Original-URL des Artikels: https://www.golem.de/news/linux-foundation-open-source-abhaengigkeiten-machen-weiter-probleme-2002-146747.html    Veröffentlicht: 20.02.2020 10:50    Kurz-URL: https://glm.io/146747

Linux Foundation

Open-Source-Abhängigkeiten machen weiter Probleme

In ihrem sogenannten Census hat die Core Infrastructure Initiative der Linux Foundation häufig genutzte Pakete aus NPM und Maven untersucht. Die dabei gefundenen prinzipiellen Probleme sollen künftig gezielt gelöst werden.

Als Reaktion auf den Heartbleed-Bug hat die Linux Foundation die Core Infrastructure Initiative (CII) gegründet, um derartige Fehler in viel genutzter, aber schlecht gewarteter Open-Source-Software zu vermeiden. In einer großangelegten Studie, dem sogenannten Census II, hat sich die CII nun den zentralen Open-Source-Komponenten gewidmet, die in Anwendungen produktiv genutzt werden. Wohl wenig überraschend stammen diese aus Maven und NPM und die identifizierten Probleme dürften bekannt klingen.

Das CII hat den Census II zusammen mit dem Laboratory for Innovation Science at Harvard University (LISH) durchgeführt und nun einen vorläufigen Bericht dazu veröffentlicht. Ziel sei es dabei aber nicht, kritische Projekte als schlecht hervorzuheben. Vielmehr will das Projekt Erkenntnisse zu strukturellen Problemen sammeln, um in Zukunft die Kern-Infrastruktur besser abzusichern.

Drei grundlegende Erkenntnisse

Dabei ziehen die Forscher aus ihren ersten Untersuchungen drei strukturelle Erkenntnisse. Erstens sehen sie einen Bedarf für eine standardisierte Namensgebung für Softwarekomponenten. Ohne diese sei es Organisationen nur schwer möglich, sich über Probleme in ihrer Software auszutauschen. Dieses Problem sei auch nicht neu, das National Institute for Standards and Technology (NIST) kämpfe seit Jahrzehnten damit.

Zweitens werde noch immer viel Software in den individuellen Repositories der Entwickler gepflegt. Diese seien oft weniger gut geschützt als organisatorische, zentrale Repositories und damit anfälliger für Backdoors. Zudem bestehe die Gefahr, dass Entwickler ihre Komponenten aus dem Repository zurückziehen und damit komplettes Chaos verursachen, wie es 2016 aufgrund eines Markenstreits geschehen ist.

Drittens zeigte sich bei den Untersuchungen, dass für eine Aufgabe häufig Software A zum Einsatz komme, obwohl sich viele Entwickler einig darüber sind, dass Software B dieselbe Funktionalität bietet, aber wesentlich besser betreut wird und aktueller ist. Oder anders formuliert: Frameworks und Stacks verwenden mitunter zu viel Legacy-Software.

Der Grund ist offensichtlich: Die wenigen Maintainer kümmern sich eher um die neueren Pakete und die scheinbar funktionierenden Bestandteile werden deutlich weniger betreut. Diese Vorgehensweise wird aber eben dann zum Problem, wenn eine alte Komponente Ärger macht, aber niemand mehr dafür zuständig ist, der sie repariert.

Die CII will nun Konsequenzen aus ihren Erkenntnissen ziehen. Sie will künftig Projekte unterstützen, die sich um einheitliche Identifizierungen von Softwarekomponenten kümmern. Ebenso will sie aber auch den positiven Beitrag von Open Source für die vorhandenen IT-Ökosysteme würdigen und im März 2020 eine Umfrage unter Open-Source-Entwicklern starten. Die soll nicht nur die Relevanz von Open-Source-Projekten für die Ökonomie erkunden, sondern will sich auch mit der Zeit beschäftigen, die FOSS-Entwickler neben ihrem Hauptjob ihren Projekten widmen.  (lm-kki)


Verwandte Artikel:
Secure Open Source: Mozilla stiftet Fonds für bessere Security   
(10.06.2016, https://glm.io/121434 )
KernelCI: Der Linux-Kernel bekommt einheitliche Test-Umgebung   
(28.10.2019, https://glm.io/144663 )
Kollaborationsprojekte: Linux Foundation sorgt für über 100 Millionen Codezeilen   
(01.10.2015, https://glm.io/116631 )
Linux Foundation: Chinesische und US-Konzerne kooperieren bei Datensicherheit   
(22.08.2019, https://glm.io/143370 )
Filmindustrie: Amazon und Netflix unterstützen OSS-Projekte der ASWF   
(30.07.2019, https://glm.io/142866 )

© 1997–2020 Golem.de, https://www.golem.de/