« l'open source sans risque » ossa - open source software assurance
DESCRIPTION
Présentation donnée sur le stand de Linagora lors du salon Solution Linux 2009.Intervenant : Sébastien Bahloul – Directeur BU LinRUNTRANSCRIPT
![Page 1: « L'Open Source sans risque » OSSA - Open Source Software Assurance](https://reader033.vdocuments.pub/reader033/viewer/2022050721/558c8386d8b42abf268b4770/html5/thumbnails/1.jpg)
LINAGORA
27 rue de Berri75008 PARIS
Tél. : 01 58 18 68 28Fax : 01 58 18 68 29
UNE MATINEE POUR COMPRENDREVivez l’Open Source sans risque
L’OSSA, ça marche ! La preuve par les faits !
S. Bahloul – Directeur BU LinRUN
OSSAOSSAOpen Source Software AssuranceOpen Source Software Assurance
« L'Open Source sans risque »
![Page 2: « L'Open Source sans risque » OSSA - Open Source Software Assurance](https://reader033.vdocuments.pub/reader033/viewer/2022050721/558c8386d8b42abf268b4770/html5/thumbnails/2.jpg)
Notre positionnementL'OSSAMoyensFonctionnementDefinition du prixExemples
OSSA : sécuriser l'Open Source
![Page 3: « L'Open Source sans risque » OSSA - Open Source Software Assurance](https://reader033.vdocuments.pub/reader033/viewer/2022050721/558c8386d8b42abf268b4770/html5/thumbnails/3.jpg)
3
L'OSSA : être éditeur sans R&D
Pour les logiciels qui ne sont pas développés par des sociétés commerciales : Qui supporte ces logiciels ?
Comment peut on les utiliser, SANS RISQUE ?
Qui peut s'engager sur la « roadmap » de ces logiciels ?
L'Open Source Software Assurance, OSSA, c'est offrir la Valeur Ajoutée
d'un éditeur sur des logiciels développés par des communautés
LINAGORA propose sa Software Assurance sur près de 200 Logiciels Libres, pour 26 Grands Comptes
![Page 4: « L'Open Source sans risque » OSSA - Open Source Software Assurance](https://reader033.vdocuments.pub/reader033/viewer/2022050721/558c8386d8b42abf268b4770/html5/thumbnails/4.jpg)
Notre positionnementL'OSSAMoyensFonctionnementDefinition du prixExemples
OSSA : sécuriser l'Open Source
![Page 5: « L'Open Source sans risque » OSSA - Open Source Software Assurance](https://reader033.vdocuments.pub/reader033/viewer/2022050721/558c8386d8b42abf268b4770/html5/thumbnails/5.jpg)
Vous
Environnement
![Page 6: « L'Open Source sans risque » OSSA - Open Source Software Assurance](https://reader033.vdocuments.pub/reader033/viewer/2022050721/558c8386d8b42abf268b4770/html5/thumbnails/6.jpg)
Partenaire de confiance
,
Équipe OSSA
Bénéficiaires
![Page 7: « L'Open Source sans risque » OSSA - Open Source Software Assurance](https://reader033.vdocuments.pub/reader033/viewer/2022050721/558c8386d8b42abf268b4770/html5/thumbnails/7.jpg)
Qu'est que l'OSSA ?
Un guichet unique pour assurer l'ensemble de vos logiciels libres
Une organisation autour des besoins et du cycle de vie du client
Une offre dédiée aux moyens et grands comptes
![Page 8: « L'Open Source sans risque » OSSA - Open Source Software Assurance](https://reader033.vdocuments.pub/reader033/viewer/2022050721/558c8386d8b42abf268b4770/html5/thumbnails/8.jpg)
Linagora Run Services : les métiers4 types de métiers4 types de métiers
OSSA : métier d'éditeur sur logiciel libre communautaire OSSA : métier d'éditeur sur logiciel libre communautaire Support et maintenance / SLA / Gestion du portageSupport et maintenance / SLA / Gestion du portage
TMA des logiciels libres (AM) : Tierce maintenance sur TMA des logiciels libres (AM) : Tierce maintenance sur applications et infrastructures spécifiques, à chaque client, applications et infrastructures spécifiques, à chaque client, embarquant plusieurs logiciels libres.embarquant plusieurs logiciels libres.
