Tragedy of Commons, reloaded
Nach Heartbleed die Open-Source-Apokalypse? Über Bugs und Denkfehler [Kommentar]
![Nach Heartbleed die Open-Source-Apokalypse? Über Bugs und Denkfehler [Kommentar]](https://s3.eu-west-1.amazonaws.com/redsys-prod/articles/070e2465211b850845db20b9/images/teaserImage_xxxx_croppedTeaserImage.jpg)
Tragedy of Commons, reloaded
Nach Heartbleed die Open-Source-Apokalypse? Über Bugs und Denkfehler [Kommentar]
Um es in der passsenden Bildsprache zu sagen: Der Heartbleed-Bug in OpenSSL, einer Software, die das Open-Source-Modell in ihrem Namen trägt, ist für Verfechter quelloffener Software ein Stich ins Herz. Ob sich die gesamte Open-Source-Welt deswegen in der \"prekären Lage\" befindet, die Patrick Beuth von ZEIT ONLINE wahrnimmt, darf allerdings bezweifelt werden. Auch deshalb, weil Open Source kein \"Heilsversprechen\" ist, wie er ebenfalls schreibt, sondern ein profitables Geschäftsmodell, das sich in der Softwarebranche faktisch bewährt hat und auch in Zukunft bewähren wird – auch ganz ohne ideologischen Überbau. Dennoch erfordern die wachsenden Open-Source-Ökosysteme ein Umdenken der beteiligten Firmen: Services zum Nulltarif sind eine Illusion. In die Quelle, aus der man schöpft, muss auch investiert werden.
Open Source hat Konjunktur. Weshalb sonst würden Unternehmen wie SAP auf quelloffene Technologien wie Eclipse Virgo oder Eclipse Orion setzen? Und weshalb sonst würden Hazelcast oder Hortonworks, die sich ganz auf Open-Source-Technologien spezialisiert haben, großzügige Finanzspritzen erhalten?
Allerdings zeigen Venture-Kapital-Summen von 100 Millionen US-Dollar, wie im Fall von Hortonworks: Open-Soure-Software entsteht keineswegs aus dem Nichts. Und Autoren offener Quelltexte leben nicht nur von Luft und Liebe zum Beruf.
In diesen Stunden läuft die Kickstarter-Kampagne für eine kommerzielle Distribution der Eclipse-Java-Entwicklungswerkzeuge aus (wir berichteten) – erfolglos. Wenn nicht noch ein Wunder geschieht, wird das Finanzierungsziel von 120.000 US-Dollar um sage und schreibe 112.600 Euro verfehlt. Ein Totalflop, der jedoch zwei Dinge lehrt: erstens die enormen Kosten quelloffener Software, die viele als selbstverständlich betrachten. Zweitens die mangelnde Zahlungsbereitschaft, sprich: Nachfrage, der Community. Trotz des vielfach diskutierten und beklagten Innovationsstaus in der Eclipse-Plattform-Entwicklung (s. „Taskforce für Eclipse: Kann eine Working Group die IDE retten?“) begnügt man sich lieber mit dem, was bereits kostenlos zu haben ist, als auf eine kommerzielle Variante mit besserer Unterstützung umzusteigen.
Zurück zu Heartbleed: Gestern meldete sich Steve Marquess, einer der Gründer der OpenSSL Software Foundation (OSF), zu Wort. In einem Blogpost legte er den finanziellen Status quo der Stiftung dar – und der ist in der Tat „prekär“: 2.000 US-Dollar Spenden erhalte sie durchschnittlich pro Jahr. Seit Heartbleed bekannt wurde, seien zusätzlich etwa 9.000 Dollar auf das Konto der OSF eingegangen. Erfreulich, würde man meinen. Doch Marquess kommentiert die gut gemeinten Zuwendungen nüchtern: Selbst wenn die Spenden weiterhin in derselben Häufigkeit einträfen, würde der finanzielle Aufwand, der nötig ist, um eine so wichtige und komplexe Software wie OpenSSL instand zu halten, bei weitem nicht erreicht.
