Linux Foundation: Open-Source-Abhängigkeiten machen weiter Probleme

In ihrem sogenannten Census hat die Core Infrastructure Initiative der Linux Foundation häufig genutzte Pakete aus NPM und Maven untersucht. Die dabei gefundenen prinzipiellen Probleme sollen künftig gezielt gelöst werden.

Artikel veröffentlicht am , Kristian Kißling/Linux Magazin/
Die Pflege von Paketabhängigkeiten ist schwierig und die Nutzung birgt Risiken.
Die Pflege von Paketabhängigkeiten ist schwierig und die Nutzung birgt Risiken. (Bild: Erich Ferdinand/Flickr.com/CC-BY 2.0)

Als Reaktion auf den Heartbleed-Bug hat die Linux Foundation die Core Infrastructure Initiative (CII) gegründet, um derartige Fehler in viel genutzter, aber schlecht gewarteter Open-Source-Software zu vermeiden. In einer großangelegten Studie, dem sogenannten Census II, hat sich die CII nun den zentralen Open-Source-Komponenten gewidmet, die in Anwendungen produktiv genutzt werden. Wohl wenig überraschend stammen diese aus Maven und NPM und die identifizierten Probleme dürften bekannt klingen.

Das CII hat den Census II zusammen mit dem Laboratory for Innovation Science at Harvard University (LISH) durchgeführt und nun einen vorläufigen Bericht dazu veröffentlicht. Ziel sei es dabei aber nicht, kritische Projekte als schlecht hervorzuheben. Vielmehr will das Projekt Erkenntnisse zu strukturellen Problemen sammeln, um in Zukunft die Kern-Infrastruktur besser abzusichern.

Drei grundlegende Erkenntnisse

Dabei ziehen die Forscher aus ihren ersten Untersuchungen drei strukturelle Erkenntnisse. Erstens sehen sie einen Bedarf für eine standardisierte Namensgebung für Softwarekomponenten. Ohne diese sei es Organisationen nur schwer möglich, sich über Probleme in ihrer Software auszutauschen. Dieses Problem sei auch nicht neu, das National Institute for Standards and Technology (NIST) kämpfe seit Jahrzehnten damit.

Zweitens werde noch immer viel Software in den individuellen Repositories der Entwickler gepflegt. Diese seien oft weniger gut geschützt als organisatorische, zentrale Repositories und damit anfälliger für Backdoors. Zudem bestehe die Gefahr, dass Entwickler ihre Komponenten aus dem Repository zurückziehen und damit komplettes Chaos verursachen, wie es 2016 aufgrund eines Markenstreits geschehen ist.

Drittens zeigte sich bei den Untersuchungen, dass für eine Aufgabe häufig Software A zum Einsatz komme, obwohl sich viele Entwickler einig darüber sind, dass Software B dieselbe Funktionalität bietet, aber wesentlich besser betreut wird und aktueller ist. Oder anders formuliert: Frameworks und Stacks verwenden mitunter zu viel Legacy-Software.

Der Grund ist offensichtlich: Die wenigen Maintainer kümmern sich eher um die neueren Pakete und die scheinbar funktionierenden Bestandteile werden deutlich weniger betreut. Diese Vorgehensweise wird aber eben dann zum Problem, wenn eine alte Komponente Ärger macht, aber niemand mehr dafür zuständig ist, der sie repariert.

Die CII will nun Konsequenzen aus ihren Erkenntnissen ziehen. Sie will künftig Projekte unterstützen, die sich um einheitliche Identifizierungen von Softwarekomponenten kümmern. Ebenso will sie aber auch den positiven Beitrag von Open Source für die vorhandenen IT-Ökosysteme würdigen und im März 2020 eine Umfrage unter Open-Source-Entwicklern starten. Die soll nicht nur die Relevanz von Open-Source-Projekten für die Ökonomie erkunden, sondern will sich auch mit der Zeit beschäftigen, die FOSS-Entwickler neben ihrem Hauptjob ihren Projekten widmen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Aktuell auf der Startseite von Golem.de
KI-Bildgenerator
Diese Kamera generiert, statt zu fotografieren

Ein Bastler hat eine KI-Kamera ohne Objektiv gebaut. Paragraphica erzeugt Schnappschüsse mit einem Raspberry Pi und Stable Diffusion.

KI-Bildgenerator: Diese Kamera generiert, statt zu fotografieren
Artikel
  1. Seekabel: Colt bietet eine europäische Verbindung in die USA
    Seekabel
    Colt bietet eine europäische Verbindung in die USA

    Colt bringt eine neue Seekabelverbindung von Europa in die USA, die stärker in europäischer Hand ist. Statt in New York landet man in New Jersey. Doch Google und Facebook sind dabei.

  2. Magnetohydrodynamischer Antrieb: US-Militär lässt lautlosen U-Boot-Antrieb entwickeln
    Magnetohydrodynamischer Antrieb
    US-Militär lässt lautlosen U-Boot-Antrieb entwickeln

    Bislang war magnetohydrodynamischer Antrieb der Fiktion vorbehalten. Dank Fortschritten in der Akku- und Fusionstechnik soll sich das ändern.

  3. Disney und Videostreaming: Über 100 Eigenproduktionen aus Abo von Disney+ entfernt
    Disney und Videostreaming
    Über 100 Eigenproduktionen aus Abo von Disney+ entfernt

    Eigentlich wollte Disney nur etwas mehr als 50 Eigenproduktionen aus Disney+ verschwinden lassen. Nun fehlen deutlich mehr Filme und Serien.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Roccat bis -50% • AVM Modems & Repeater bis -36% • MindStar: 13 Grafikkarten im Sale • Logitech G Pro Wireless Maus 89€ • The A500 Mini 74,99€ • Logitech G213 Prodigy Tastatur 49,90€ • Crucial P5 Plus (PS5-komp.) 1TB 71,99€, 2TB 133,99€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /