Manfred Kloiber: Open Source, also quelloffene Software, das ist irgendwie ein alter Hut. Und trotzdem scheint Open Source-Software immer noch nicht so richtig angekommen in den Köpfen vieler Entscheider. Doch tatsächlich hat Open Source-Software einen unvergleichlichen Siegeszug angetreten, auch wenn das offene Konzept nicht ohne Risiko ist. Was diese Art Software so besonders macht und welche Risiken mit ihr verbundenen sind, das ist unser Thema heute. Denn vor 20 Jahren bekam das Kind mit dem Begriff Open Source einen Namen und ist seitdem eine feste Größe in der Branche. Jan Rähm, ganz kurz: Was genau ist Open Source und wie weit verbreitet ist diese Art von Software?
Jan Rähm: Lassen Sie uns nicht über Open Source an sich, sondern über FOSS sprechen. Das steht für freie und quelloffene Software. Diese sprachliche Nicklichkeit ist wichtig, denn "frei" bedeutet vor allem die Freiheit, den Programmcode der Software lesen und verändern zu können und die Software wie auch den Code weitergeben zu dürfen.
Jan Rähm: Lassen Sie uns nicht über Open Source an sich, sondern über FOSS sprechen. Das steht für freie und quelloffene Software. Diese sprachliche Nicklichkeit ist wichtig, denn "frei" bedeutet vor allem die Freiheit, den Programmcode der Software lesen und verändern zu können und die Software wie auch den Code weitergeben zu dürfen.
Open Source ist heute nicht mehr wegzudenken
Anfangs war das Konzept noch belächelt worden, heute jedoch sind weite Teile der IT-Welt ohne Open Source überhaupt nicht mehr denkbar. So basiert beispielsweise nicht nur die größte Smartphone-Gruppe auf dem in weiten Teilen noch quelloffenen Android, auch nahezu alle wichtigen Webbrowser basieren auf quelloffenen Komponenten. Und wo wir im Web sind: Der mit über 85 Prozent deutlich überwiegende Teil aller Webserver basiert ebenfalls auf Open Source-Software. Und Open Source ist heute beileibe nicht mehr nur Software, das Prinzip hat auch viele weitere Bereiche teils massiv verändert.
Manfred Kloiber: Wie Open Source andere Bereiche beeinflusst hat, darüber sprechen wir gleich noch. Jetzt aber hören wir erst einmal, wie das Konzept überhaupt entstand und wie es sich entwickelt hat. Aber auch, wo Risiken im Einsatz von Open Source-Software liegen.
Manfred Kloiber: Wie Open Source andere Bereiche beeinflusst hat, darüber sprechen wir gleich noch. Jetzt aber hören wir erst einmal, wie das Konzept überhaupt entstand und wie es sich entwickelt hat. Aber auch, wo Risiken im Einsatz von Open Source-Software liegen.
Das Konzept ist älter als sein Name
20 Jahre, so alt ist der Begriff Open Source, der ein noch viel älteres Konzept der Software-Entwicklung beschreibt.
"Das Konzept freie Software ist viel älter als der Begriff Open Source und Open Source war im Wesentlichen eine Möglichkeit, das auch dem normalen Mann auf der Straße oder auch der normalen Firma irgendwie beizubringen."
Leitet Software-Entwickler Michael Kleinhenz seine Geschichte der Open Source-Software ein, die er zusammen mit Oliver Zendel im Mai auf der Konferenz republica in Berlin präsentierte. Der Ursprung von Open Source als Konzept liege um 1980 und sei "irgendwie" auf Faulheit zurückzuführen. Richard Stallmann, damals am renommierten Massachusetts Institute of Technology (MIT) tätig, habe sich die Arbeit mit einer kleinen Software erleichtern wollen, die ihm mitteilt, wann seine Druckaufträge abgeschlossen sind. Doch dafür brauchte er Zugang zum Druckertreiber. Er habe jemanden angerufen, der ihm den Code hätte geben können, erzählt Kleinhenz, doch der habe geantwortet:
"Ich habe den Quellcode, aber da gibt es was Neues. Ich habe unterschrieben, ich darf ihn dir nicht geben. Ich glaube, das war kein spaßiges Telefonat für denjenigen. Das war der auslösende, der Kristallisationsmoment der Freie-Software-Bewegung dieses Telefonat."
