Heartbleed oder die Open-Source-Frage

Ganz große Aufregung dieser Tage: Der Softwarefehler, der unter dem Codenamen „Heartbleed“ bekannt wurde. Er sitzt im Programmcode von OpenSSL, das zum Aufbau einer verschlüsselten Verbindung mit einem Server genutzt wird. Durch die Lücke lassen sich bei geschickter Ausnutzung Infos vom Server abrufen, die der niemals preisgeben sollte, z.B. Passwörter anderer Nutzer. Das ist richtig schlimm, weil OpenSSL in sehr, sehr vielen Servern eingesetzt wird. Keine Ahnung warum die Tagesschau nur von „600 betroffenen Webseiten“ fabuliert, vermutlich war bei denen die Tinte des Agenturfax verschmiert, denn die Anzahl der betroffenen Seiten liegt weitaus höher. Tatsächlich muss jetzt bei jedem betroffenen Server eine Fehlerbehebung durchgeführt werden, dann sollte das Serverzertifikat getauscht werden, und eigentlich muss auch jeder Mensch all seine Passwörter in allen Onlinesystemen ändern. So schlimm ist es.

Was das Ganze mit Stud.IP zu tun hat? Nun, Stud.IP ist Open Source-Software, genau wie OpenSSL. Das bedeutet, dass die Software benutzt, verändert und weitergegeben werden darf, ohne das jemals Lizenzkosten anfallen. Außerdem kann man den Quellcode ansehen und ändern (wenn man programmieren kann). Das Gegenteil von Open Source ist proprietäre Software. Bei der Art darf man nicht in den Quellcode sehen, und die Benutzung der Software kostet meist Geld in Form von Lizenzen.

Im Zuge der „Heartbleed“-Berichterstattung gibt es nun Kommentare, dass man Open-Source-Software jetzt aber mal professionalisieren sollte, damit solche schlimmen Fehler nicht passieren. Man bräuchte dringend Vollzeitentwickler und vor allem Manager, fordert z.B. ein Kommentar in der ZEIT.

Mich ärgert diese Forderung, weil sie die Vorhut eines erneuten Angriffs auf das Open-Source-Entwicklungsmodell darstellt. Der Kampf proprietäre Software vs. Open Source läuft seit Jahren, und die Argumente sind immer die gleichen. „Proprietäre Software ist sicherer als Open Source-Software“, ist meist das Hauptargument, und das falscheste überhaupt. Denn bei der Open-Source-Entwicklung gucken viele Personen über den Code eines Entwicklers, stellen Fragen und bügeln Fehler aus. Das geht, weil alle an den Code rankommen. Bei proprietärer Software ist der unter Verschluss.

Noch etwas anderes ist entscheidend, und das hat Fefe in seinem Blog schön zusammengefasst:

Open Source als Bewegung ist das Konzept, dass man Leute Code schreiben lässt, deren Herzensblut dranhängt. Die es eben nicht kurz herunterpfuschen, weil sie dafür bezahlt werden. Open Source ist die Beobachtung, dass manche Menschen es lieben, Code zu schreiben. Und wenn man sie nicht mit Deadlines und Deliverables und dem monatlichen Paycheck unter Druck setzt, dann nehmen sie sich die Zeit und machen ihr Projekt ordentlich. Viel ordentlicher jedenfalls als die durchschnittliche kommerzielle Software.

(Quelle)

Kernaussage: Open Source-Entwicklung gibt einem auch nicht-monetäre Belohnung. Wenn man Open-Source-Projekte anfängt wie Wirtschaftsunternehmen zu führen, wird das Geld einen Druck erzeugen, der zu betriebswirtschaftlichen Optimierungen und dadurch zu sinkender Qualität führt.

Tatsächlich ist es bei Stud.IP so, dass wir gute Erfahrungen mit einer Firma im Open-Source-Modell gemacht haben. Data-quest bringt professionelles know-how in die Entwicklung mit ein und ist Teil der Entwicklercommunity. Auf dieses feine Detail muss man aber Wert legen: Wir sind TEIL der Community, wir managen das Projekt nicht. Für die Stud.IP-Entwickler bei data-quest ist das eine komfortable Situation: Sie tun etwas, an dem ihr Herzblut hängt und was sie gerne machen und werden dafür sogar noch bezahlt*. Das ist oft ein Spagat, aber es funktioniert, weil uns was an dem liegt was wir tun.

Der Punkt ist aber: Stud.IP funktioniert, weil viele Leute daran mitarbeiten, und dabei viel freiwillig investieren und sich Mühe geben, dass, was sie machen, so gut wpie möglich zu tun. Stud.IP ist mehr als lieblos runterprogrammierter Code, und das trifft auf fast jedes Open Source-Projekt zu. Das ist aber nur der Anfang. Alles was bei Stud.IP getan wird, wird anschliessend so genau wie möglich geprüft. Bevor eine neue Funktion im Release landet, muss sie durch Abstimmungs- und Reviewprozesse, Tests und Codeaudits. Dafür hat die CoreGroup eigene Regularien aufgestellt. Natürlich wäre es wünschenswert, wenn die daran beteiligten Personen mehr Zeit für diese Arbeiten aufbringen könnten oder der Personenkreis größer wäre. Und es ist nicht so, als wenn unser kleines Projekt keine Unterstützung in monetärer Form brauchen könnte. Dafür gibt es den Stud.IP Verein, der mit relativ wenigen Mitteln (eben aus Spenden und Mitgliedsbeiträgen) viel Gutes macht. Aber der Umbau eines Open Source-Projekts in ein Unternehmen ist da genau der verkehrte Weg, das funktioniert nicht.

Open Source-Software ist nicht unsicherer als propritäre Software. Das Gegenteil ist der Fall, und daran sollte sich jeder erinnern, wenn demnächst die ersten Rufe laut werden, dass Open-Source-Projekte entweder wie Unternehmen geführt werden oder gleich verstaatlicht werden sollten.

________________________
* Übrigens: Es sind noch Stellen frei.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.