen genutzt werden, die nach außen hin keine Anbindung haben.

Frage: Wenn die Systeme in der DMZ keine Anbindung nach außen (außerhalb der DMZ) haben, wie werden die dann genutzt? Nur weil etwas hinter einer Firewall sitzt, ist es nicht sicher!

Sobald jemand darauf zugreifen kann, kann der Weg auch für Schadsoftware genutzt werden. Wenn der Weg Internet -> Server zu ist, dann eben über den Weg Internet -> Client -> Server

Zitat

So wie du das schilderst dürfte man im Prinzip nichts nutzen, da alles eine unbekannte Sicherheitslücke beinhalten könnte oder wie du sagst "in einem Patch mitgeliefert wird". Bsp. vor nicht allzu langer Zeit Tomcat mit Ihrer seit Jahren offenen Sicherheitslücke AJP die gerade erst publik gemacht wurde. Wie viele große Firmen nutzen Tomcat? Einige..

Jede Software hat Lücken, das sollte man in unserer Branche wissen. Die Frage ist nur, wie geht ein Hersteller damit um, und da kommt es dann auf Supportverträge etc. an. Gibt es einen ist der Hersteller im Normalfall recht zügig unterwegs. Gibt es nichts wird die Lücke ggf. mit dem nächsten kostenpflichtigen Patch gestopft, vielleicht. Ist es komplett kostenlos kommt ein Patch oder auch nicht. Ist es rein Community, dann kommt ein Patch oder auch nicht, irgendwann mal vielleicht. Aber bei technischen Fragen kommt oft nur RTFM zurück.

[_n4p_]

vor einer Stunde schrieb Maniska:

Solange alles gut geht, klar, aber wenn es dann knallt

Die Feuerversicherung verkauft man am besten mit dem brennenden Haus gegenüber ^^

[Andehake]

Ich danke jedem für seine Meinung. Ihr habt mir aufjedenfall weitergeholfen in die richtige Richtung zu gehen. Mir geht es nicht darum 50% zu erreichen sondern 100% was wahrscheinlich nicht klappt aber jede Beseitigung von Fehlern oder der Aufnahme von Details wie z.B. in der Evaluation kommt den 100% näher. Von meiner seite aus kann das Thema geschlossen werden.

[Maniska]

vor 1 Stunde schrieb _n4p_:

Die Feuerversicherung verkauft man am besten mit dem brennenden Haus gegenüber ^^

Solange es nur gegenüber brennt geht das ja noch

[SaJu]

vor 1 Stunde schrieb _n4p_:

Die Feuerversicherung verkauft man am besten mit dem brennenden Haus gegenüber ^^

Das nennt sich Brandschutzversicherung!

Da hatte der Ausbildungsbetrieb damals Glück, dass die Nachbarfirma so etwas hatte, weil um Mitternacht chemische Experimente durchgeführt wurden (für eine Veröffentlichung am nächsten Tag), es dann zur Explosion kam und nur 10 cm Wand unseren Serverraum vom Brand getrennt hatten.