FOSS Backstage: So abhängig ist kommerzielle Softwareentwicklung von Open Source

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Free and Open Source (FOSS) ist aus der kommerziellen Softwareentwicklung nicht mehr wegzudenken, das Ausmaß der Abhängigkeit erstaunt jedoch: Max Mehl von DB Systel nennt in seinem Vortrag auf der siebten FOSS-Backstage-Konferenz, die vergangene Woche in Berlin stattfand, die Zahl von durchschnittlich 125 Abhängigkeiten pro internem Projekt.

Seine Aussage basiert auf einer Analyse von über 32.000 internen Repositories, wobei er schätzt, dass ein Großteil dieser insgesamt mehr als 117.000 Pakete Open Source sind. Das deckt sich mit Zahlen der Linux Foundation aus dem Jahr 2022, die von einem Anteil 70 bis 90 Prozent an Open-Source-Dependencies ausgeht.

Derartige Abhängigkeiten bedeuten Risiken, etwa weil Abhängigkeiten nicht mehr gepflegt sind, einem Lizenzwechsel unterliegen oder Sicherheitslücken aufweisen. Hier sei auf die nur durch Zufall entdeckte xz-Lücke verwiesen.

Sicherheitsrisiko Abhängigkeiten

Governance – eines der Kernthemen der FOSS Backstage mit ihren rund 75 Veranstaltungen – bedeutet in diesem Zusammenhang, die organisatorischen Rahmenbedingungen in einem Unternehmen so zu gestalten, dass sie die Risiken beim Einsatz von Open Source minimieren. Neben dem Setzen von Compliance- und Sicherheitsstandards sowie der Steuerung von Beiträgen an die Open-Source-Community soll aber auch der strategische Mehrwert für ein Unternehmen maximiert werden.

Denn die große Zahl an FOSS-Abhängigkeiten bedeutet auch, dass eine Firma die jeweilige Funktionalität nicht selber entwickeln muss und so einen finanziellen Vorteil aus der Open-Source-Nutzung zieht. Hier klang in vielen Beiträgen und Gesprächen an, dass Firmen sich nicht auf die reine Nutzerrolle beschränken dürfen, sondern finanziell und aktiv bei der Entwicklung helfen sollen.

Nur so lassen sich die aus Überlastung einzelner FOSS-Technologieträger resultierenden Risiken minimieren. Chancen und Risiken der FOSS-Nutzung gegeneinander abzuwägen und auszusteuern, ist in vielen Firmen heute Aufgabe eines Open Source Program Office (OSPO) – Gegenstand von zwei Vorträgen der Konferenz.

Eine Risikoeinschätzung beginnt mit einer ausführlichen Analyse des Unternehmenscodes, der wiederum eine Software Bill of Materials (SBOM) zugrunde liegt, also eine Zusammenstellung aller direkten und indirekten Abhängigkeiten von Softwareprojekten, einschließlich zugehöriger Versionen und Lizenzen.

Werkzeuge wie die Open Source Security Foundation (OpenSSF) Scorecard oder das Linux Foundation-Projekt CHAOSS helfen dabei, sicherheits- oder community-bezogene Risiken zu erkennen.

Gratwanderung zwischen Haftung und digitaler Souveränität

Zusätzliche Schwierigkeiten für Unternehmen, die FOSS kommerziell nutzen, ergeben sich aus neuen EU-Regularien, insbesondere dem Cyber Resilience Act (CRA) und der Produkthaftungsrichtlinie (Product Liability Directive 2024/2853, PLD), die in gefühlt jedem zweiten Vortrag zur Sprache kamen.

Beide schützen Anwender und nehmen Firmen in die Pflicht, sicherere und nachhaltige Software auszuliefern. Unternehmen müssen sicherstellen, dass ihre Software – inklusive aller Open-Source-Komponenten – den im CRA festgelegten Standards entspricht, was durch ein Security-by-Design-Prinzip und umfassende Risikomanagementprozesse erreicht werden soll. Die Verantwortung für die integrierten Open-Source-Komponenten liegt vollständig beim Anbieter der Produkte, der entsprechende Prüf- und Kontrollmechanismen implementieren muss. Die PLD erweitert den Begriff Produkt und schließt Software ein – sowohl eigenständige als auch in andere Produkte integrierte – sofern sie kommerziell vertrieben wird.

Zu den Auswirkungen des CRA und der PLD auf die Open-Source-Entwicklung gab es unterschiedliche Meinungen. So wird FOSS in der PLD grundsätzlich aus der Haftung ausgenommen, sofern sie nicht kommerziell bereitgestellt wird. Wird sie jedoch in ein kommerzielles Produkt integriert oder kommerziell vertrieben, greift die Produkthaftung.

Für rein private Entwickler könnte das bedeuten, dass Firmen eher bereit sind, sie finanziell zu unterstützen, um qualitativ hochwertige Software zu erhalten. Genau hier stellt sich aber die Frage, wann der FOSS-Autor die Grenze zum kommerziellen Vertrieb überschreitet. Wenn sich also ein Open-Source-Entwickler durch die Qualität seiner Arbeit ein einträgliches Einkommen sichert, handelt es sich dann um eine kommerzielle Tätigkeit?

Die Unsicherheit über diesen Punkt war auf der FOSS Backstage quasi mit Händen zu greifen. Klarheit in dieser Sache dürfte sich erst aus der Rechtsprechung oder einer Verfeinerung der PLD und des CRA ergeben.

Dass eine Klarstellung dringend benötigt wird, macht das letzte, wirklich allumfassende Thema der Konferenz klar: FOSS hat für die digitale Souveränität der EU eine zentrale Bedeutung, was bereits die Keynote von Jutta Horstmann (CEO vom Zentrum für digitale Souveränität, ZenDiS) zum Thema "Digital Sovereignty and Open Source – Shaping an answer to geopolitical instabilities" betont.

Will man Open Source fördern und nicht behindern, dürfte es kaum im Interesse der EU liegen, den FOSS-Protagonisten zu viele Schranken zu setzen. Denn die sich aus PLD und CRA ergebende Notwendigkeit zur langfristigen Pflege und Bereitstellung von Sicherheitsupdates wollen finanziert werden.

Am zweiten Tag der Konferenz fanden zwei Fringe Events statt: Zum einen die "FOSS Backstage Design", in der es um Fragen des User Experience Designs ging, die für die Akzeptanz von FOSS in einem neuen Europa nicht ganz unwichtig sind. Zum anderen das InnerSource Gathering unter der Leitung von Isabel Drost-Fromm, die zusammen mit Stefan Rudnitzki auch die FOSS Backstage ursprünglich ins Leben gerufen hatte.

Insgesamt war die FOSS Backstage eine durchweg gelungene Veranstaltung mit vielen hochinteressanten Informationen zu aktuellen, aber ausschließlich nicht-technischen FOSS-Themen. Aufzeichnungen zum aktuellen und früheren FOSS Backstages sind bei YouTube einzusehen.

(who)