OpenSSL Software Foundation fordert mehr finanzielle Unterstützung

Steve Marquess, Präsident der OpenSSL Software Foundation, nimmt vor allem Unternehmen und Behörden in die Pflicht. Sie setzten OpenSSL wie selbstverständlich ein, ohne je einen Beitrag geleistet zu haben. Laut Marquess benötigt das Projekt mindestens ein halbes Dutzend Vollzeitkräfte.

Der Präsident der OpenSSL Software Foundation, Steve Marquess, verlangt von Unternehmen und Behörden, die OpenSSL einsetzen, mehr finanzielle Unterstützung. Nur so könne verhindert werden, dass sich ein folgenschwerer Fehler wie Heartbleed wiederhole.

Nach Bekanntwerden der OpenSSL-Lücke hatte die OpenSSL Software Foundation in der vergangenen Woche zahlreiche Spenden von Privatpersonen erhalten, die sich allerdings nur auf etwa 9000 Dollar summierten. Marquess zufolge reichen solche kleinen Spenden für das Projekt nicht aus, selbst wenn sie kontinuierlich in diesem Umfang fließen würden. „Es ist nicht einmal ansatzweise genug, um das erforderliche Maß an Arbeitskräften zu erhalten, das ein solch komplexes und kritisches Software-Produkt benötigt“, schreibt er in einem Blogeintrag.

OpenSSL Logo (Bild: openssl.org)

Die Last, das Projekt zu unterstützen, dürfe nicht auf den Schultern von Individuen liegen, sondern auf denen von Unternehmen und Regierungen, so Marquess weiter. „Diejenigen, die tatsächlich Ressourcen beisteuern sollten, sind die Wirtschaftsunternehmen und Regierungen, die OpenSSL ausgiebig einsetzen und es für selbstverständlich halten.“

Vor allem die Fortune-1000-Firmen, die OpenSSL nutzen und nie zu Open Source beigetragen haben, bekommen von Marquess ihr Fett weg: „Ich meine diejenigen, die OpenSSL in ihre Firewall-, Appliance-, Cloud-, Finanz- und Sicherheitsprodukte integrieren, die sie mit Profit verkaufen, und/oder an diejenigen, die es nutzen, um ihre interne Infrastruktur und Kommunikation abzusichern. Diejenigen, die kein eigenes Team von Programmierern unterhalten müssen, um über Kryptografie-Code zu streiten, und uns dann wegen kostenlosen Beratungsdiensten anmeckern, weil sie selbst nicht herausfinden, wie es zu nutzen ist. Diejenigen, die nie einen Finger gerührt haben, um zur Open-Source-Community beizutragen, die ihnen dieses Geschenk gemacht hat. Sie wissen, wer Sie sind.“

Aktuell erhält die Stiftung in erster Linie Geld aus Support-Verträgen, die bei 20.000 Dollar pro Jahr und 250 Dollar pro Arbeitsstunde starten. Hinzu kommen Spenden, die sich auf jährlich rund 2000 Dollar belaufen. Die meiste Entwicklungsarbeit konzentriert sich aber auf bestimmte Funktionen, statt auf die Verbesserung von OpenSSL im Allgemeinen.

Laut Marquess benötigt das Projekt mindestens ein halbes Dutzend Vollzeitkräfte, um es besser zu verwalten. Außerdem bedürfe es einer besonderer Persönlichkeit, um mit der bisherigen Finanzausstattung zu arbeiten. „Es braucht Nerven aus Stahl, um viele Jahre an hunderttausenden Zeilen sehr komplexen Codes zu arbeiten, wobei jede Zeile, die du veränderst, für die ganze Welt sichtbar ist, und du weißt, dass der Code von Banken, Firewalls, Waffensystemen, Websites, Smartphones, von Industrie, Regierungsbehörden und praktisch überall eingesetzt wird. Du weißt, dass du ignoriert und nicht gewürdigt wirst, bis etwas schief geht. Die Kombination aus einer solchen Persönlichkeit, um diese Art Druck auszuhalten, den nötigen technischen Fähigkeiten und der Erfahrung, um effizient an solch einer Software zu arbeiten, ist ein seltenes Gut, und diejenigen, die dies in sich vereinen, sind wahrscheinlich eine hochgeschätzte, gut bezahlte und neidisch beäugte Ressource irgendeines Unternehmens oder einer guten Sache.“