"Das Konzept freie Software ist viel älter als der Begriff Open Source und Open Source war im Wesentlichen eine Möglichkeit, das auch dem normalen Mann auf der Straße oder auch der normalen Firma irgendwie beizubringen."
Leitet Software-Entwickler Michael Kleinhenz seine Geschichte der Open Source-Software ein, die er zusammen mit Oliver Zendel im Mai auf der Konferenz republica in Berlin präsentierte. Der Ursprung von Open Source als Konzept liege um 1980 und sei "irgendwie" auf Faulheit zurückzuführen. Richard Stallmann, damals am renommierten Massachusetts Institute of Technology (MIT) tätig, habe sich die Arbeit mit einer kleinen Software erleichtern wollen, die ihm mitteilt, wann seine Druckaufträge abgeschlossen sind. Doch dafür brauchte er Zugang zum Druckertreiber. Er habe jemanden angerufen, der ihm den Code hätte geben können, erzählt Kleinhenz, doch der habe geantwortet:
"Ich habe den Quellcode, aber da gibt es was Neues. Ich habe unterschrieben, ich darf ihn dir nicht geben. Ich glaube, das war kein spaßiges Telefonat für denjenigen. Das war der auslösende, der Kristallisationsmoment der Freie-Software-Bewegung dieses Telefonat."
Aus Faulheit und Ärger entsteht ein Erfolgskonzept
Stallmann war wohl sehr verärgert und aus seinem Ärger heraus startete er das GNU-Projekt: ein Unix-Nachbau, der allerdings im Gegensatz zum Original nicht nur den Programm-Code offenlegte, sondern auch von jedem studiert, verändert und weitergeben werden konnte. 1989 folgte die passende universell einsetzbare Lizenz, die GNU General Public License, kurz GPL. Seitdem erfuhr freie Software mit offenem Quellcode eine wechselvolle und bis heute extrem erfolgreiche Geschichte. Aktuell gibt es nahezu keinen Großkonzern mehr, der nicht in irgendeiner Form Open Source einsetzt. Den Trend hin zu Open Source bestätigt auch Boris Cipot, Senior Security Engineer beim Unternehmen Synopsis. Noch in den 90er-Jahren schützte ein großer Teil von Unternehmen ihren Quellcode mit allen Mitteln. Heute bedient man sich an den zahllosen Software-Projekten.
"Jetzt wollen natürlich Firmen Open Source-Software einnehmen, um schneller zu sein, um zum Beispiel mit weniger Aufwand die Funktionalitäten zu bekommen, die sie für ihre Software brauchen. Und deshalb hat sich das so entwickelt, dass wir jetzt auch bis zu 98 Prozent verschiedene Komponenten sehen, die in diesen Projekten Open Source sind."
"Jetzt wollen natürlich Firmen Open Source-Software einnehmen, um schneller zu sein, um zum Beispiel mit weniger Aufwand die Funktionalitäten zu bekommen, die sie für ihre Software brauchen. Und deshalb hat sich das so entwickelt, dass wir jetzt auch bis zu 98 Prozent verschiedene Komponenten sehen, die in diesen Projekten Open Source sind."
Verwendung solcher nicht selbst geschriebener Codes nicht ohne Risiko
Das fanden Cipot und Kollegen im Rahmen der diesjährigen Synopsys Open Source-Sicherheits- und Risikoanalyse heraus. Demnach stieg die Verwendung von Open Source-Komponenten erneut leicht an. Allerdings ist die Verwendung solches nicht selbst geschriebenen Codes nicht ohne Risiko. Boris Cipot erklärt:
"Bei Open-Source-Risiken sprechen wir meistens über Lizenzrisiken, weil jede Open Source-Komponente Lizenzen hat, die man einhalten muss. Dann sprechen wir über Sicherheitsrisiken, wo wir über Verwundbarkeit von diesen Open Source-Komponenten sprechen. Und als Letztes Betriebsrisiken. Welche Risiken gehe ich denn ein, wenn ich diese Open Source-Komponente jetzt benutze?"