TANSTAAFL
Gerade einmal elf Entwickler, ein Team der Größe einer Fußballmannschaft, sind an der Entwicklung von OpenSSL beteiligt – genauso viele bzw. genauso wenige wie an der Eclipse-Plattform. Hier wie dort schlägt sich der finanzielle Engpass in personeller Knappheit nieder. Doch von nichts kommt nichts. „There ain’t no such thing as free software“, könnte man das Bonmot „TANSTAAFL“ des Science-Fiction-Autors Robert A. Heinlein umformulieren. Auch David Blevins, der Gründer des Unternehmens Tomitribe, hatte nach Oracles Einstellung der kommerziellen Unterstützung für den GlassFish-Server im vergangenen Herbst darauf hingewiesen – „Supporting your open source communities isn’t charity, it’s good business“ – und dafür plädiert, einen Mittelweg zu finden zwischen den horrenden Preisen für proprietäre Software und der Nulltarifmentalität, die im Open-Source-Umfeld herrscht.
Doch auch wenn die Open-Source-Community sich durch „Heartbleed“ nicht eben mit Ruhm bekleckert hat: Open Source floriert. Um noch ein Beispiel zu nennen: Unternehmen wie AdaCore, die sicherheitskritische Software entwickeln, bauen auf das Prinzip „Mehr Augen sehen mehr Fehler“ – und verwenden gerade aus diesem Grund Open Source, wie Jamie Ayre von AdaCore neulich im JAXenter-Interview erläuterte:
Es gibt immer wieder Fälle, in denen der Quellcode des Systems zur Verfügung gestellt wird und eine Vielzahl von Beteiligten auf diese Weise Sicherheitslücken aufdecken kann. Ein gutes Beispiel ist der Wahlskandal in Florida: Niemand weiß, was passiert ist, weil die Software proprietär war. Also konnte niemand vor unberechtigten Zugriffen auf die Software warnen.
Zu leicht vergessen Unternehmen jedoch, dass sie die auch Stakeholder der quelloffenen Software sind, die sie verwenden – und somit niemand außer ihnen die Verantwortung für den Code trägt. Wer ein Geschäftsmodell einzig auf dem Altruismus Unbekannter begründet, dem ist nicht zu helfen.
Tragedy of Commons
Die Fehlerdiagnose liegt auf der Hand: Open-Source-Ökosysteme werden immer größer, anonymer und verflochtener. Und wo es keine eindeutigen Zugehörigkeiten gibt, ist es umso schwieriger, Zuständigkeiten zu definieren. Zu leicht wird die Verantwortung für ein Stück Software aus den Augen verloren – die Tragik der Allmende (Tragedy of Commons) lässt grüßen. Blind wird auf Committer-Idealisten vertraut, die aus purer Leidenschaft am Handwerk den Brunnen graben, aus dem alle anderen schöpfen. Ein verfehlter Glaube an eine abstrakte Instanz, die, einem übermenschlichen Produktmanager gleich, das große Ganze im Blick hat und die Akteure wie ein Dirigent durch den Entwicklungsprozess lenkt, macht sich breit. Der Sinn für das eigene Interesse am Gelingen des Gesamtprojekts geht verloren – und bald klaffen Sicherheitslücken in der Software oder machen Performanceprobleme ihren Nutzern zu schaffen.
Findet allerdings ein Umdenken statt, wie es in der Eclipse-Community bereits einsetzt, ist die Tragedy of Commons zwar ein ernstes, aber kein existenzgefährdendes Problem für das Open-Source-Modell. Eher, wie Heartbleed selbst, eine kritische Schwachstelle, die sich aber beheben lässt. An den Grundfesten der Open-Source-Kultur wird der Bug nicht rütteln. Allerdings ist zu hoffen, dass viele Betroffene ihn als Weckruf verstehen und sich personell und finanziell stärker in die Open-Source-Communities einbringen, von denen ihre Produkte abhängen. Eine neue Maxime von Unternehmen, die die Vorteile von Open-Source-Software nutzen, sollte lauten: Wenn ich es nicht mache, wird es niemand machen. Oder: Ask not what your software can do for you. Ask what you can do for your software.
