Linux Foundation: Open-Source-Abhängigkeiten machen weiter Probleme

In ihrem sogenannten Census hat die Core Infrastructure Initiative der Linux Foundation häufig genutzte Pakete aus NPM und Maven untersucht. Die dabei gefundenen prinzipiellen Probleme sollen künftig gezielt gelöst werden.

Artikel veröffentlicht am , Kristian Kißling/Linux Magazin/
Die Pflege von Paketabhängigkeiten ist schwierig und die Nutzung birgt Risiken.
Die Pflege von Paketabhängigkeiten ist schwierig und die Nutzung birgt Risiken. (Bild: Erich Ferdinand/Flickr.com/CC-BY 2.0)

Als Reaktion auf den Heartbleed-Bug hat die Linux Foundation die Core Infrastructure Initiative (CII) gegründet, um derartige Fehler in viel genutzter, aber schlecht gewarteter Open-Source-Software zu vermeiden. In einer großangelegten Studie, dem sogenannten Census II, hat sich die CII nun den zentralen Open-Source-Komponenten gewidmet, die in Anwendungen produktiv genutzt werden. Wohl wenig überraschend stammen diese aus Maven und NPM und die identifizierten Probleme dürften bekannt klingen.

Stellenmarkt
  1. IT-Beratung & Support für Baustellen und Konzernstandorte (m/w/d)
    STRABAG BRVZ GMBH & CO.KG, Stuttgart
  2. SAP SuccessFactors Berater (m/w/x)
    über duerenhoff GmbH, Raum Freiburg
Detailsuche

Das CII hat den Census II zusammen mit dem Laboratory for Innovation Science at Harvard University (LISH) durchgeführt und nun einen vorläufigen Bericht dazu veröffentlicht. Ziel sei es dabei aber nicht, kritische Projekte als schlecht hervorzuheben. Vielmehr will das Projekt Erkenntnisse zu strukturellen Problemen sammeln, um in Zukunft die Kern-Infrastruktur besser abzusichern.

Drei grundlegende Erkenntnisse

Dabei ziehen die Forscher aus ihren ersten Untersuchungen drei strukturelle Erkenntnisse. Erstens sehen sie einen Bedarf für eine standardisierte Namensgebung für Softwarekomponenten. Ohne diese sei es Organisationen nur schwer möglich, sich über Probleme in ihrer Software auszutauschen. Dieses Problem sei auch nicht neu, das National Institute for Standards and Technology (NIST) kämpfe seit Jahrzehnten damit.

Zweitens werde noch immer viel Software in den individuellen Repositories der Entwickler gepflegt. Diese seien oft weniger gut geschützt als organisatorische, zentrale Repositories und damit anfälliger für Backdoors. Zudem bestehe die Gefahr, dass Entwickler ihre Komponenten aus dem Repository zurückziehen und damit komplettes Chaos verursachen, wie es 2016 aufgrund eines Markenstreits geschehen ist.

Golem Akademie
  1. Docker & Containers - From Zero to Hero
    5.-7. Oktober 2021, online
  2. Elastic Stack Fundamentals - Elasticsearch, Logstash, Kibana, Beats
    26. - 28. Oktober 2021, online
Weitere IT-Trainings

Drittens zeigte sich bei den Untersuchungen, dass für eine Aufgabe häufig Software A zum Einsatz komme, obwohl sich viele Entwickler einig darüber sind, dass Software B dieselbe Funktionalität bietet, aber wesentlich besser betreut wird und aktueller ist. Oder anders formuliert: Frameworks und Stacks verwenden mitunter zu viel Legacy-Software.

Der Grund ist offensichtlich: Die wenigen Maintainer kümmern sich eher um die neueren Pakete und die scheinbar funktionierenden Bestandteile werden deutlich weniger betreut. Diese Vorgehensweise wird aber eben dann zum Problem, wenn eine alte Komponente Ärger macht, aber niemand mehr dafür zuständig ist, der sie repariert.

Die CII will nun Konsequenzen aus ihren Erkenntnissen ziehen. Sie will künftig Projekte unterstützen, die sich um einheitliche Identifizierungen von Softwarekomponenten kümmern. Ebenso will sie aber auch den positiven Beitrag von Open Source für die vorhandenen IT-Ökosysteme würdigen und im März 2020 eine Umfrage unter Open-Source-Entwicklern starten. Die soll nicht nur die Relevanz von Open-Source-Projekten für die Ökonomie erkunden, sondern will sich auch mit der Zeit beschäftigen, die FOSS-Entwickler neben ihrem Hauptjob ihren Projekten widmen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Hubble
Uralttechnik ohne Ersatz versagt im Orbit

Das Hubble-Teleskop ist außer Betrieb. Die Speicherbänke aus den 1980er Jahren lassen sich nicht mit der CPU von 1974 ansprechen, die auf einer Platine zusammengelötet wurde.
Von Frank Wunderlich-Pfeiffer

Hubble: Uralttechnik ohne Ersatz versagt im Orbit
Artikel
  1. Batteriezellfabrik: Porsche will Hochleistungsakkus mit Silizium-Anoden bauen
    Batteriezellfabrik
    Porsche will Hochleistungsakkus mit Silizium-Anoden bauen

    Akkus für nur 1.000 Elektroautos im Jahr will Porsche mit der neuen Tochterfirma Cellforce bauen. Vor allem für den Motorsport.

  2. Pornografie: Hostprovider soll Xhamster sperren
    Pornografie
    Hostprovider soll Xhamster sperren

    Medienwächter haben den Hostprovider von Xhamster ausfindig gemacht. Dieser soll das Pornoportal für deutsche Nutzer sperren.

  3. SSDs und Monitore zum Knallerpreis beim Amazon Prime Day
     
    SSDs und Monitore zum Knallerpreis beim Amazon Prime Day

    Wer auf der Suche nach neuer Hardware ist, sollte den Prime Day von Amazon nutzen. Hier warten Rabatte auf alle möglichen Artikel.
    Ausgewählte Angebote des E-Commerce-Teams

elcaron 21. Feb 2020

Die Probleme sind ja seit Langem bekannt, auch weil nicht nur jeder triviale Ein-Zeilen...


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Amazon Prime Day • SSDs (u. a. Crucial MX500 1TB 75,04€) • Gaming-Monitore • RAM von Crucial • Fire TV Stick 4K 28,99€/Lite 18,99€ • Bosch Professional • Dualsense + Pulse 3D Headset 139,99€ • Gaming-Chairs von Razer uvm. • HyperX Cloud II 51,29€ • iPhone 12 128GB 769€ • TV OLED & QLED [Werbung]
    •  /