"Bei Open-Source-Risiken sprechen wir meistens über Lizenzrisiken, weil jede Open Source-Komponente Lizenzen hat, die man einhalten muss. Dann sprechen wir über Sicherheitsrisiken, wo wir über Verwundbarkeit von diesen Open Source-Komponenten sprechen. Und als Letztes Betriebsrisiken. Welche Risiken gehe ich denn ein, wenn ich diese Open Source-Komponente jetzt benutze?"
Auswirkungen der Lizenzen werden unterschätzt
Kloiber: Jan, Sie haben sich diese Analyse und die von Boris Cipot genannten Risiken näher angeschaut. Zuerst angesprochen hat er das Lizenzrisiko. Was ist das Problem?
Rähm: Das Problem liegt darin, dass die Auswirkungen der Lizenzen, unter denen Software beziehungsweise Software-Komponenten lizenziert sind, unterschätzt werden. So enthält beispielsweise die erwähnte GPL die Pflicht, Veränderungen an GPL-lizenzierten Komponenten zu veröffentlichen, wenn die modifizierte Software-Version veröffentlicht wird. Das kann kritisch werden, wenn Firmengeheimnisse beziehungsweise schützenswerte Details damit ebenfalls öffentlichen würden. Der Kern des Lizenzrisikos: Nutzer von Open Source-Komponenten sollten die Lizenzen lesen und verstehen und auch berücksichtigen, dass die Komponenten eventuell Abhängigkeiten zu weiteren Komponenten aufweisen, die wiederum unter einer der vielen Open Source-Lizenzen stehen. Die Analyse zeigt: Im Vergleich zum Vorjahr ist die Zahl der Lizenzkonflikte leicht zurückgegangen, auch wenn sie auf hohem Niveau bleibt.
Rähm: Das Problem liegt darin, dass die Auswirkungen der Lizenzen, unter denen Software beziehungsweise Software-Komponenten lizenziert sind, unterschätzt werden. So enthält beispielsweise die erwähnte GPL die Pflicht, Veränderungen an GPL-lizenzierten Komponenten zu veröffentlichen, wenn die modifizierte Software-Version veröffentlicht wird. Das kann kritisch werden, wenn Firmengeheimnisse beziehungsweise schützenswerte Details damit ebenfalls öffentlichen würden. Der Kern des Lizenzrisikos: Nutzer von Open Source-Komponenten sollten die Lizenzen lesen und verstehen und auch berücksichtigen, dass die Komponenten eventuell Abhängigkeiten zu weiteren Komponenten aufweisen, die wiederum unter einer der vielen Open Source-Lizenzen stehen. Die Analyse zeigt: Im Vergleich zum Vorjahr ist die Zahl der Lizenzkonflikte leicht zurückgegangen, auch wenn sie auf hohem Niveau bleibt.
"Natürlich ist auch Open Source-Firmware nicht vor Programmierfehlern gefeit"
Kloiber: Reden wir über Sicherheit von Open Source, da geht es ja meist um Sicherheitslücken. Ich erinnere mich da an katastrophale Einzelfälle wie den Heartbleed-Bug, der die offene SSL-Verschlüsselung massiv schwächte. Wie hat sich denn bei diesem Thema Open Source-Software entwickelt?
Rähm: Natürlich ist auch Open Source-Firmware nicht vor Programmierfehlern gefeit. Laut Synopsys waren 60 Prozent der untersuchten 1.200 Codebasen mit Sicherheitslücken behaftet. Das sei allerdings eine Verbesserung zum Vorjahr, in dem 78 Prozent der untersuchten Software-Bestandteile mindestens eine Sicherheitslücke aufwiesen. Den Rückgang bestätigt auch mindestens eine weitere Studie, die ich mir dazu angeguckt habe.
