Wer pflegt eigentlich Open Source?

Hinter den Open-Source-Komponenten in Ihrer Software stehen Menschen. Keine Unternehmen, keine Abteilungen, keine Service-Teams - sondern in vielen Fällen Einzelpersonen, die in ihrer Freizeit arbeiten, ohne Bezahlung, ohne Vertrag und ohne jede Verpflichtung Ihnen gegenüber.

Die Realität hinter dem Fundament

Open Source bildet das Fundament der modernen Software-Industrie. Die Realität hinter diesem Fundament sieht so aus:

• Einzelpersonen tragen die Last. Viele kritische Projekte werden von einer einzigen Person gepflegt. Es gibt keinen Stellvertreter, keinen Urlaubsplan, keine Übergabe.
• Freiwilligkeit, keine Verpflichtung. Maintainer arbeiten, weil sie es wollen - nicht weil sie es müssen. Sie können jederzeit aufhören, und niemand kann sie daran hindern.
• Kein Budget. Die meisten Projekte haben kein Einkommen. Hardware, CI/CD-Infrastruktur und Testumgebungen werden privat finanziert oder über Spenden, die selten ausreichen.
• Burnout ist real. Die Kombination aus steigenden Anforderungen, undankbaren Nutzern und fehlender Unterstützung führt regelmäßig dazu, dass Maintainer aufhören.
• Keine SLAs, keine Reaktionszeiten. Wenn eine Schwachstelle gemeldet wird, gibt es keine Garantie, wann sie bearbeitet wird. Tage, Wochen, Monate - oder nie.

Was passiert, wenn ein Maintainer aufhört?

Wenn der Maintainer eines Projekts aufhört, passiert zunächst: nichts. Das Projekt existiert weiter, der Code ist weiterhin verfügbar, die Downloads laufen weiter. Aber:

• Neue Schwachstellen werden nicht mehr behoben
• Sicherheitsmeldungen bleiben unbeantwortet
• Die Software veraltet - Betriebssysteme, Compiler, Abhängigkeiten bewegen sich weiter, das Projekt nicht
• Pull Requests mit Fixes stapeln sich ohne Review

Das Projekt wird zum Sicherheitsrisiko, ohne dass ein Scanner Alarm schlägt. Es gibt keine CVE für "dieses Projekt wird nicht mehr gepflegt".

Gesetzliche Relevanz

Die EU-Gesetzgebung verlangt von Ihnen, genau dieses Risiko zu managen:

• DORA Art. 28 Abs. 5: Bei kritischen Funktionen müssen IKT-Drittdienstleister "höchste Qualitätsstandards" einhalten
• DORA Art. 28 Abs. 8: Ausstiegsstrategien müssen auch für Open-Source-Abhängigkeiten existieren
• DORA Art. 8 Abs. 7: Bewertung von IKT-Altsystemen mindestens jährlich
• NIS2 Art. 21 Abs. 3: Bewertung der Schwachstellen und der Sicherheit der Entwicklungsprozesse unmittelbarer Anbieter
• CRA Art. 13 Abs. 5: Sorgfaltspflicht bei der Integration von FOSS-Komponenten - ein verwaistes Projekt erhöht das Sorgfaltsrisiko
• ISO 18974 (4.1.5 Nr. 5): Post-Release-Monitoring für neue Schwachstellen

Ein Projekt ohne aktiven Maintainer erfüllt keinen dieser Maßstäbe. Wenn Sie es trotzdem einsetzen, liegt die Beweislast bei Ihnen zu zeigen, dass Sie das Risiko kennen und managen.

Was bedeutet das für Sie?

Sie verlassen sich auf Menschen, die Sie nicht kennen, die keinen Vertrag mit Ihnen haben und die jederzeit aufhören können. Das ist kein Vorwurf an die Maintainer - es ist die Struktur des Ökosystems. Aber diese Struktur bedeutet, dass Sie als Unternehmen aktiv werden müssen: Projekt-Gesundheit überwachen, Verwaisungsrisiken erkennen, Alternativen vorbereiten und im Ernstfall selbst eingreifen können.

Weiterlesen

• OTTRIA und Open-Source-Projekte
• Open Source hat keinen Vertragspartner
• Open-Source-Lieferkettensicherheit

Sie möchten wissen, welche Ihrer Abhängigkeiten auf einem einzelnen Maintainer basieren? OTTRIA überwacht die Gesundheit Ihrer gesamten SBOM. Vereinbaren Sie ein Erstgespräch.