Die Realität von Open Source: Ein-Personen-Projekte und ihre Bedeutung
Dieser Blogartikel wurde automatisch erstellt (und übersetzt). Er basiert auf dem folgenden Original, das ich für die Veröffentlichung auf diesem Blog ausgewählt habe:
Open Source is one person | Open Source Security.
Die oft übersehene Realität von Open Source
Ein aktueller Vorfall, bei dem ein Open-Source-Entwickler aufgrund seiner Herkunft öffentlich kritisiert wurde, wirft ein Schlaglicht auf ein grundlegendes Problem in der Open-Source-Welt. Anstatt sich auf die Nationalität der Entwickler zu konzentrieren, sollte der Fokus auf die Realität gerichtet werden, dass ein Großteil der Software, die unsere digitale Welt antreibt, von Einzelpersonen gewartet wird – oft ohne angemessene Unterstützung.
Open Source ist oft "Ein-Personen-Sache"
Daten zeigen, dass ein erheblicher Anteil von Open-Source-Projekten von einer einzigen Person betreut wird. Von den 11,8 Millionen Open-Source-Projekten, die von Ecosyste.ms erfasst werden, werden etwa 7 Millionen von einer einzigen Person gewartet. Selbst bei populären Projekten ist dies oft der Fall.
Beliebte Projekte, Einzelne Betreuer
Am Beispiel des NPM-Ökosystems lässt sich dies gut veranschaulichen. Eine Analyse der am häufigsten heruntergeladenen NPM-Pakete (über 1 Million Downloads pro Monat) zeigt, dass fast die Hälfte davon von einer einzigen Person betreut wird. Dieses Verhältnis bleibt auch bei unterschiedlichen Downloadzahlen bestehen. Erst bei einer Betrachtung von Projekten mit über 1 Milliarde Downloads verschiebt sich das Verhältnis deutlich zugunsten von Projekten mit mehreren Betreuern.
Dies verdeutlicht, dass auch weit verbreitete und essenzielle Open-Source-Komponenten oft in den Händen einzelner Entwickler liegen.
Die eigentliche Gefahr: Überlastung und mangelnde Ressourcen
Die Fokussierung auf die Herkunft von Entwicklern lenkt von der eigentlichen Gefahr ab: Einzelne Betreuer sind oft überlastet und unterbezahlt. Dies stellt ein viel größeres Risiko für die Sicherheit und Stabilität der Software-Lieferkette dar als die Nationalität des Entwicklers. Einem einzelnen, überforderten Entwickler fehlt es möglicherweise an den Ressourcen, um Sicherheitslücken rechtzeitig zu erkennen und zu beheben oder die notwendigen Tests durchzuführen.
Es lässt sich argumentieren, dass ein Staat, der böswillige Absichten verfolgt, sich kaum die Mühe machen würde, ein Projekt eines offen in Russland lebenden Entwicklers zu kompromittieren. Es wäre sinnvoller, eine Identität zu wählen, die weniger Verdacht erregt.
Was können wir tun?
Die Lösung liegt nicht darin, einzelne Entwickler an den Pranger zu stellen. Stattdessen muss ein Weg gefunden werden, Open-Source-Projekte besser zu unterstützen, insbesondere solche, die von Einzelpersonen betreut werden. Dies könnte durch finanzielle Unterstützung, die Bereitstellung von Ressourcen oder die Förderung von mehr Zusammenarbeit geschehen. Die Verteufelung einzelner Maintainer ist kontraproduktiv und trägt nicht zur Lösung des Problems bei.
Wie genau diese Unterstützung aussehen kann, ist eine komplexe Frage, die in der Open-Source-Community diskutiert werden muss. Entscheidend ist jedoch, dass das Problem erkannt und angegangen wird, anstatt sich auf irrelevante Aspekte wie die Nationalität der Entwickler zu konzentrieren.