Drei Fragen und Antworten: Bei Open Source mit anpacken, nicht nur spenden

Firmen sollten sich nicht auf ihren Spenden an Open-Source-Communities ausruhen, fordert Josep Prat: Sie wissen oft gar nicht, wie abhängig sie von ihnen sind.

Lesezeit: 6 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 4 Beiträge
Von
  • Moritz Förster

Geht es um die Unterstützung von Open-Source-Projekten, pochen viele Unternehmen auf ihre finanziellen Spenden. Die sind gut – und genügen langfristig dennoch nicht, wie Josep Prat, Open Source Engineering Director bei Aiven, meint. Wir sprechen mit ihm darüber, was Firmen besser machen können.

Im Interview: Josep Prat

(Bild: 

Aiven

)

Josep Prat ist Open Source Engineering Director bei Aiven, einem Unternehmen für Managed-Cloud-Services.

Herr Prat, Sie sind der Meinung, dass sich Unternehmen nicht auf die finanzielle Unterstützung von Open-Source-Projekten beschränken sollten. Welches weitere Engagement schwebt Ihnen vor?

Open-Source-Software wird oft auch als "freie" Open-Source-Software bezeichnet. Damit einher geht aber das Missverständnis vieler Leute, sie sei "frei" im Sinne von kostenlos. "Frei" bezieht sich bei Open Source jedoch auf die Freiheit, die Software zu prüfen, sie zu bearbeiten, weiterzugeben und individuell zu nutzen – und wir wollen sicherstellen, dass dieses "freie" Ökosystem erhalten bleibt. Deshalb wollen wir bei Aiven ein führendes Beispiel für andere Unternehmen sein, indem wir einen großen Beitrag zur Entwicklung dieser Technologien leisten, nachhaltige Gemeinschaften aufbauen und sicherstellen, dass Open-Source-Projekte aktiv und intakt bleiben.

In bestehenden Projekten beheben wir dafür Fehler, entwickeln neue Funktionen oder teilen auch unsere Erfahrungen. Darüber hinaus haben wir im vergangenen Jahr auch das OSPO, unser Open Source Program Office, ins Leben gerufen, um die Nachhaltigkeit und Zukunft von Open-Source-Projekten zu sichern. Unser OSPO arbeitet Vollzeit an Projekten und in Communities an Open-Source-Projekten, um die Pflege der Software auf mehr Personen zu verteilen. Auf diesem Wege tragen wir dazu bei, den "Bus-Faktor" in vielen OSS-Projekten zu verringern, die derzeit von einigen wenigen Personen entweder in ihrer Freizeit oder in einem einzigen Unternehmen gepflegt werden.

Darüber hinaus haben wir das Plankton-Programm ins Leben gerufen, um zusätzliche Arbeit, die unsere Mitarbeiter außerhalb ihrer regulären Aufgaben leisten, zu unterstützen und anzuerkennen, unabhängig vom Umfang dieser Arbeit. Im Rahmen dieses Programms können Mitarbeiter eine Entschädigung für die Zeit beantragen, die sie außerhalb ihrer Arbeit mit Open-Source-Aktivitäten investieren – auch jenseits der Arbeit am Code –, um das bestehende Ökosystem zu verbessern.

Manche Projekte sind im Technik-Stack von enormer Wichtigkeit und hängen dennoch von der Arbeit weniger oder gar einzelner Personen ab. Das ist eine enorm gefährliche Situation – wieso passiert hier vonseiten der Unternehmen nicht mehr?

Viele Unternehmen sind sich des prekären Zustands vieler Open-Source-Projekte, auf die sie angewiesen sind, nicht bewusst. Einige Projekte, wie der Linux-Kernel oder Kubernetes, die das Rückgrat der Internet-Infrastruktur bilden, werden zwar gut gewartet, doch die große Mehrheit der Projekte wird derzeit von einzelnen Unternehmen oder nur einer Handvoll Mitwirkender unterstützt. Angesichts knapper Budgets konzentrieren sich die Unternehmen auf schnelle Gewinne und vergessen dabei, in langfristige und nachhaltige Ziele zu investieren, um unabhängiger zu werden.