Gestion d'infrastructure (IM) : maintien en condition Gestion d'infrastructure (IM) : maintien en condition opérationnel à distance ou en équipe embarqué opérationnel à distance ou en équipe embarqué d'infrastructures clientd'infrastructures client
Hébergement (Hosting) : tiers hébergeur et mainteneurHébergement (Hosting) : tiers hébergeur et mainteneur
![Page 9: « L'Open Source sans risque » OSSA - Open Source Software Assurance](https://reader033.vdocuments.pub/reader033/viewer/2022050721/558c8386d8b42abf268b4770/html5/thumbnails/9.jpg)
Ouverture & horaires
Business HoursHoraires : 9/12h 14/17h Ouverture : 5j/7Extended day : Horaires : 8h/19hOuverture : 5j/7Full time :Horaires : 24h/24Ouverture : 7j/7
![Page 10: « L'Open Source sans risque » OSSA - Open Source Software Assurance](https://reader033.vdocuments.pub/reader033/viewer/2022050721/558c8386d8b42abf268b4770/html5/thumbnails/10.jpg)
Contenu d'une offre OSSA
SUPPORTSUPPORT
Engagement de moyensEngagement de rappel sous 1 H
VEILLE EVENEMENTIELLEVEILLE EVENEMENTIELLE Suivi mensuel des logiciels supportés
MAINTENANCE CORRECTIVEMAINTENANCE CORRECTIVE Engagement de résultats sur le contournement, la correction ET le
renversement
http://www.08000LINUX.com/
pouvant être activées soit par :
L1
L2
L3
L1
L2
L3
logiciel par logiciel
Socle (incluant les différents logiciels et leurs inter-dépendances)
...
Catalogue de 160 logiciels
+ de 250 logiciels couverts
![Page 11: « L'Open Source sans risque » OSSA - Open Source Software Assurance](https://reader033.vdocuments.pub/reader033/viewer/2022050721/558c8386d8b42abf268b4770/html5/thumbnails/11.jpg)
Options
VeilleVeillestratégiquestratégique
Demande ponctuelle concernant un logiciel ou un domaine logiciel
MaintenanceMaintenanceévolutiveévolutive
Développements additionnels sur un logiciel du périmètre supporté
MonitoratMonitoratFormationsFormations
Formations intra sur les logiciels supportés
![Page 12: « L'Open Source sans risque » OSSA - Open Source Software Assurance](https://reader033.vdocuments.pub/reader033/viewer/2022050721/558c8386d8b42abf268b4770/html5/thumbnails/12.jpg)
Modèle aux tickets
UO INITIALISATION DU SERVICE
UO souscription aux services
CRITIQUE
URGENT
NORMAL
Support au développement Suivi des Évolutions Détection de bugs Fourniture de correctifs
24h/24
UO à la demande
UO à la demande
Achat de lots de tickets
1ticket
Xticket
Tickets décomptés
au temps passé
Forf
aits
Xticket
Xticket
Xticket
![Page 13: « L'Open Source sans risque » OSSA - Open Source Software Assurance](https://reader033.vdocuments.pub/reader033/viewer/2022050721/558c8386d8b42abf268b4770/html5/thumbnails/13.jpg)
Modèle aux tickets : principes de base
L'approche forfaitaire est conservée pour l'initialisation du service et pour la souscription au service
1 ticket = ¼ d'heure
Chaque demande consomme automatiquement un ticket
Décompte ensuite au temps passé par ¼ d'heure (suivi par TOSCA)
Chaque ouverture est validée par le bénéficiaire et demande de poursuite au bout de 3 heures passées sur une demande (support ou maintenance)
Les tickets sont aussi utilisés pour commander des prestations à la demande (1 journée sur site = 8 tickets)
Les tickets sont achetés par lots (100, 1000...) pour une période d'un an
Les tickets non utilisés en fin de période peuvent être convertis en prestations/formations sur site
Puis fonctionnement au ticket
![Page 14: « L'Open Source sans risque » OSSA - Open Source Software Assurance](https://reader033.vdocuments.pub/reader033/viewer/2022050721/558c8386d8b42abf268b4770/html5/thumbnails/14.jpg)
Open Source Software AssuranceOpen Source Software Assurance
Modèle « Centre de service »
HelpDesk interne HelpDesk interne
Niv
eau
1N
ivea
u 2
Pôle centre de servicePôle centre de serviceGroupe de résolution Groupe de résolution
IngénierieIngénierie
Utilisateurs OSSUtilisateurs OSS
Niv
eau
3
![Page 15: « L'Open Source sans risque » OSSA - Open Source Software Assurance](https://reader033.vdocuments.pub/reader033/viewer/2022050721/558c8386d8b42abf268b4770/html5/thumbnails/15.jpg)
Nos atoutsSophie GAUTIER : responsable francophone de la communauté OOo, responsable des communautés au Board OpenOffice.org.
