Decision Debt - Die versteckte Gefahr in Open-Source-Projekten

Decision Debt beschreibt aufgeschobene Architektur- und Designentscheidungen in Software-Projekten: veraltete APIs, die niemand ablöst; Abhängigkeiten, die niemand aktualisiert; Sicherheitskonzepte, die seit Jahren überholt sind, aber nie überarbeitet wurden. In Open-Source-Projekten ist Decision Debt besonders gefährlich - weil es dafür keine Datenbank gibt.

Was ist Decision Debt? #

Technische Schulden sind in der Softwareentwicklung ein bekanntes Konzept. Decision Debt ist eine spezifische und besonders heimtückische Form davon: Es geht nicht um schlecht geschriebenen Code, sondern um Entscheidungen, die nie getroffen wurden.

Beispiele:

• Ein Projekt nutzt eine veraltete Kryptografie-Bibliothek. Alle wissen, dass sie ersetzt werden sollte. Niemand tut es, weil der Aufwand zu hoch ist.
• Eine API hat bekannte Designfehler, die Sicherheitsprobleme begünstigen. Ein Redesign wurde vor drei Jahren vorgeschlagen und nie umgesetzt.
• Ein Build-System erlaubt unsichere Abhängigkeitsauflösung. Es funktioniert, solange niemand es ausnutzt.
• Veraltete Compiler-Flags werden beibehalten, obwohl moderne Sicherheitsfeatures dadurch deaktiviert bleiben.

Warum ist Decision Debt gefährlicher als CVEs? #

Für registrierte Schwachstellen (CVEs) gibt es Datenbanken, Scanner und Prozesse. Für Decision Debt gibt es nichts davon:

• Kein Scanner erkennt es. SCA-Tools prüfen Versionsnummern gegen Schwachstellendatenbanken. Decision Debt hat keine Versionsnummer und keine Datenbank.
• Kein Maintainer meldet es. Decision Debt ist kein Bug - es ist ein bewusst oder unbewusst akzeptierter Zustand.
• Es wächst unsichtbar. Jede aufgeschobene Entscheidung macht die nächste schwieriger. Das Risiko steigt kumulativ.
• Es betrifft alle Nutzer. Wenn ein Projekt Decision Debt ansammelt, betrifft das jeden, der es einsetzt -unabhängig von der eigenen Codequalität.

Gesetzliche Relevanz #

Die EU-Gesetzgebung fordert mehr als reines CVE-Management:

• DORA Art. 8 Abs. 7: Bewertung von IKT-Altsystemen mindestens jährlich -das schließt veraltete Architekturentscheidungen in Abhängigkeiten ein
• DORA Art. 25 Abs. 1: Open-Source-Analysen und Quellcodeprüfungen als Testmethode -nicht nur CVE-Scans
• NIS2 Art. 21 Abs. 3: Bewertung der Sicherheit der Entwicklungsprozesse von Anbietern
• CRA Anhang I Teil I Nr. 2a: Produkte müssen ohne bekannte ausnutzbare Schwachstellen auf den Markt gebracht werden -Decision Debt kann solche Schwachstellen verursachen

Ein Auditor, der ein Open-Source-Projekt prüft und dort seit Jahren aufgeschobene Sicherheitsentscheidungen findet, wird fragen, warum Sie dieses Projekt weiterhin ohne Mitigationsmaßnahmen einsetzen.

Was bedeutet das für Sie? #

Decision Debt ist der blinde Fleck in Ihrer Open-Source-Strategie. Sie können jede CVE patchen und trotzdem auf einem Fundament sitzen, das strukturell unsicher ist. Das Erkennen von Decision Debt erfordert tiefes Verständnis der Projekte in Ihrer SBOM -nicht nur Scans, sondern echte Quellcodeanalyse, Bewertung der Projektgesundheit und Verständnis der Architekturentscheidungen.

Weiterlesen #

• Open-Source-Lieferkettensicherheit
• Falsche Sicherheit: Warum Scanner und Versprechen nicht reichen
• Wer pflegt eigentlich Open Source?

Sie möchten wissen, welche Decision Debts in Ihren kritischen Abhängigkeiten schlummern? OTTRIA analysiert nicht nur Schwachstellen, sondern auch die strukturelle Gesundheit Ihrer Open-Source-Projekte. Sprechen Sie mit uns.