Open Source

Ost-West-Bruch bei Open Source vermeiden: Ein Aufruf zur Einheit

Ost-West-Bruch bei Open Source vermeiden: Ein Aufruf zur Einheit

Von Randy Bias, VP Open Source Strategy & Technology bei Mirantis

Open Source hat die westliche Welt erobert, entwickelt sich aber auch in China rasant. Dieser Aufschwung kann gleichzeitig Anlass zur Sorge geben. Befürchtet wird insbesondere eine Spaltung zwischen den westlichen und östlichen Ökosystemen – in einer Welt, die bislang durch den globalen Wissensaustausch vorangetrieben wurde.

Stehen wir vor einer Ost-West-Spaltung der Open-Source-Community?

Randy Bias, VP Open Source Strategy & Technology bei Mirantis

Der Vorstoß Chinas in die Welt der Open-Source-Software ist keine gänzlich neue Entwicklung. Er geht auf das Jahr 1999 zurück, als Red Flag Linux auf den Markt kam, eine speziell auf den chinesischen Markt abgestimmte Linux-Distribution. Seitdem hat sich der Einfluss Chinas jedoch stark vergrößert. So ist China auf GitHub inzwischen weltweit die Nummer 2, was die Anzahl der Entwickler betrifft. Gerade in den letzten Jahren hat sich die Zahl der Entwickler in Asien stark erhöht. Während der Westen den Open-Source-Sektor für lange Zeit dominiert hat, ist China auf dem besten Weg, das neue globale Gravitationszentrum zu werden.

An sich wäre eine derart beschleunigte Entwicklung durchaus positiv und alle könnten davon profitieren – wenn das derzeitige geopolitische Klima nicht so angespannt wäre. Die Open-Source-Community war schon immer von Partnerschaften zwischen Entwicklern unterschiedlicher Herkunft und aus verschiedensten Ländern geprägt, die gemeinsam die Innovation und den Fortschritt im IT-Bereich vorantreiben. Allerdings ist heute nur schwer vorstellbar, dass beispielsweise ein großes amerikanisches Finanzinstitut von Red Hat Enterprise Linux zu chinesisch beeinflussten Distributionen wie Open Euler oder OpenKylin migriert. Vergleichbar unwahrscheinlich mutet eine Partnerschaft zwischen einer US-Behörde und chinesischen Open-Source-Anbietern an.

Wie aber kann man im Endeffekt zusammenarbeiten oder sogar Software der „gegnerischen“ Seite übernehmen, wenn es gleichzeitig große Herausforderungen im Bereich der Sicherheit gibt? Vor allem Datenprojekte werden als kritisch angesehen

Absicherung von Open-Source-Software bleibt große Herausforderung

Denn obwohl viele Menschen Open-Source-Software grundsätzlich für sicherer halten, weil ihr Code einsehbar ist, sind zahlreiche Sicherheitslücken dokumentiert. Diese sind oftmals auf die fehlenden Ressourcen von Open-Source-Projekten sowie die Tatsache zurückzuführen, dass Qualität und Aktualität dieser Art von Software stark von freiwilliger Pflege abhängt. Sicherheit erfordert jedoch Zeit, Energie und Sorgfalt.

Noch problematischer als der Mangel an Ressourcen ist die lange Software-Lieferkette, von der diese Lösungen abhängen. Aus diesem Grund wurden Software-Stücklisten (SBOM/Software Bill of Materials) entwickelt, um bestehenden Code zu validieren, der innerhalb von Open-Source-Software zum Einsatz kommt. Eine Vorsichtsmaßnahme, die jedoch keine vollständige Sicherheit garantiert. Vor kurzem hat ein (mutmaßlich staatlich gesponserter) Akteur eine Backdoor in OpenSSH eingeschleust, indem er die entsprechende Software-Lieferkette angegriffen hat. Michał Zalewski, Gewinner des Lifetime Achievement Pwnie Awards, beschreibt dies als einen der dreistesten Angriffe der letzten Jahre, der gleichzeitig bestätigt, dass auch Open-Source-Lösungen alles andere als unfehlbar sind.

Vertrauen wiederherstellen – mit einer Art „UN“ für Open Source?

Angesichts dieser Risiken verschanzen sich beide Blöcke, West und Ost, hinter ihren jeweiligen Defensivlinien. Eine Spaltung, die aber zu einer regelrechten Apokalypse führen könnte – denn das Wesen von Open Source beruht auf dem Konzept des Teilens und des gemeinsamen öffentlichen Gutes.

Wenn wir den für Open-Source-Software typischen Fortschrittsprozess auch für die Zukunft sichern möchten, müssen wir in diesem Bereich die geopolitischen Konflikte überwinden. Zu diesem Zweck müssen gemeinsame Interessengruppen zur Sicherung der Software-Lieferketten geschaffen werden, die sich insbesondere an den CVE-Ansätzen (Common Vulnerabilities and Exposure) von MITRE orientieren. Es mag etwas hochgegriffen klingen, aber man könnte sich dies beispielsweise als eine Art „Vereinte Nationen“ für den Bereich Open Source vorstellen. Eine solche Organisation, in der Vertreter aus der ganzen Welt ein Mitspracherecht haben, hätte dann die Aufgabe, Best Practices auszutauschen, die Identität der Beitragenden mithilfe von Prüforganisationen zu authentifizieren und ein Governance-Modell durchzusetzen, das die Codebasis für jede Zertifizierung zwingend vorschreibt.

Indem wir diese Prozesse so weit wie möglich teilen und Sicherheits-Tools zugänglich machen, können wir das Vertrauen stärken, das eine entscheidende Voraussetzung für eine globale Zukunft von Open Source ist. Sicherheit und Fortschritt müssen gemeinsame Projekte sein, die innerhalb einer globalen Gemeinschaft verwaltet werden, um eine Spaltung zu verhindern und dieses gemeinsame Gut zu bewahren.