Anthony Mercatante : membre du Community Council Ubuntu, mainteneur KDE
Xavier LAMIEN : ambassadeur Fedora, membre du Fedora Packaging Commitee
Notre expérience ( > 5 ans de support logiciels libres)
Nos outils industriels (TOSCA, plate-forme de build automatisé de paquets)
Nos centres de compétences (Annuaires, supervision, PKI, Java, PHP)
Nos partenariats avec les éditeurs Open Source (MySQL, Zend, ...)
Notre implication dans la communauté (Objectweb/FederID, Nagios/Nareto, EJBCA, ...)
![Page 16: « L'Open Source sans risque » OSSA - Open Source Software Assurance](https://reader033.vdocuments.pub/reader033/viewer/2022050721/558c8386d8b42abf268b4770/html5/thumbnails/16.jpg)
Références
2000 paquets160 logiciels
Web SSOcomplexe
Kubuntu± 2000 paquets
Réactivité
Confidentiel
200 paquetsSUN
SupportServices
AnnuaireMessagerieWorldwide
JBoss
FrameworksJAVA
Infrastructure SUN
ApacheTomcat
MySQL24/7
MandrivaUbuntu
Socle de production
![Page 17: « L'Open Source sans risque » OSSA - Open Source Software Assurance](https://reader033.vdocuments.pub/reader033/viewer/2022050721/558c8386d8b42abf268b4770/html5/thumbnails/17.jpg)
Notre positionnementL'OSSAMoyensFonctionnementDefinition du prixExemples
OSSA : sécuriser l'Open Source
![Page 18: « L'Open Source sans risque » OSSA - Open Source Software Assurance](https://reader033.vdocuments.pub/reader033/viewer/2022050721/558c8386d8b42abf268b4770/html5/thumbnails/18.jpg)
Moyens
Puissance de calcul
Equipe dédiée et
hautement spécialisée
Guichet unique etservices performants
![Page 19: « L'Open Source sans risque » OSSA - Open Source Software Assurance](https://reader033.vdocuments.pub/reader033/viewer/2022050721/558c8386d8b42abf268b4770/html5/thumbnails/19.jpg)
Help Desk spécialisé
Outil de maîtrisede nos engagements et du cycle de correction
Open Source
![Page 20: « L'Open Source sans risque » OSSA - Open Source Software Assurance](https://reader033.vdocuments.pub/reader033/viewer/2022050721/558c8386d8b42abf268b4770/html5/thumbnails/20.jpg)
Suivi communautaire intégré
![Page 21: « L'Open Source sans risque » OSSA - Open Source Software Assurance](https://reader033.vdocuments.pub/reader033/viewer/2022050721/558c8386d8b42abf268b4770/html5/thumbnails/21.jpg)
Notre positionnementL'OSSAMoyensFonctionnementModèle de prixExemples
OSSA : sécuriser l'Open Source
![Page 22: « L'Open Source sans risque » OSSA - Open Source Software Assurance](https://reader033.vdocuments.pub/reader033/viewer/2022050721/558c8386d8b42abf268b4770/html5/thumbnails/22.jpg)
Accès rapide au service
Phase 3Ouverture du serviceApplication de la CNS
T1
Phase 1Lancement et organisation
Phase 2Constitution de la Plateforme de Référence Préproduction
Aspectsfonctionnels
Aspectstechniques
Recouvrement
Assistanceà distance
Maintenancecorrective
Unités d'oeuvre
T1+3 T0+n
T0+?3 mois
LB
DT
Activationdu service
Phase de support industrialiséApplication de la CNS
Réversibilité(option)
T0
![Page 23: « L'Open Source sans risque » OSSA - Open Source Software Assurance](https://reader033.vdocuments.pub/reader033/viewer/2022050721/558c8386d8b42abf268b4770/html5/thumbnails/23.jpg)
