Als Barometer für die Stimmung bei Open-Source-Projekten dienen seit jeher einige meinungsstarke Persönlichkeiten. Zu diesen gehören Linus Torvalds und auch Daniel Stenberg, Gründer und noch immer Hauptentwickler bei curl. Sie melden sich regelmäßig zu Zeitgeistthemen zu Wort. Im Gefolge der „Vulnocalypse“ KI-gestützter Sicherheitslücken konstatiert er nun: Die Mitarbeit an Open-Source-Projekten wird zum Gesundheitsrisiko. So kann es nicht weitergehen, denn die mangelnde Beteiligung gefährdet den Open-Source-Gedanken.
Stenbergs Ansichten zu KI-gestützter Fehlersuche sind differenziert und zeichnen präzise die Evolution der LLM nach: Nach Klagen über „AI Slop“ und dem kurzzeitigen Aus für das curl-Bug-Bounty-Programm ist das Projekt aktuell in einer Phase des „Chaos hoher Qualität“. Eintrudelnde Fehlerberichte sind nicht offensichtlich Unsinn, sondern detailliert und sehr ausführlich. Der Entwickler verbringt seine Tage mit der Überprüfung von KI-generierten Sicherheitsmeldungen. Jede – im Schnitt eine pro Tag und somit fünfmal so viel wie noch im Jahr 2024 – muss er lesen, nachvollziehen und, wenn notwendig, weitere Schritte veranlassen.
Das lässt wenig Zeit für die sonstige Weiterentwicklung des Projekts und zerrt an Stenbergs Gesundheit. Seine Frau, so bloggt der Schwede, habe zum ersten Mal ihre Sorgen um seine langen Arbeitszeiten und das Ungleichgewicht zwischen Arbeits- und Freizeit geäußert. Anderen Mitgliedern des curl-Teams gehe es ähnlich und, sagt Stenberg: „Ich mache mir Sorgen um meine Teamkollegen.“ Der Druck sei so hoch wie nie zuvor: „Eine Lawine aus Arbeit mit hoher Priorität, die alles andere übertrumpft“ rausche auf die Entwickler nieder.
Stenberg, der sich ähnlich wie Linus Torvalds als „Benevolent Dictator for Life“ bezeichnet, skizzierte bereits im Jahr 2024 seine Prinzipien zur Arbeit an curl: „Liefere grundsolide Software ab, auf die sich das ganze Universum verlassen kann“, heißt es dort. Und: „Behandle die Sicherheit stets als Nummer-Eins-Priorität“. An diesen und acht anderen Prinzipien will sich Stenberg messen lassen – und sie machen sein Team und ihn nun buchstäblich krank. Denn deren Gewissen und Stolz auf die Arbeit an curl zwinge sie dazu, die Meldungen zu bearbeiten, anstatt sie einfach zu ignorieren.
Weitgehend ignoriert fühlt sich Stenberg hingegen von den Unternehmen, die curl oder libcurl in ihren Produkten verbauen. Deren Anzahl ist schier unbegreiflich: Auf dreißig Milliarden aktive Installationen schätzt das Team die „Install Base“ von curl. Von der Firewall über den Staubsaugerroboter bis zur Videospielkonsole werkelt die Übertragungsbibliothek in den meisten Haushalten der Welt vor sich hin.
Das ist rekordverdächtig – und wie viele Sponsoren hat dieses Rekordprojekt? Dreiundzwanzig. Sind darunter Tech-Giganten mit Billionenwert wie Google, Meta, Apple, Microsoft? Fehlanzeige. Stattdessen ist Elastic, immerhin auch ein Unternehmen mit Fünf-Milliarden-Bewertung, Goldsponsor und überweist dem Projekt monatlich zwischen 500 und 1.000 US-Dollar. AirBNB (Börsenwert 78 Milliarden US-Dollar) überweist zwischen 100 und 500 Dollar im Monat, dasselbe zahlt auch ein britisches Reinigungsunternehmen.
Auch von KI-Unternehmen wie OpenAI und Anthropic keine Spur und selbst deren großzügiges Angebot, das Securitymodell Mythos auf curl loszulassen, setzte das Unternehmen offenbar nur indirekt in die Tat um. Derweil entzieht „Vibe Coding“ vielen Open-Source-Projekten die materielle Grundlage, wie Wissenschaftler herausfanden.
