• IT-Karriere:
  • Services:

Linux Foundation: Open-Source-Abhängigkeiten machen weiter Probleme

In ihrem sogenannten Census hat die Core Infrastructure Initiative der Linux Foundation häufig genutzte Pakete aus NPM und Maven untersucht. Die dabei gefundenen prinzipiellen Probleme sollen künftig gezielt gelöst werden.

Artikel veröffentlicht am , Kristian Kißling/Linux Magazin/
Die Pflege von Paketabhängigkeiten ist schwierig und die Nutzung birgt Risiken.
Die Pflege von Paketabhängigkeiten ist schwierig und die Nutzung birgt Risiken. (Bild: Erich Ferdinand/Flickr.com/CC-BY 2.0)

Als Reaktion auf den Heartbleed-Bug hat die Linux Foundation die Core Infrastructure Initiative (CII) gegründet, um derartige Fehler in viel genutzter, aber schlecht gewarteter Open-Source-Software zu vermeiden. In einer großangelegten Studie, dem sogenannten Census II, hat sich die CII nun den zentralen Open-Source-Komponenten gewidmet, die in Anwendungen produktiv genutzt werden. Wohl wenig überraschend stammen diese aus Maven und NPM und die identifizierten Probleme dürften bekannt klingen.

Stellenmarkt
  1. Deutsche Bahn AG, Frankfurt
  2. Deloitte, Berlin, Düsseldorf, Frankfurt am Main, München, Stuttgart

Das CII hat den Census II zusammen mit dem Laboratory for Innovation Science at Harvard University (LISH) durchgeführt und nun einen vorläufigen Bericht dazu veröffentlicht. Ziel sei es dabei aber nicht, kritische Projekte als schlecht hervorzuheben. Vielmehr will das Projekt Erkenntnisse zu strukturellen Problemen sammeln, um in Zukunft die Kern-Infrastruktur besser abzusichern.

Drei grundlegende Erkenntnisse

Dabei ziehen die Forscher aus ihren ersten Untersuchungen drei strukturelle Erkenntnisse. Erstens sehen sie einen Bedarf für eine standardisierte Namensgebung für Softwarekomponenten. Ohne diese sei es Organisationen nur schwer möglich, sich über Probleme in ihrer Software auszutauschen. Dieses Problem sei auch nicht neu, das National Institute for Standards and Technology (NIST) kämpfe seit Jahrzehnten damit.

Zweitens werde noch immer viel Software in den individuellen Repositories der Entwickler gepflegt. Diese seien oft weniger gut geschützt als organisatorische, zentrale Repositories und damit anfälliger für Backdoors. Zudem bestehe die Gefahr, dass Entwickler ihre Komponenten aus dem Repository zurückziehen und damit komplettes Chaos verursachen, wie es 2016 aufgrund eines Markenstreits geschehen ist.

Drittens zeigte sich bei den Untersuchungen, dass für eine Aufgabe häufig Software A zum Einsatz komme, obwohl sich viele Entwickler einig darüber sind, dass Software B dieselbe Funktionalität bietet, aber wesentlich besser betreut wird und aktueller ist. Oder anders formuliert: Frameworks und Stacks verwenden mitunter zu viel Legacy-Software.

Der Grund ist offensichtlich: Die wenigen Maintainer kümmern sich eher um die neueren Pakete und die scheinbar funktionierenden Bestandteile werden deutlich weniger betreut. Diese Vorgehensweise wird aber eben dann zum Problem, wenn eine alte Komponente Ärger macht, aber niemand mehr dafür zuständig ist, der sie repariert.

Die CII will nun Konsequenzen aus ihren Erkenntnissen ziehen. Sie will künftig Projekte unterstützen, die sich um einheitliche Identifizierungen von Softwarekomponenten kümmern. Ebenso will sie aber auch den positiven Beitrag von Open Source für die vorhandenen IT-Ökosysteme würdigen und im März 2020 eine Umfrage unter Open-Source-Entwicklern starten. Die soll nicht nur die Relevanz von Open-Source-Projekten für die Ökonomie erkunden, sondern will sich auch mit der Zeit beschäftigen, die FOSS-Entwickler neben ihrem Hauptjob ihren Projekten widmen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (aktuell u. a.Corsair M65 RGB Elite als neuwertiger Outlet-Artikel für 29,99€ + Versand)
  2. 249€ (Vergleichspreis 277,99€)
  3. (u. a. bis -25% auf Monitore und Notebooks, 15% auf Hardware und bis -40% auf Zubehör und Software)
  4. (u. a. Frühjahrsangebote mit reduzierter Hardware, PC-Zubehör und mehr)

elcaron 21. Feb 2020 / Themenstart

Die Probleme sind ja seit Langem bekannt, auch weil nicht nur jeder triviale Ein-Zeilen...

Kommentieren


Folgen Sie uns
       


TES Morrowind (2002) - Golem retro_

Eine gigantische Spielwelt umgeben von Pixelshader-Wasser: The Elder Scrolls 3 Morrowind gilt bis heute als bester Teil der Serie. Trotz sperriger Bedienung war Morrowind dank der dichten Atmosphäre, der spielerischen Freiheit und der exzellenten Grafik ein RPG-Meilenstein.

TES Morrowind (2002) - Golem retro_ Video aufrufen
Homeschooling-Report: Wie Schulen mit der Coronakrise klarkommen
Homeschooling-Report
Wie Schulen mit der Coronakrise klarkommen

Lösungen von Open Source bis kommerzielle Lernsoftware, HPI-Cloud und Lernraum setzen Schulen derzeit um, um ihre Schüler mit Aufgaben zu versorgen - und das praktisch aus dem Stand. Wie läuft's?
Ein Bericht von Stefan Krempl

  1. Kinder und Technik Elfjährige CEO will eine Milliarde Kinder das Coden lehren
  2. IT an Schulen Intelligenter Stift zeichnet Handschrift von Schülern auf
  3. Mädchen und IT Fehler im System

Arduino: Diese Visitenkarte ist ein Super-Mario-Spielender-Würfel
Arduino
Diese Visitenkarte ist ein Super-Mario-Spielender-Würfel

Eine Visitenkarte aus Papier ist langweilig! Der Elektroniker Patrick Schlegel hat eine Platine als Karte - mit kreativen Funktionen.
Von Moritz Tremmel

  1. Thinktiny Mini-Spielekonsole sieht aus wie winziges Thinkpad

Videostreaming: So verändert Disney+ auch Netflix, Prime Video und Sky
Videostreaming
So verändert Disney+ auch Netflix, Prime Video und Sky

Der Markt für Videostreamingabos in Deutschland ist jetzt anders: Mit dem Start von Disney+ erhalten Amazon Prime Video, Netflix sowie Sky Ticket ganz besondere Konkurrenz.
Von Ingo Pakalski

  1. Disney+ Surround-Ton nur auf drei Fire-TV-Modellen
  2. Telekom-Kunden Verzögerungen bei der Aktivierung für Disney+
  3. Coronavirus-Krise Disney+ startet mit reduzierter Streaming-Bitrate

    •  /