L'OSSA, une offre différente
Un intérêt commun mais des objectifs différentsObjectif client : utiliser des versions communautaires (non spécifiques)Objectif fournisseur : gain financier sur un contrat forfaitaire
Comment ?Montant forfaitaire & gestion du cycle de vie par le clientA chaque montée de version, les spécifiques doivent être reportés à la charge de l'OSSA
![Page 24: « L'Open Source sans risque » OSSA - Open Source Software Assurance](https://reader033.vdocuments.pub/reader033/viewer/2022050721/558c8386d8b42abf268b4770/html5/thumbnails/24.jpg)
Et au quotidien sur les correctifs ?
Demandes
Portage
Intégrés
Reversés
Livrés
Correctifs
![Page 25: « L'Open Source sans risque » OSSA - Open Source Software Assurance](https://reader033.vdocuments.pub/reader033/viewer/2022050721/558c8386d8b42abf268b4770/html5/thumbnails/25.jpg)
Processus
![Page 26: « L'Open Source sans risque » OSSA - Open Source Software Assurance](https://reader033.vdocuments.pub/reader033/viewer/2022050721/558c8386d8b42abf268b4770/html5/thumbnails/26.jpg)
Niveaux de service standards
Temps de prise en compte 1h 1h 1hTemps de contournement 3 jours 5 jours -
Temps de correction 5 jours 10 jours 20 jours
Anomalie bloquante
Anomalie majeure
Anomalie mineure
Temps de prise en compte 1h 1h 1hTemps de contournement 1 jour 2 jours 5 jours
Temps de correction 3 jours 5 jours 20 jours
Anomalie bloquante
Anomalie majeure
Anomalie mineure
Horaires : 07h00 – 19h00 Option : Support 24/7
![Page 27: « L'Open Source sans risque » OSSA - Open Source Software Assurance](https://reader033.vdocuments.pub/reader033/viewer/2022050721/558c8386d8b42abf268b4770/html5/thumbnails/27.jpg)
Besoin d'informations
Liste des bénéficiaires
Configuration-type (notamment en cas d'architecture en cluster) des composants déployés
Versions précises des composants et logiciels qui permettent de déterminer le code source (par exemple Apache 2.2.3 et non Apache 2)
Ensemble des codes sources des composants supportés
Liste, ordres d'application et patches appliqués sur les logiciels correspondants
Documentation d'administration et d'exploitation (contenant notamment la procédure de déploiement, de compilation, d'installation et de configuration)
Version précise de l'OS (Ex. Solaris 8, 9 ou 10), du matériel qui l'héberge (x86, Sparc, ...) et niveau de patch exact
![Page 28: « L'Open Source sans risque » OSSA - Open Source Software Assurance](https://reader033.vdocuments.pub/reader033/viewer/2022050721/558c8386d8b42abf268b4770/html5/thumbnails/28.jpg)
Avril 2007 - V0.1 28
Statistiques
![Page 29: « L'Open Source sans risque » OSSA - Open Source Software Assurance](https://reader033.vdocuments.pub/reader033/viewer/2022050721/558c8386d8b42abf268b4770/html5/thumbnails/29.jpg)
Gestion des versions
Deux versions supportées
=Minimum
recommandé
![Page 30: « L'Open Source sans risque » OSSA - Open Source Software Assurance](https://reader033.vdocuments.pub/reader033/viewer/2022050721/558c8386d8b42abf268b4770/html5/thumbnails/30.jpg)
Notre positionnementL'OSSAMoyensFonctionnementDefinition du prixExemples
OSSA : sécuriser l'Open Source
