Linux Foundation: Open-Source-Abhängigkeiten machen weiter Probleme

In ihrem sogenannten Census hat die Core Infrastructure Initiative der Linux Foundation häufig genutzte Pakete aus NPM und Maven untersucht. Die dabei gefundenen prinzipiellen Probleme sollen künftig gezielt gelöst werden.

Artikel veröffentlicht am , Kristian Kißling/Linux Magazin/
Die Pflege von Paketabhängigkeiten ist schwierig und die Nutzung birgt Risiken.
Die Pflege von Paketabhängigkeiten ist schwierig und die Nutzung birgt Risiken. (Bild: Erich Ferdinand/Flickr.com/CC-BY 2.0)

Als Reaktion auf den Heartbleed-Bug hat die Linux Foundation die Core Infrastructure Initiative (CII) gegründet, um derartige Fehler in viel genutzter, aber schlecht gewarteter Open-Source-Software zu vermeiden. In einer großangelegten Studie, dem sogenannten Census II, hat sich die CII nun den zentralen Open-Source-Komponenten gewidmet, die in Anwendungen produktiv genutzt werden. Wohl wenig überraschend stammen diese aus Maven und NPM und die identifizierten Probleme dürften bekannt klingen.

Stellenmarkt
  1. Systems Engineer - Secure PIM (m/w/d)
    BWI GmbH, Berlin, Leipzig, Meckenheim, München
  2. Sachbearbeiter/in IT-Strategie/IT-Management / Verwaltungsmodernisierung (m/w/d)
    Bundesamt für Auswärtige Angelegenheiten, Brandenburg/Havel
Detailsuche

Das CII hat den Census II zusammen mit dem Laboratory for Innovation Science at Harvard University (LISH) durchgeführt und nun einen vorläufigen Bericht dazu veröffentlicht. Ziel sei es dabei aber nicht, kritische Projekte als schlecht hervorzuheben. Vielmehr will das Projekt Erkenntnisse zu strukturellen Problemen sammeln, um in Zukunft die Kern-Infrastruktur besser abzusichern.

Drei grundlegende Erkenntnisse

Dabei ziehen die Forscher aus ihren ersten Untersuchungen drei strukturelle Erkenntnisse. Erstens sehen sie einen Bedarf für eine standardisierte Namensgebung für Softwarekomponenten. Ohne diese sei es Organisationen nur schwer möglich, sich über Probleme in ihrer Software auszutauschen. Dieses Problem sei auch nicht neu, das National Institute for Standards and Technology (NIST) kämpfe seit Jahrzehnten damit.

Zweitens werde noch immer viel Software in den individuellen Repositories der Entwickler gepflegt. Diese seien oft weniger gut geschützt als organisatorische, zentrale Repositories und damit anfälliger für Backdoors. Zudem bestehe die Gefahr, dass Entwickler ihre Komponenten aus dem Repository zurückziehen und damit komplettes Chaos verursachen, wie es 2016 aufgrund eines Markenstreits geschehen ist.

Golem Akademie
  1. Hands-on C# Programmierung: virtueller Zwei-Tage-Workshop
    09./10.06.2022, virtuell
  2. LPI DevOps Tools Engineer – Prüfungsvorbereitung: virtueller Zwei-Tage-Workshop
    21./22.07.2022, Virtuell
Weitere IT-Trainings

Drittens zeigte sich bei den Untersuchungen, dass für eine Aufgabe häufig Software A zum Einsatz komme, obwohl sich viele Entwickler einig darüber sind, dass Software B dieselbe Funktionalität bietet, aber wesentlich besser betreut wird und aktueller ist. Oder anders formuliert: Frameworks und Stacks verwenden mitunter zu viel Legacy-Software.

Der Grund ist offensichtlich: Die wenigen Maintainer kümmern sich eher um die neueren Pakete und die scheinbar funktionierenden Bestandteile werden deutlich weniger betreut. Diese Vorgehensweise wird aber eben dann zum Problem, wenn eine alte Komponente Ärger macht, aber niemand mehr dafür zuständig ist, der sie repariert.

Die CII will nun Konsequenzen aus ihren Erkenntnissen ziehen. Sie will künftig Projekte unterstützen, die sich um einheitliche Identifizierungen von Softwarekomponenten kümmern. Ebenso will sie aber auch den positiven Beitrag von Open Source für die vorhandenen IT-Ökosysteme würdigen und im März 2020 eine Umfrage unter Open-Source-Entwicklern starten. Die soll nicht nur die Relevanz von Open-Source-Projekten für die Ökonomie erkunden, sondern will sich auch mit der Zeit beschäftigen, die FOSS-Entwickler neben ihrem Hauptjob ihren Projekten widmen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Cariad
Aufsichtsrat greift bei VWs Softwareentwicklung durch

Die Sorge um die Volkswagen-Softwarefirma Cariad hat den Aufsichtsrat veranlasst, ein überarbeitetes Konzept für die ehrgeizigen Pläne vorzulegen.

Cariad: Aufsichtsrat greift bei VWs Softwareentwicklung durch
Artikel
  1. Delfast Top 3.0: Ukrainische Armee setzt E-Motorräder zur Panzerjagd ein
    Delfast Top 3.0
    Ukrainische Armee setzt E-Motorräder zur Panzerjagd ein

    Ukrainische Infanteristen nutzen E-Motorräder, um leise und schnell zum Einsatz zu gelangen und die Panzerabwehrlenkwaffe NLAW zu transportieren.

  2. Überwachung: Polizei setzt Handy-Erkennungskamera gegen Autofahrer ein
    Überwachung
    Polizei setzt Handy-Erkennungskamera gegen Autofahrer ein

    In Rheinland-Pfalz werden Handynutzer am Steuer eines Autos automatisch erkannt. Dazu wird das System Monocam aus den Niederlanden genutzt.

  3. Love, Death + Robots 3: Mal spannend, mal tragisch, mal gelungen, mal nicht so
    Love, Death + Robots 3
    Mal spannend, mal tragisch, mal gelungen, mal nicht so

    Die abwechslungsreichste Science-Fiction-Serie unserer Zeit ist wieder da - mit acht neuen Folgen der von David Fincher produzierten Anthologie-Reihe.
    Von Peter Osteried

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Borderlands 3 gratis • CW: Top-Rabatte auf PC-Komponenten • Inno3D RTX 3070 günstig wie nie: 614€ • Ryzen 9 5900X 398€ • Top-Laptops zu Tiefpreisen • Edifier Lautsprecher 129€ • Kingston SSD 2TB günstig wie nie: 129,90€ • Samsung Soundbar + Subwoofer günstig wie nie: 228,52€ [Werbung]
    •  /