SUSE-CEO: “Als je veilige software wilt, moet het open-source zijn”

SUSE-CEO: “Als je veilige software wilt, moet het open-source zijn”

Dirk-Peter van Leeuwen is sinds mei 2023 CEO bij SUSE. Sindsdien is de IT-wereld opgeschud door AI, open-source strubbelingen en een gedwongen zoektocht naar kostenbesparingen. De SUSE-CEO ziet de toekomst met vertrouwen tegemoet, maar: “Onder druk van de concurrentie worden er vaak te makkelijke beslissingen genomen.”

Van Leeuwen doelt daarbij op lock-in, dat telkens weer de kop opsteekt. Bedrijven kiezen continu voor IT-oplossingen waar ze later niet van weg kunnen. Het bekendste recente voorbeeld is VMware, dat sinds de overname door Broadcom de licenties overhoop heeft gegooid met prijzen waar mkb’ers zich een hoedje door schrikken. Maar ook elders proberen partijen hun verworven dominantie te exploiteren voor hogere winsten. De verliezers zijn de IT-teams die opeens aan moeten kloppen bij de directie voor torenhoge licentiekosten.

In de infrastructuurwereld van SUSE is de boeman Red Hat. Vorig jaar sloot dat bedrijf de sourcecode tot het wijdverbreide Red Hat Enterprise Linux (RHEL) af. Dit tot grote zorg en ergernis van de open-source gemeenschap, dat dankbaar gebruikmaakte van gratis RHEL-alternatieven die voortborduurden op Red Hat’s veldwerk. CentOS Linux, Red Hat’s gratis RHEL-variant, werd twintig keer zoveel gebruikt als het betaalde RHEL, maar die distributie is inmiddels beëindigd. Alternatieven als Alma Linux en Rocky Linux moesten forken, terwijl SUSE aankondigde dit ook te doen met een investering van tien miljoen dollar. Als klap op de vuurpijl beëindigde Red Hat de ondersteuning voor RHEL 7 sinds 30 juni van dit jaar. SUSE biedt echter sindsdien een uitweg voor alle RHEL- en CentOS-gebruikers.

Klantfilosofie

Wie momenteel op CentOS of RHEL 7 draait, kan support inkopen bij SUSE. SUSE Liberty Linux, de “no-migration” vervanger van het Red Hat-gebaseerde OS, neemt probleemloos de kritieke enterprise-rol over van RHEL met langere ondersteuning. CentOS 7 blijft dankzij SUSE tot 30 juni 2028 bruikbaar; genoeg tijd om in alle rust na te denken over migraties dus.

De precieze einddatum en ondersteunde distributies terzijde: SUSE hanteert simpelweg een andere filosofie voor het eigen klantenbestand. Het beëindigen van support schopt veelal de roadmaps van organisaties in de war, stelt Van Leeuwen. Hij haalt aan dat organisaties wellicht volledig cloud-native willen zijn binnen twee jaar, maar gedwongen worden om stabiele infrastructuur te verstoren. “Dat is helemaal niet nodig. Die frustratie zie ik regelmatig, en men is op zoek naar een alternatief. Wij zijn dat alternatief.”

De “RHEL-rel” was volgens Van Leeuwen ook het juiste moment om keuzevrijheid te waarborgen. “Het principe van open-source is dat je niet betaalt voor het intellectueel eigendom, maar wel voor de services en support, dat belangrijk is om het te laten draaien. In deze industrie kan maar een klein aantal bedrijven dat.” Ook was het afsluiten van Red Hat opeens een goede test om de afhankelijkheid ervan te testen, een fenomeen dat voor menig organisatie nadrukkelijk herhaald werd toen de VMware-verschuivingen begonnen. In het geval van RHEL redt de open-source wereld de IT-gemeenschap van al te veel problemen.

Wie nog overtuigd moet worden, kan een blik werpen op de staat van dienst van SUSE. Zo werkt het bedrijf al sinds 2007 samen met automerk BMW en kondigde Deutsche Bank recent aan dat het de ondersteuning voor de eigen Red Hat-omgeving toevertrouwt aan SUSE. “Daardoor hoeven zij geen upgrades te doen wanneer Red Hat het wil,” aldus Van Leeuwen.