![Page 31: « L'Open Source sans risque » OSSA - Open Source Software Assurance](https://reader033.vdocuments.pub/reader033/viewer/2022050721/558c8386d8b42abf268b4770/html5/thumbnails/31.jpg)
Nombre de composantsCriticitéEngagement (délais)Nombre de versionsNombre d'instances (estimation)Nombre de bénéficiaires (estimation)
Définition du prix
![Page 32: « L'Open Source sans risque » OSSA - Open Source Software Assurance](https://reader033.vdocuments.pub/reader033/viewer/2022050721/558c8386d8b42abf268b4770/html5/thumbnails/32.jpg)
Notre positionnementL'OSSAMoyensFonctionnementDéfinition du prixExemplesVolet juridique
OSSA : sécuriser l'Open Source
![Page 33: « L'Open Source sans risque » OSSA - Open Source Software Assurance](https://reader033.vdocuments.pub/reader033/viewer/2022050721/558c8386d8b42abf268b4770/html5/thumbnails/33.jpg)
Correction JBoss
Blocage du système de réservation pour le concert de M. Farmer le vendredi 28/03/08 (150 000 places vendues en 2 heures)
Saturation réseau (1Gb) par transfert du classpath si un objet Java est utilisé lors d'un appel RMI entre JBoss et Tomcat sur deux hôtes disctincts
Problème isolé et contourné en moins de 4 heures
Correction fournie en moins de 48 heures ouvrables
Vente quasi-normale des places de la seconde date le mardi 01/04/08
Échanges toujours en cours avec la communauté (#JBAS-5022)
![Page 34: « L'Open Source sans risque » OSSA - Open Source Software Assurance](https://reader033.vdocuments.pub/reader033/viewer/2022050721/558c8386d8b42abf268b4770/html5/thumbnails/34.jpg)
Exemple de reversement OWL
10 Août (11h23) : anomalie signalée sur OWL & DomTT
11 Août (12:52) : deux patchs proposés au client et aux communautés
11 Août (15:43) : correctifs acceptés, la demande est close par le client
13 Août : Dan Allen, mainteneur de DOM Tooltip maintainer refuse le patch (trop spécifique)
15 Août : l'anomalie de OWL est assignée à "bOzz", administrateur du projet OWL
12 Sept : un patch unique sur OWL est intégré dans la version 0.90, le patch sur DomTT devient superflu
15 Sept : le nouveau patch unique est backporté et transmis au client
« 24H chrono »
http://www.mojavelinux.com
http://owl.sourceforge.net
![Page 35: « L'Open Source sans risque » OSSA - Open Source Software Assurance](https://reader033.vdocuments.pub/reader033/viewer/2022050721/558c8386d8b42abf268b4770/html5/thumbnails/35.jpg)
Mondo : plus de 25 correctifs
![Page 36: « L'Open Source sans risque » OSSA - Open Source Software Assurance](https://reader033.vdocuments.pub/reader033/viewer/2022050721/558c8386d8b42abf268b4770/html5/thumbnails/36.jpg)
... tous intégrés
![Page 37: « L'Open Source sans risque » OSSA - Open Source Software Assurance](https://reader033.vdocuments.pub/reader033/viewer/2022050721/558c8386d8b42abf268b4770/html5/thumbnails/37.jpg)
Deux certificats non répudiables
Impossibilité de se connecter
Potentiellement 1 million de télédéclarants
Signalé de 9 février
Corrigé et reversé le 15 février en 2 heures
Accepté immédiatement
V2.0.0.2 et 1.5.0.10 du 23 février : trop tard
20 mars V+1 : un seul fix de sécurité (!)
