Interview mit Asterisk-Maintainer Kevin P. Fleming

Inhaltsverzeichnis

In seinem Vortrag auf dem Asterisk-Tag 2008 unterteilte Kevin P. Fleming, Director of Software Technologies bei Asterisk-Hersteller Digium, die Benutzer der freien Telefonie-Software in (spielfreudige) Hunde und (konservative) Katzen: Die einen sind ständig auf der Suche nach neuen Features, die anderen skeptisch gegenüber jeder Veränderung. Um beide Gruppen glücklich zu machen, so Fleming, pflegt Digium auf der einen Seite die stabilen Versionen 1.2 und 1.4 mit Bug-Fixes und behutsamen Verbesserungen in großen Zeitabständen. Version 1.6 hingegen werde mit jedem neuen minor release neue Features erhalten.

Wir hatten Gelegenheit, mit dem wichtigsten Asterisk-Entwickler nach Asterisk-Erfinder und Digium-Gründer Mark Spencer über die neue Version und die Entwicklung der freien Telefonie-Software zu sprechen.

heise open: Kevin, Sie sind Co-Maintainer von Asterisk und Director for Software Technologies bei Digium. Wie sind Sie zu dieser kleinen Firma gekommen und was ist Ihre Aufgabe dort?

Fleming: Mein erster Kontakt mit Asterisk war 2003, als ich mit einem Freund ein kleines Unternehmen als Internet Telephony Service Provider gründete. Ich begann, Asterisk als Community-Mitglied zu verbessern, drangsalierte Mark Spencer ein paar Monate lang mit Unmengen an Patches, und schließlich lud er mich ein, Digium und die Entwickler kennenzulernen. Kurze Zeit später nahm ich dort einen Job an.

Derzeit treffe ich vor allem Entscheidungen hinsichtlich der Software-Architektur für die zukünftige Entwicklung unserer kommerziellen und Open-Source-Produkte und leite das Entwickler-Team. Außerdem arbeite ich mit unseren großen Kunden (OEMs, Unternehmenskunden und Technnologiepartner) zusammen und gehöre dem Digium-Management an.

Wie verläuft der Entwicklungsprozess bei Asterisk? Welche Rolle spielt die Community dabei? Und wie geht das Projekt-Team mit Sicherheitsproblemen um?

Noch immer stammt ungefähr die Hälfte der Arbeit, die in neue Releases gesteckt wird, aus der Asterisk-Community – entweder als Patches oder in Form von Bug-Reports und Unterstützung bei der Fehlersuche und -behebung. Um ehrlich zu sein, die meisten von uns bei Digium haben gar nicht die Zeit, Asterisk so einzusetzen, wie das im wirklichen Leben geschieht. Ohne das Feedback von außen könnte sich Asterisk nicht so schnell entwickeln.

Den Umgang mit Sicherheitsproblemen haben wir in den letzten ein, zwei Jahren in vielfacher Hinsicht verbessert; wir haben jetzt eine Gruppe von sechs oder sieben Leuten, die jeden Bericht über eine mögliche Sicherheitslücke analysieren. Wenn etwas dran zu sein scheint, untersuchen wir, welche Asterisk-Versionen betroffen sind, wie komplex die Fixes sind, und – bei unseren kommerziellen Produkten – wie schnell wir die Fixes an unsere Kunden ausliefern können.

Parallel dazu sorgen wir dafür, dass wir eine öffentliche Nummer im CVE-Archiv (Common Vulnerabilties and Exposures) erhalten. Letztlich entsteht ein detailliertes Advisory, das wir auf verschiedenen Mailing-Listen und Websites veröffentlichen, was von der Sicherheits-Community sehr anerkannt wird. Wir sind sehr stolz auf diesen Prozess, und normalerweise dauert es nur wenige Tage, bis nach Bekanntwerden einer Sicherheitslücke ein Fix für alle Asterisk-Versionen bereitsteht.

Wie sieht das Geschäftsmodell von Digium aus? Sie verkaufen neben Software ja auch eine Menge Hardware.

Ein großer Teil des Umsatzes von Digium stammt aus dem Verkauf von Hardware. Das sind mittlerweile nicht nur ISDN- und Telefonie-Karten, sondern auch komplette Appliances, die mit Switchbox oder der Asterisk Business Edition verkauft werden. Ein zunehmender Anteil unseres Umsatzes stammt aus der kommerziellen Lizenzierung von Asterisk an OEM-Kunden, die die Software in ihre Produkte integrieren – einige davon offiziell (etwa 3Com und NTT Software), andere, ohne öffentlich darüber zu reden.

Seit dem Kauf von Sokol & Associates im letzten Jahr wächst auch unser Geschäft mit Trainings, und wir hoffen, diesen Bereich in der nahen Zukunft weiter auszubauen.

Werden Sie die Asterisk-Lizenz irgendwann auf die GPL3 umstellen?

Wir sehen bislang keinen Grund für einen Wechsel von der GPL2 auf die GPL3, und speziell bei den Zaptel-Treibern (die demnächst in DAHDI umbenannt werden) würde es gar keinen Sinn ergeben, da es sich vor allem um Kernel-Module für den Linux-Kernel handelt, der unter GPL2 steht. Solange die Community Asterisk ohne Lizenzkonflikte zusammen mit anderer Open-Source-Software benutzen kann, werden wir wohl bei der GPL2 bleiben. Selbst wenn ein Konflikt entstehen sollte, weil ein wichtiges Add-on zur GPL3 wechselt, könnten wir wahrscheinlich eine spezielle Ausnahmeregel dafür in unsere Lizenz aufnehmen, wie wir es jetzt schon für OpenSSL und OpenH.323 machen.

Was halten Sie von Asterisk-Forks wie Callweaver oder Projekten wie das mittlerweile von Ihrem Konkurrenten Fonality gesponsorte Trixbox?

Wir finden alles gut, was Community und dem Markt den Zugang zu Asterisk erleichtert. Es gibt mittlerweile eine große Zahl von Asterisk-Distributionen, von denen einige miteinander konkurrieren und andere sich auf bestimmte Branchen oder Anwendungen konzentrieren. Viele davon helfen dabei, Asterisk zu verbessern, weil sie Problemberichte und manchmal auch Patches an die Community zurückgeben.

Projekte wie Callweaver, die ausgehend von Asterisk einen eigenen Weg verfolgen, nutzen der Asterisk-Community natürlich weniger. Um ehrlich zu sein, wir verschwenden nicht viel Zeit darauf, andere Asterisk-Distributoren zu beobachten, wenn wir nicht gerade auf eine mögliche Marken- oder Lizenzverletzung aufmerksam werden.