Kritische Open Source Software identifiziert

Di, 16. August 2022, Ralf Hersel

Die FOSSEPS-Studie über kritische Software wurde im November 2021 ins Leben gerufen, um die kritische Software, die in den europäischen öffentlichen Diensten eingesetzt wird, zu identifizieren (und Vorschläge zur Behebung zu machen). Das von Deloitte geleitete Studienteam erhielt 21 Antworten auf Fragebögen, die an über 191 europäische öffentliche Dienste geschickt wurden. Unabhängig davon wurden auch 13 Open-Source-Experten für Nachhaltigkeit und Sicherheit befragt. Die Autoren schreiben, dass die niedrige Rücklaufquote bei den öffentlichen Diensten "eher die Komplexität des Themas widerspiegelt, als einen Mangel an Bemühungen oder Enthusiasmus". "Es stellte sich heraus, dass die öffentlichen Dienste nicht über angemessene technologische Instrumente verfügen, um Abhängigkeiten von Open-Source-Software zu ermitteln.

Die Forscher stellten eine Liste von 30 kritischen Open-Source-Softwareprojekten zusammen. Dazu gehören Curl, eine Software zur Interaktion mit Webinhalten, M2crypto, ein Python-Wrapper für OpenSSL, und Libxml2, eine Bibliothek zum Parsen von XML-Dokumenten. An der Entwicklung dieser Projekte sind nur eine Handvoll Entwickler oder weniger beteiligt. Diese Projekte haben einen niedrigen "Bus-Faktor"; es besteht ein hohes Risiko, dass Informationen und Fähigkeiten nicht zwischen den Teammitgliedern ausgetauscht werden, falls "sie von einem Bus überfahren werden".


Darüber hinaus empfehlen die Autoren, dass die öffentlichen Dienste den Einsatz von Open-Source-Tools, die transitive Abhängigkeiten aufzeigen und zuverlässige Software-Stücklisten erstellen, finanziell und technisch unterstützen und Gemeinschaftsinitiativen zur Definition von Metriken und Methoden zur Identifizierung von Open-Source-Projekten, die externe Hilfe für die Wartung benötigen, unterstützen.

Die Studie wurde von den europäischen öffentlichen Diensten sehr begrüsst, und mehrere lobten die Bemühungen der Europäischen Kommission um die Nachhaltigkeit von kritischer Open-Source-Software. Dem Bericht zufolge haben die öffentlichen Dienste "ein hohes Bewusstsein für Sicherheitsfragen, und jetzt sind sie sich auch zunehmend der Nachhaltigkeit bewusst".

Die Studie ist Teil des Projekts Free and Open Source Software Solutions for European Public Services (FOSSEPS) der Europäischen Kommission. Das mit 500.000 Euro dotierte Projekt ist eine Initiative des Europäischen Parlaments. Der Link zur Studie befindet sich unter den Quellen.

Quellen:

https://joinup.ec.europa.eu/collection/fosseps/news/fosseps-critical-open-source-software-study-report

https://joinup.ec.europa.eu/sites/default/files/news/2022-08/FOSSEPS%20-%20Critical%20Software%20Study%20Report%202022.pdf

Tags

Studie, Behörden, Kritis, europa, kritische