xz-Vorfall: Anzeichen einer strukturellen Herausforderung
Von Adriana Groh
In STF
Wir beim Sovereign Tech Fund verfolgen den xz-Vorfall aufmerksam und hören die vielen Stimmen aus der FOSS-Community dazu.
Es gibt deutliche Anzeichen, dass es sich um einen gezielten Angriff handelt, allerdings sind Expert*innen noch dabei, ihn zu analysieren und noch sind nicht alle Fakten bekannt. Auf Grund dessen können wir zu diesem Zeitpunkt keine einzelne, eindeutige Ursache benennen und wollen ganz sicher auch keine einfache Lösung vorschlagen. Wir möchten den Vorfall allerdings dazu nutzen, um erneut auf die enorme Relevanz der – für viele von uns leider unsichtbaren – digitalen Infrastruktur hinzuweisen.
xz ist „nur“ das aktuellste Beispiel, das aufzeigt, wie wichtig das Open-Source-Ökosystem für uns alle ist. Gleichzeitig zeigt es sehr gut, wie gravierend die strukturellen Herausforderungen sind: beispielsweise zu wenig Nachwuchs und erfahrene Mitwirkende, zu wenig Sichtbarkeit und nicht genug (nachhaltige) Unterstützung durch unterschiedliche Akteur*innen. Die Konsequenz ist u. a. Burnout bei Ehrenamtlichen, was leider keine Seltenheit ist. Ignorieren wir diese systematischen Probleme weiter, werden diese „tönernen Füße” uns als Gesamtgesellschaft zum Verhängnis (siehe unser liebster xkcd comic).
Grundlegende Komponenten werden von sehr vielen Unternehmen und Organisationen eingebaut und genutzt, ohne dass diese deren Pflege sicherstellen. Wir sehen hierin eine Aufgabe von öffentlichem Interesse, weswegen diese langfristig nicht alleine in der Verantwortung von Ehrenamtlichen und auch nicht alleine in der des privatwirtschaftlichen Sektors liegen sollte. Die Relevanz dieser Aufgabe muss in der Breite der Gesellschaft anerkannt und ihr die dementsprechende Priorität eingeräumt werden.
Wie bereits bei Heartbleed (2014), Log4Shell (2021) und anderen Fällen ersichtlich wurde, sind offene Basistechnologien essenzielle Teile der modernen digitalen Infrastruktur. Sie sind die Basis aller (nicht nur digitaler) Vorhaben, sowohl im öffentlichen als auch privatwirtschaftlichen Bereich. So wie Straßen, Schienen und Wasserversorgung als physische Infrastruktur fortwährend instand gehalten wird, müssen auch digitalen Komponenten gepflegt und gewartet werden, damit sie als Grundlage der digitalen Souveränität, einer erfolgreichen Wirtschaft und der Resilienz der demokratischen Gesellschaft dienen können.
Seit dem Start des Sovereign Tech Fund denken wir über verschiedene Unterstützungsmechanismen nach, um unser Ziel – die Entwicklung, Verbesserung und Erhaltung offener digitaler Infrastrukturen zu unterstützen – gerecht zu werden. Wir arbeiten aktuell an weiteren Instrumenten, um diesen Herausforderungen in Angriff zu nehmen. Finanzielle Unterstützung für die Menschen hinter dem Code ist ein richtiger erster Schritt und wichtiger Baustein. Um die Nachhaltigkeit unserer Mission zu stärken braucht es aber mehrere sich ergänzende Maßnahmen. Hierfür sind wir im Austausch mit Maintainer*innen und FOSS-Communitys, während wir solche weiteren Bausteine erarbeiten und testen. Wir fokussieren uns z.B. auf die Verbesserung der Wartbarkeit von Software, erhöhte Bug-Resilienz, verbessertes Developer-Tooling, Abbau technischer Schulden und die Erweiterung der Communitys von FOSS-Mitwirkenden.
Wir möchten ausdrücklich dazu einladen, Ideen, Feedback oder Kritik mit uns zu teilen. Bis einschließlich Sonntag den 7. April 2024 freuen wir uns besonders über Open-Source-Maintainer*innen, die diese Umfrage zu einem Fellowship-Pilotprogramm beantworten. Der Sovereign Tech Fund ist auf Mastodon, LinkedIn, Bluesky und Twitter. Updates können per E-Mail-Newsletter und RSS abonniert werden.
Wir sehen die Entstehung und Verstetigung des Sovereign Tech Fund durch die SPRIND und das Bundesministerium für Wirtschaft und Klimaschutz ganz klar als ein gutes Zeichen für ein zunehmendes Bewusstsein für die Relevanz des Open-Source-Ökosystems. Wir hoffen, dass unsere Ansätze für die nächsten Jahre als gute Beispiele dienen, die viele andere inspirieren, sich unserer Mission anzuschließen, um gemeinsam nachhaltige Wirkung zu erzielen. Fälle wie xz und alle sicherlich kommenden Weiteren zeigen, dass wir es mit einer zukunftsrelevanten Aufgabe ohne absehbares Ende zu tun haben.