Rähm: Natürlich ist auch Open Source-Firmware nicht vor Programmierfehlern gefeit. Laut Synopsys waren 60 Prozent der untersuchten 1.200 Codebasen mit Sicherheitslücken behaftet. Das sei allerdings eine Verbesserung zum Vorjahr, in dem 78 Prozent der untersuchten Software-Bestandteile mindestens eine Sicherheitslücke aufwiesen. Den Rückgang bestätigt auch mindestens eine weitere Studie, die ich mir dazu angeguckt habe.
Interessant ist das Alter der Lücken, das in der aktuellen Untersuchung im Durchschnitt bei 6,6 Jahren lag. Die älteste in einer Open Source-Komponente gefundene Lücke wurde im FreeBSD-Projekt gefunden und ist 28 Jahre alt und zudem als mit hohem Risiko bewertet.
Unternehmen können sich nicht blind auf die Open Source-Community verlassen
Kloiber: In Zusammenhang mit Open Source wird auch über ein operationelles Risiko gesprochen. Was ist damit gemeint, und wie wirkt es sich aus?
Rähm: Damit bleiben wir im Bereich der Software-Pflege beziehungsweise dem Schließen von Lücken und der Behebung von Fehlern. Wer Open Source einsetzt, sollte auch ein Monitoring über jegliche eingesetzte Komponenten und deren Abhängigkeiten haben. Nur so könne sichergestellt werden, erklärte mir Boris Cipot, dass Patches für Lücken beispielsweise zeitnah angewendet werden. Der Security Engineer rät außerdem dazu, zu beobachten, wie aktiv eine Community hinter einer Komponente sei.
Rähm: Damit bleiben wir im Bereich der Software-Pflege beziehungsweise dem Schließen von Lücken und der Behebung von Fehlern. Wer Open Source einsetzt, sollte auch ein Monitoring über jegliche eingesetzte Komponenten und deren Abhängigkeiten haben. Nur so könne sichergestellt werden, erklärte mir Boris Cipot, dass Patches für Lücken beispielsweise zeitnah angewendet werden. Der Security Engineer rät außerdem dazu, zu beobachten, wie aktiv eine Community hinter einer Komponente sei.
Letztendlich, das muss klar sein, kann sich ein Unternehmen, das Open Source einsetzt, nicht blind auf die Community verlassen, sondern muss bei erkannten Problemen auch selber aktiv werden. Positiv gesehen: So wird ein solches Unternehmen selbst in der Community aktiv.
Open Source hat viele Bereiche beeinflusst
Kloiber: Wir sprachen darüber zu Beginn: Das Open Source-Prinzip bei der Software-Entwicklung hat auch andere Bereiche beeinflusst und tut es noch. Inwiefern?
Rähm: Bei Open Source geht es ja nicht nur darum, dass etwas frei zur Verfügung gestellt wird. Vielmehr geht es auch um die Zusammenarbeit vieler an einem Projekt. Und das hat viele Bereiche ergriffen: Bestes Beispiel freies Wissen. Ohne das Zusammentragen dieses Wissens und der Zusammenarbeit tausender Freiwilliger wäre die freie Enzyklopädie heute nicht, was sie ist. Ebenfalls beeinflusst wurden die Bereiche Musik, Daten, Hardware, Bildung und viele weitere. Allen gemein ist das kollaborative Arbeiten und das freie zur Verfügung stellen der Ergebnisse.
Kloiber: Open Source ist aus der Softwarebranche nicht mehr wegzudenken – darüber sprach ich mit Jan Rähm, Danke!
Rähm: Bei Open Source geht es ja nicht nur darum, dass etwas frei zur Verfügung gestellt wird. Vielmehr geht es auch um die Zusammenarbeit vieler an einem Projekt. Und das hat viele Bereiche ergriffen: Bestes Beispiel freies Wissen. Ohne das Zusammentragen dieses Wissens und der Zusammenarbeit tausender Freiwilliger wäre die freie Enzyklopädie heute nicht, was sie ist. Ebenfalls beeinflusst wurden die Bereiche Musik, Daten, Hardware, Bildung und viele weitere. Allen gemein ist das kollaborative Arbeiten und das freie zur Verfügung stellen der Ergebnisse.
Kloiber: Open Source ist aus der Softwarebranche nicht mehr wegzudenken – darüber sprach ich mit Jan Rähm, Danke!