Aufmacherbild: Heartbleed bug von shutterstock.com/Urheberrecht: wwwebmeister
Um es in der passsenden Bildsprache zu sagen: Der Heartbleed-Bug in OpenSSL, einer Software, die das Open-Source-Modell in ihrem Namen trägt, ist für Verfechter quelloffener Software ein Stich ins Herz. Ob sich die gesamte Open-Source-Welt deswegen in der \"prekären Lage\" befindet, die Patrick Beuth von ZEIT ONLINE wahrnimmt, darf allerdings bezweifelt werden. Auch deshalb, weil Open Source kein \"Heilsversprechen\" ist, wie er ebenfalls schreibt, sondern ein profitables Geschäftsmodell, das sich in der Softwarebranche faktisch bewährt hat und auch in Zukunft bewähren wird – auch ganz ohne ideologischen Überbau. Dennoch erfordern die wachsenden Open-Source-Ökosysteme ein Umdenken der beteiligten Firmen: Services zum Nulltarif sind eine Illusion. In die Quelle, aus der man schöpft, muss auch investiert werden.
Open Source hat Konjunktur. Weshalb sonst würden Unternehmen wie SAP auf quelloffene Technologien wie Eclipse Virgo oder Eclipse Orion setzen? Und weshalb sonst würden Hazelcast oder Hortonworks, die sich ganz auf Open-Source-Technologien spezialisiert haben, großzügige Finanzspritzen erhalten?
Allerdings zeigen Venture-Kapital-Summen von 100 Millionen US-Dollar, wie im Fall von Hortonworks: Open-Soure-Software entsteht keineswegs aus dem Nichts. Und Autoren offener Quelltexte leben nicht nur von Luft und Liebe zum Beruf.
In diesen Stunden läuft die Kickstarter-Kampagne für eine kommerzielle Distribution der Eclipse-Java-Entwicklungswerkzeuge aus (wir berichteten) – erfolglos. Wenn nicht noch ein Wunder geschieht, wird das Finanzierungsziel von 120.000 US-Dollar um sage und schreibe 112.600 Euro verfehlt. Ein Totalflop, der jedoch zwei Dinge lehrt: erstens die enormen Kosten quelloffener Software, die viele als selbstverständlich betrachten. Zweitens die mangelnde Zahlungsbereitschaft, sprich: Nachfrage, der Community. Trotz des vielfach diskutierten und beklagten Innovationsstaus in der Eclipse-Plattform-Entwicklung (s. „Taskforce für Eclipse: Kann eine Working Group die IDE retten?“) begnügt man sich lieber mit dem, was bereits kostenlos zu haben ist, als auf eine kommerzielle Variante mit besserer Unterstützung umzusteigen.
Zurück zu Heartbleed: Gestern meldete sich Steve Marquess, einer der Gründer der OpenSSL Software Foundation (OSF), zu Wort. In einem Blogpost legte er den finanziellen Status quo der Stiftung dar – und der ist in der Tat „prekär“: 2.000 US-Dollar Spenden erhalte sie durchschnittlich pro Jahr. Seit Heartbleed bekannt wurde, seien zusätzlich etwa 9.000 Dollar auf das Konto der OSF eingegangen. Erfreulich, würde man meinen. Doch Marquess kommentiert die gut gemeinten Zuwendungen nüchtern: Selbst wenn die Spenden weiterhin in derselben Häufigkeit einträfen, würde der finanzielle Aufwand, der nötig ist, um eine so wichtige und komplexe Software wie OpenSSL instand zu halten, bei weitem nicht erreicht.