Overigens stipt hij aan dat Red Hat een tikkeltje overdrijft. Toen het aankondigde RHEL af te sluiten voor derden, klaagde Principal Specialist Solution Architect bij Red Hat Magnus Glantz over het “gratis bier” dat een partij als Rocky Linux zou opeisen. Van Leeuwen geeft aan dat SUSE juist naar verhouding meer contributies aan open-source en Linux levert dan Red Hat. De bijdragen zijn namelijk vergelijkbaar, terwijl SUSE slechts 2.300 werknemers telde in 2023 en Red Hat volgens eigen telling 19.000. “Het succes van Red Hat heeft het ook te danken aan het feit dat het open-source is.”

SUSE AI

Zoals gezegd herhalen organisaties dezelfde fouten met keuzes die leiden tot lock-in. Op dit moment draait dat om AI-keuzes, veelal gebaseerd op hype in plaats van nuance. Er zijn veel “AI-achtige” oplossingen, aldus Van Leeuwen, “maar dat noemden we tot nu toe gewoon automatisering.”

SUSE’s AI-aanpak is inmiddels uitgestippeld onder de onverrassende naam SUSE AI. Het omvat een architecturele strategie, een visie over een volwassen private AI-aanpak, maar niet echt een product. Zo omschreven we het ook toen het op SUSECON werd aangekondigd in juni. Was het terecht dat we het zo zagen? “Dat is een beetje de bedoeling geweest,” zegt Van Leeuwen. “Ik heb als visie voor het bedrijf gehad: wij zijn een infrastructuurspeler, dus we moeten geen AI-appdeveloper worden. Wij willen infrastructuur bieden waar alles het beste, het veiligste en het meest stabiele op draait. Dan kun je niet om AI heen. AI-workloads zijn de workloads van de toekomst en daar moeten we op inspelen. We hebben de tools om AI veilig te draaien.”

Momenteel heeft SUSE circa 30 klanten die de SUSE AI-architectuur testen. Cruciaal daarbij is deep packet inspection, dat controleert of gegevens die zich over het netwerk verplaatsen gevoelig zijn. Dat is een bestaande datasecurity-techniek die al voor andere workloads wordt toegepast.

Open standaarden

Het voornaamste belang bij SUSE AI is voor SUSE hetzelfde als elders. Hoewel het bedrijf vanzelfsprekend graag bedrijven aan de eigen producten helpt, ondersteunt het juist ook andermans oplossingen. “Er zijn klanten die amper SUSE inzetten maar wel SUSE Manager gebruiken om al hun andere oplossingen te beheren.” Hulp om over te stappen naar SUSE-producten is er wel, “maar dat is een wat grotere migratie. We geven de klanten de kans om tijd te kopen die ze nodig hebben, waarna we ze helpen op een stabiel traject naar de toekomst.”

Die toekomst? Eén die open standaarden omarmt. Die is ook al aan het plaatsvinden, stelt Van Leeuwen. Zo is het Linux-ecosysteem open genoeg om organisaties tientallen verschillende distributies tegelijk in productie te draaien. “Niemand draait slechts één Linux-distributie of Kubernetes-dienst.” Dat komt omdat Linux kan draaien in allerlei infrastructuren met uiteenlopende systeemeisen. SUSE zelf biedt bijvoorbeeld SUSE Linux Enterprise Server (SLES) voor in datacenters, terwijl SLE Micro al met 1GB aan RAM aan de praat te krijgen is.

Uiteindelijk pakt deze keuzevrijheid goed uit voor de eindgebruiker. Van Leeuwen geeft hier de mobiele telefoon als historisch voorbeeld bij. “In de begindagen van de telefoon kreeg je een nummer van je provider. Als je wilde overstappen, had je een nieuw nummer nodig en waarschijnlijk ook een andere telefoon. Nu is overstappen binnen een paar seconden mogelijk via eSIM en neem je al je gegevens mee.” Die filosofie bestond lang helemaal niet in de softwarewereld, stelt Van Leeuwen. “Wij leveren die ervaring nu wel.”