Auf OpenCollective hat das curl-Projekt gut 950 Förderer mit Einmal- oder Monatsspenden, auf Github noch einmal 250. Die GitHub-Spender sind überwiegend Privatpersonen, und wer sich in der Open-Source-Blase im Fediverse tummelt, wird viele Avatare wiedererkennen. Hier spenden also viele Ehrenamtler an andere Ehrenamtler – große Unternehmen glänzen weiter durch Abwesenheit.
Die Sponsorenseite ist jedoch kein vollständiges Abbild der Realität, wie mir Daniel Stenberg erklärte: „Ich arbeite Vollzeit an curl und bin bei wolfSSL angestellt. Ich tue das, weil wir Kunden haben, die für curl-Unterstützung und andere curl-bezogene Tätigkeiten bezahlen, und ich denke, es wäre fair, diese Kunden auch als Sponsoren des curl-Projekts zu bezeichnen.“ Also könnten auch Konzerne wie Microsoft diese indirekte Sponsoringmöglichkeit nutzen – wolfSSLs Kundenliste ist nicht publik.
Das reiche dennoch nicht, konstatiert Stenberg in seinem Blog: „Ich wünschte, mehr Unternehmen [...] würden ihren Teil beitragen, um uns zu finanzieren.“ Er glaubt jedoch nicht an ein Umdenken, obgleich die Situation sich weiter verschärft habe. Den „Tsunami“, wie Stenberg die Flut an Bug-Reports nennt, könnte das Team nur schwimmend überstehen, Rettungsboote seien nicht in Sicht.
Fast sei er neidisch auf Projekte, die durch schwere (Sicherheits-)Fehler „die Welt für eine Weile zum Brennen gebracht haben“, denn diese hätten in der Folge Aufmerksamkeit und teilweise auch finanzielle Unterstützung bekommen. Vielleicht meint er Heartbleed? Die katastrophale Sicherheitslücke in OpenSSL hatte 2014 ein Schlaglicht auf die finanzielle und Personalsituation des Projekts geworfen und für merkbare Verbesserungen gesorgt. Doch welche Auswirkungen hätte ein ähnlicher, womöglich über das Internet ausnutzbarer Fehler in curl? Dreißig Milliarden potenziell verwundbarer Geräte sind echt eine ganze Menge, alleine in meinem Haushalt dürfte curl an die fünfzigmal vertreten sein.
Daniel Stenberg ist beileibe nicht alleine mit seiner Klage über mangelnde Unterstützung. Auf der kürzlich zu Ende gegangenen Konferenz RIPE92 forderten die Entwickler hinter drei der meistgenutzten quelloffenen DNS-Server Bind, Unbound und PowerDNS: „Umarme deinen OSS-Maintainer – oder unterstütze ihn mit einem [Support-]Vertrag“. Ist die (virtuelle) Umarmung nun die Absolution, das „Balkonklatschen“ für überbeanspruchte Softwareentwickler? Das reicht nicht, so kann Open Source und somit das technische Fundament unserer digitalen Gesellschaft nicht überleben.
Die aktuelle Zuspitzung erneuert den Blick auf ein Problem, das seit Jahrzehnten besteht: Unternehmen nutzen Open Source als Basis für den eigenen Geschäftserfolg. Manche wie Bambu Labs zeigen zudem ganz offen, dass sie auf die Gepflogenheiten und Regeln des offenen Ökosystems pfeifen, wenn es dem eigenen Geschäftsmodell dient. Und KI-Unternehmen, deren LLMs die Projekte mit Fehlermeldungen überschwemmen, haben ohnehin häufig genug gezeigt, dass sie hauptsächlich sich selbst verpflichtet sind.
Natürlich gibt es keinen Spendenzwang, schließlich ist „kostenlose Abgabe“ eines der Merkmale von Open-Source-Software (OSS). Aber ich finde, Firmen haben auch die Pflicht, Unterstützung zu gewähren – ob finanziell oder ideell durch Entwicklerstunden. Es wird also höchste Zeit für alle Nutznießer von Open Source, sich zu beteiligen. Denn wie jedes andere Ehrenamt lebt auch dieses von der Beteiligung. Und überlebt nur durch sie.
(cku)
此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。