Die Aufgabe unseres Open Source Program Office (OSPO) besteht daher darin, die Nachhaltigkeit und Zukunft von Open-Source-Projekten in unserer Wertschöpfungskette zu sichern. Dafür tragen wir zu Open-Source-Projekten bei und stellen sicher, dass die Software-Maintenance auf mehrere Personen verteilt wird. Gleichzeitig bringen wir verschiedene Ideen und Meinungen ein, um diese Projekte erfolgreich voranzutreiben. Solche Maßnahmen tragen schlussendlich dazu bei, ein nachhaltiges und gesundes Ökosystem zu schaffen, in dem Projekte existieren können und das gleichzeitig den richtigen Raum für neue Ideen bietet.

Teils hat Open Source den Ruf von Hobbybastelei – und teils den der Technik, die die Welt im Verborgenen antreibt. Wie können Firmen mit vielen dieser Mythen aufräumen und Open Source der breiten Öffentlichkeit näher bringen?

Das erste Problem, das es zu lösen gilt, ist der weit verbreitete Irrglaube, dass Open Source nur einige wenige betrifft. Das Internet, wie wir es kennen, hängt in hohem Maße von Open-Source-Projekten ab. Ein großer Teil dieser Projekte hängt wiederum von der Arbeit eines einzelnen Maintainers ab. Erinnern Sie sich an Heartbleed im Jahr 2014? Diese Sicherheitslücke wurde bei OpenSSL gefunden, einer wichtigen Bibliothek, die für die Grundlagen des sicheren Internets verwendet wird – und von nur einer Person gepflegt wird.

Und wenn diese eine Schlüsselperson beschließt, dass sie genug von der undankbaren ehrenamtlichen Tätigkeit hat und aufhört, was glauben Sie, was dann mit Online-Shopping und sozialen Medien passiert? Und wir sprechen dabei nicht nur von einem hypothetischen Was-wäre-wenn-Szenario. Im Jahr 2016 kam es bei der Webentwicklung zu einem ernsthaften Problem, weil ein einzelner Programmierer elf Codezeilen des Pakets "left-pad" aus npm gelöscht hat.

Indem wir nicht nur das Bewusstsein für die Bedeutung von Open Source und die Arbeit der Community schärfen, sondern auch ein Bild von den potenziellen Gefahren einer Vernachlässigung zeichnen, könnte die Öffentlichkeit die entscheidende Rolle von Open Source für Innovation und Sicherheit in einer digitalisierten Welt stärker nachvollziehen. Zumindest nach der Log4J-Sicherheitslücke im letzten Jahr hat ein größerer Teil der Tech-Industrie die Bedeutung eines gesunden und nachhaltigen Open-Source-Ökosystems erkannt. Sogar das Weiße Haus traf sich mit Tech-Industriegiganten und Stiftungen, um die Vorteile von Open Source besser zu verstehen und um herauszufinden, wie sie dazu beitragen können, die Risiken, mit denen Open Source derzeit konfrontiert ist, zu mindern.

Herr Prat, vielen Dank für Ihre Antworten.

In der Serie „Drei Fragen und Antworten“ will die iX die heutigen Herausforderungen der IT auf den Punkt bringen – egal ob es sich um den Blick des Anwenders vorm PC, die Sicht des Managers oder den Alltag eines Administrators handelt. Haben Sie Anregungen aus Ihrer tagtäglichen Praxis oder der Ihrer Nutzer? Wessen Tipps zu welchem Thema würden Sie gerne kurz und knackig lesen? Dann schreiben Sie uns gerne oder hinterlassen Sie einen Kommentar im Forum.

Mehr von iX Magazin Mehr von iX Magazin

(fo)