En is het ook veilig?

Een potentieel vraagteken voor bedrijven: is open-source kwetsbaar voor hackers met een lange adem? Niet het smaakje open-source dat SUSE aanbiedt, stelt Van Leeuwen. De backdoor die een kwaadwillende in compressietool xz wilde stoppen, werd op het nippertje geweerd. Xz wordt veel gebruikt binnen Linux-distributies, maar belandde nooit in een SUSE-distro. “Dat spreekt voor de commerciële kant van open-source. Klanten kunnen bij ons zeggen: ik gebruik wel open-source software, maar ik ga wel een vendor betalen om te zorgen dat ik het veilig en bedrijfskritisch kan toepassen.”

Daarin schuilt juist een kracht van open-source, beweert Van Leeuwen. Goedkeuring van nieuwe code binnen open-source projecten vereist het uitpluizen ervan door vele leden van de gemeenschap. “Mensen met de verkeerde intenties kijken er ook naar. Als ik jou in detail vertel over hoe het slot van mijn huis werkt en je kan het nog steeds niet openmaken, dan is dat veiliger dan wanneer een inbreker toevallig weet hoe je slot opengaat.” Het brengt Van Leeuwen tot een eenduidige conclusie: “Als je veilige software wilt, moet het open-source zijn.”

Het gevaar kan juist vanuit een closed hoek komen. De wereldwijde IT-storing door toedoen van een CrowdStrike-update ligt nog vers in het geheugen. Een enkel bedrijf toestaan om je infrastructuur te wijzigen zonder eigen inmenging levert “een enorme blootstelling aan problemen” op, aldus Van Leeuwen.

Over een dergelijke storing gesproken: dat zou met SUSE-besturingssystemen niet mogelijk moeten zijn. Het hanteert een filesystem dat anders is dan de norm voor het opstarten van het OS. Btrfs bevat “zelf-genezende” functionaliteit door een foutieve update of patch te detecteren – het rolt dan automatisch terug naar een eerder werkzame versie. Zelfs een blunder van een derde zou dus nooit een SUSE Linux-distributie onderuithalen.

Conclusie

Open-source is veelzijdig, maar in de enterprise IT-context wordt het weleens erg negatief afgeschilderd. Zelden wordt er bij discussies hierover een onderscheid gemaakt tussen unsupported en supported. Van SUSE mag je altijd verwachten dat de vereiste checks hebben plaats gevonden, zegt Van Leeuwen. Met als bijkomstig voordeel dat je het ook gewoon kunt controleren. Daarin schuilt de kracht van het SUSE-verhaal, dat kan garanderen dat je ook met een gerust hart ervan weg kunt lopen.

Dat zullen niet zoveel organisaties zomaar doen. Niet alleen omdat infrastructuurkeuzes voor op de lange termijn bedoeld zijn, maar juist omdat SUSE zo min mogelijk een sta-in-de-weg is. Of het nu gaat om de eigen Kubernetes-software Rancher, Linux-distributies of container security NeuVector Prime: het valt allemaal te combineren met of te vervangen door andere open-source opties. Diens vendoren moeten dus wel meewerken. Van Leeuwen ziet dat de droom van de hybrid cloud, het kunnen draaien van workloads waar je maar wilt, nog steeds wordt weerhouden door eigenzinnige hyperscalers en closed-source, niet-interoperabele tools.

De enige manier om op dat gebied tot een oplossing te komen, is door klanten een alternatief te geven. SUSE staat er niet alleen voor, is al gebleken. Zie alleen al het verenigde front aan techbedrijven dat in tegenstelling tot Nvidia open standaarden aanjaagt omtrent AI-infrastructuur. Het is vergelijkbaar met de strijdkreet van SUSE en andere open-source spelers in verzet tegen Red Hat medio vorig jaar. Veel vendoren hebben inmiddels door dat afgesloten systemen anno 2024 lang niet altijd zegevieren. SUSE is zich daar aanzienlijk langer van bewust.

Lees ook: SUSE AI: nu nog een visie, later een product