Viele Open-Source-Maintainer schmeißen hin – steigender Druck auf Projekte
In Open-Source-Projekten steigt der Unmut. Mangelnde Vergütung bei wachsenden Anforderungen an Features, Dokumentation und Sicherheit belastet Maintainer.
(Bild: erzeugt mit Dall-E durch iX)
- Robert Lippert
Der neue Tidelift State of the Open Source Maintainer Report wirft einen Blick auf die Belastungen, denen Maintainer heute ausgesetzt sind. Insbesondere die mangelnde Vergütung wirkt weiter Druck auf Projektbetreuer aus – gut 60 Prozent von ihnen sehen kein Geld für ihr Engagement.
Security im Fokus, nur kosten darf es nichts
Und auch im professionellen Bereich bleibt die Lage angespannt. Zwar kann eine Minderheit von rund 12 Prozent der Befragten von ihrer Arbeit an quelloffenen Projekten leben; der Wert hat sich gegenüber 2023 jedoch nicht verbessert, sondern sogar leicht verschlechtert (13 Prozent). Und das trotz Vorfällen wie dem Osterdrama um die xz Utils und der gestiegenen Aufmerksamkeit für Sicherheitsaspekte.
Tatsächlich müssten Maintainer gegenüber 2021 inzwischen bis zu dreimal so viel Zeit in die Sicherheit ihrer Projekte investieren. Dazu zählen neben Wartungsarbeiten und der Entwicklung neuer Sicherheitsfunktionen insbesondere auch das Beheben von Sicherheitslücken, die Suche nach neuen Schwachstellen oder der Umgang mit Abhängigkeiten im Code. Zeit, die dann für andere Aufgaben fehlt.
Maintainer orientieren sich zunehmend an Security-Standards
Der State of the Open Source Maintainer Report lobt an dieser Stelle das wachsende Bewusstsein für Standards wie dem NIST Secure Software Development Framework, der OpenSSF Scorecard oder dem SLSA (Supply Chain Levels for Software Artifacts Framework). Die OpenSSF Scorecard setzte sich insbesondere für Quellcode im Unternehmenskontext als Benchmark durch, und 30 Prozent der Maintainer arbeiten bereits mit dem Modell. Weitere 6 Prozent planen dessen Einsatz in den kommenden drei Monaten und 12 Prozent möchten sich innerhalb eines Jahres damit auseinandersetzen.
(Bild: Tidelift 2024 State of the Open Source Maintainer Report)
Dabei erlaubt der Report auch einen näheren Blick auf die von Tidelift unterstützten Projektbetreuer. Hier legen die Zahlen nahe, dass sich finanziell geförderte Betreuer eher an solche Standards halten – eine Förderung wirke sich also messbar auf eine Verbesserung der Sicherheit von Open-Source-Projekten aus.
Über ein Drittel der Maintainer würde am liebsten aufgeben
Die Arbeit an Open-Source-Projekten bringt nicht nur finanzielle Entbehrungen mit sich. Rund 48 Prozent der Maintainer fühlen sich nicht richtig wertgeschätzt, das entspricht rund 8 Prozentpunkten mehr als noch im Jahr 2021. Und wenn sie in eigenen Worten beschreiben dürften, was ihnen an der Arbeit wirklich nicht gefällt, dann kritisieren sie insbesondere das Anspruchsdenken ihrer Community. Wie es ein Befragter ausdrückt: "Die meisten Nutzer, selbst diejenigen, die Korrekturen benötigen, sind nicht bereit, selbst mit anzupacken. Sie erwarten einfach, dass jemand anderes das Problem kostenlos löst."
Und so ziehen es auch 38 Prozent der Befragten in Erwägung, ihr Engagement aufzugeben. 22 Prozent hätten diese Überlegung bereits in die Tat umgesetzt, so die Umfrage.
Der Tidelift State of the Open Source Maintainer Report steht gegen Registrierung kostenlos zum Download zur Verfügung. Er fasst die Antworten von 437 Maintainern zusammen, von denen mit 45 Prozent fast die Hälfte mehr als zehn Jahre Erfahrung in der Betreuung von Open-Source-Projekten mitbringt.
(who)