Correction Firefox
Le plus long,c'est parfois
de reproduire
... et de distribuer auxutilisateurs finaux
![Page 38: « L'Open Source sans risque » OSSA - Open Source Software Assurance](https://reader033.vdocuments.pub/reader033/viewer/2022050721/558c8386d8b42abf268b4770/html5/thumbnails/38.jpg)
Notre positionnementL'OSSAMoyensFonctionnementDéfinition du prixExemplesLinDuck: l'assurance juridique
OSSA : sécuriser l'Open Source
![Page 39: « L'Open Source sans risque » OSSA - Open Source Software Assurance](https://reader033.vdocuments.pub/reader033/viewer/2022050721/558c8386d8b42abf268b4770/html5/thumbnails/39.jpg)
L'offre logiciel BlackDuck
Build
Partner Integration
Monitor
Validate
Approve
SelectSearch
![Page 40: « L'Open Source sans risque » OSSA - Open Source Software Assurance](https://reader033.vdocuments.pub/reader033/viewer/2022050721/558c8386d8b42abf268b4770/html5/thumbnails/40.jpg)
L'offre de valeur de Linagora / Blackduck
Offre « Legal Services »Construire une stratégie d'utilisation Interpréter / garantirLCS : Expertise LINAGORAAudit flash de code Mise en oeuvre et paramétrage ProtexLTS : FormationTechniqueJuridique
![Page 41: « L'Open Source sans risque » OSSA - Open Source Software Assurance](https://reader033.vdocuments.pub/reader033/viewer/2022050721/558c8386d8b42abf268b4770/html5/thumbnails/41.jpg)
La base de connaissance
Expansion continue
Ajout de code propriétaire
Alertes de securité journalieres
Mises à jour 2 fois par mois
Base de données Open Source globale Metadata étendues+ de 170 000 projets Open Source
Venant de + de 3 200 sites
Couvrant + de 400 millions de fichiers
Des milliards de lignes de code
Intégrant + de 1 400 licenses
Listant + de 28 000 failles de secutité
Nom, description, versions, URL
License, langage de programmation, OS
US National Vulnerability Database
Cryptographie
Code Print source/binaire
Diverses informations
![Page 42: « L'Open Source sans risque » OSSA - Open Source Software Assurance](https://reader033.vdocuments.pub/reader033/viewer/2022050721/558c8386d8b42abf268b4770/html5/thumbnails/42.jpg)
LINAGORA
27 rue de Berri75008 PARIS
Tél. : 01 58 18 68 28Fax : 01 58 18 68 29
UNE MATINEE POUR COMPRENDREVivez l’Open Source sans risque
L’OSSA, ça marche ! La preuve par les faits !
MERCI DE VOTRE ATTENTION
![Page 43: « L'Open Source sans risque » OSSA - Open Source Software Assurance](https://reader033.vdocuments.pub/reader033/viewer/2022050721/558c8386d8b42abf268b4770/html5/thumbnails/43.jpg)
Modèles actuels
Moyens
Résultat (SLA/CNS)
Forfaitaire Au ticket (limité)
OSSA (> 15/20 k€)
(150 € / 1/4h)
OSSA (> 40/50 k€)
Gold Unlimited
Bronze/ Silver / Gold
![Page 44: « L'Open Source sans risque » OSSA - Open Source Software Assurance](https://reader033.vdocuments.pub/reader033/viewer/2022050721/558c8386d8b42abf268b4770/html5/thumbnails/44.jpg)
Nouveaux modèles
Moyens
Résultat (SLA/CNS)
Forfaitaire Au ticket (limité)
OSSA (> 15/20 k€)
(150 € / 1/4h)
OSSA (> 40/50 k€)
Contrats par incidents (1/2 k€ par
incident)
![Page 45: « L'Open Source sans risque » OSSA - Open Source Software Assurance](https://reader033.vdocuments.pub/reader033/viewer/2022050721/558c8386d8b42abf268b4770/html5/thumbnails/45.jpg)
OSSAen incidents (max)
OSSAAu ticket
OSSAForfaitaire
15 k€ 50 k€
Engagements
Budget