TANSTAAFL
Gerade einmal elf Entwickler, ein Team der Größe einer Fußballmannschaft, sind an der Entwicklung von OpenSSL beteiligt – genauso viele bzw. genauso wenige wie an der Eclipse-Plattform. Hier wie dort schlägt sich der finanzielle Engpass in personeller Knappheit nieder. Doch von nichts kommt nichts. „There ain’t no such thing as free software“, könnte man das Bonmot „TANSTAAFL“ des Science-Fiction-Autors Robert A. Heinlein umformulieren. Auch David Blevins, der Gründer des Unternehmens Tomitribe, hatte nach Oracles Einstellung der kommerziellen Unterstützung für den GlassFish-Server im vergangenen Herbst darauf hingewiesen – „Supporting your open source communities isn’t charity, it’s good business“ – und dafür plädiert, einen Mittelweg zu finden zwischen den horrenden Preisen für proprietäre Software und der Nulltarifmentalität, die im Open-Source-Umfeld herrscht.
Doch auch wenn die Open-Source-Community sich durch „Heartbleed“ nicht eben mit Ruhm bekleckert hat: Open Source floriert. Um noch ein Beispiel zu nennen: Unternehmen wie AdaCore, die sicherheitskritische Software entwickeln, bauen auf das Prinzip „Mehr Augen sehen mehr Fehler“ – und verwenden gerade aus diesem Grund Open Source, wie Jamie Ayre von AdaCore neulich im JAXenter-Interview erläuterte:
Es gibt immer wieder Fälle, in denen der Quellcode des Systems zur Verfügung gestellt wird und eine Vielzahl von Beteiligten auf diese Weise Sicherheitslücken aufdecken kann. Ein gutes Beispiel ist der Wahlskandal in Florida: Niemand weiß, was passiert ist, weil die Software proprietär war. Also konnte niemand vor unberechtigten Zugriffen auf die Software warnen.
Zu leicht vergessen Unternehmen jedoch, dass sie die auch Stakeholder der quelloffenen Software sind, die sie verwenden – und somit niemand außer ihnen die Verantwortung für den Code trägt. Wer ein Geschäftsmodell einzig auf dem Altruismus Unbekannter begründet, dem ist nicht zu helfen.
Tragedy of Commons
Die Fehlerdiagnose liegt auf der Hand: Open-Source-Ökosysteme werden immer größer, anonymer und verflochtener. Und wo es keine eindeutigen Zugehörigkeiten gibt, ist es umso schwieriger, Zuständigkeiten zu definieren. Zu leicht wird die Verantwortung für ein Stück Software aus den Augen verloren – die Tragik der Allmende (Tragedy of Commons) lässt grüßen. Blind wird auf Committer-Idealisten vertraut, die aus purer Leidenschaft am Handwerk den Brunnen graben, aus dem alle anderen schöpfen. Ein verfehlter Glaube an eine abstrakte Instanz, die, einem übermenschlichen Produktmanager gleich, das große Ganze im Blick hat und die Akteure wie ein Dirigent durch den Entwicklungsprozess lenkt, macht sich breit. Der Sinn für das eigene Interesse am Gelingen des Gesamtprojekts geht verloren – und bald klaffen Sicherheitslücken in der Software oder machen Performanceprobleme ihren Nutzern zu schaffen.
Findet allerdings ein Umdenken statt, wie es in der Eclipse-Community bereits einsetzt, ist die Tragedy of Commons zwar ein ernstes, aber kein existenzgefährdendes Problem für das Open-Source-Modell. Eher, wie Heartbleed selbst, eine kritische Schwachstelle, die sich aber beheben lässt. An den Grundfesten der Open-Source-Kultur wird der Bug nicht rütteln. Allerdings ist zu hoffen, dass viele Betroffene ihn als Weckruf verstehen und sich personell und finanziell stärker in die Open-Source-Communities einbringen, von denen ihre Produkte abhängen. Eine neue Maxime von Unternehmen, die die Vorteile von Open-Source-Software nutzen, sollte lauten: Wenn ich es nicht mache, wird es niemand machen. Oder: Ask not what your software can do for you. Ask what you can do for your software.
Aufmacherbild: Heartbleed bug von shutterstock.com/Urheberrecht: wwwebmeister