Als Reaktion auf Kommentare, dass OpenSSL einen Flüchtigkeitsfehler begangen habe, der das Internet gefährde, sagte Marquess, dass es kein Geheimnis sei, dass überarbeitete OpenSSL-Freiwillige den Fehler übersehen haben, aber dies nicht öfter vorgekommen sei. „Angesichts der weiten Verbreitung von OpenSSL für viele Jahre ist dies immer noch eine exzellente Bilanz. Zwei Jahre sind vergangenen, bis Google mit seinen eindrucksvollen technischen Ressourcen und Talenten (und kurz darauf Codenomicon) den Fehler entdeckt hat.“

Marquess‘ Aufruf spiegelt ähnliche Probleme des OpenBSD-Projekts von Anfang des Jahres wider. Im Januar hatte OpenBSD-Gründer und -Leiter Theo de Raadt gewarnt, dass OpenBSD schließen werde, falls das Geld für seine Stromrechnung nicht aufgetrieben werden könne. „Obwohl die ‚kleinen Leute‘ unsere Bemühungen finanzieren, werden viele der Dinge, die wir in OpenBSD machen, oft in Produkte von Multi-Millionen-Dollar-Unternehmen integriert“, sagte de Raadt damals. „Hier geht es nicht um ein BSD-gegen-GPL-Problem, es geht schlicht um einen Mangel an gutem Willen, etwas, dass man nicht mittels einer Lizenz anordnen kann. Ein Mangel an gutem Willen ist faktisch böser Wille.“

Knapp eine Woche später hatte das Projekt 100.000 kanadische Dollar gesammelt, wobei Google und ein rumänischer BitCoin-Nutzer zu den größten Spendern zählen. Aktuell übertrifft das Ergebnis der Spendenkampagne der OpenBSD Foundation für 2014 mit 153.000 kanadischen Dollar das Ziel von 150.000 Dollar.

Die Open-Source-Stiftung GNOME Foundation kündigte jetzt an, bis Juli alle Ausgaben einzufrieren, die nicht als essenziell für den laufenden Betrieb gelten. Ein Programm zur Förderung von Programmiererinnen hat ihre Geldreserven erschöpft. Regelmäßig zahlt sie Praktikumslöhne aus, wenn Unternehmen ihre Praktikanten noch nicht bezahlt haben.

[mit Material von Chris Duckett, ZDNet.com]

Tipp: Wie gut kennen Sie sich mit Open-Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Open Source, OpenSSL.org

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

5 Kommentare zu OpenSSL Software Foundation fordert mehr finanzielle Unterstützung

Kommentar hinzufügen
  • Am 14. April 2014 um 23:11 von Tom

    Habe ich das richtig verstanden: Da bietet jemand kostenlose Software an, und beschwert sich jetzt, das keiner dafür zahlt?

    • Am 15. April 2014 um 0:32 von Silvio

      Ja das haben Sie richtig verstanden. Das Sie allerdings vorraussetzen die Welt selbst die OpenSource Welt könnte kostenlos arbeiten dann haben Sie diese Branche und Philosophie einfach nicht verstanden. Es gibt kein OpenSource Projekt das ohne Geld existieren würde. Ich persönlich zahle jährlich längst mehr Geld für Software als ich es noch unter Windows tat. Das mache ich, weil mich die Projekte überzeugen und ich einfach möchte das die Anwender weiterhin eine Chance auf ein akzeptables/gutes Produkt haben. Softwareentwicklung ist nicht nur Code, es gehört eine Menge mehr dazu die auch Geld kosten.

      Mfg

  • Am 15. April 2014 um 2:20 von Ronald

    Ja Tom, mit genügend Ignoranz im Bauch kann man das exakt so ausdrücken…
    Man könnte natürlich auch etwas Respekt einer Leistung aus Idealismus entgegenbringen, die trotz millionenfacher Verwendung, nicht die Mittel zum eigenen Erhalt auftreiben kann. Aber dazu müsste man vielleicht selber etwas idealistisch und selbstlos sein, und das wäre doch dumm, bringt einem ja nix …

  • Am 15. April 2014 um 8:53 von John

    Hallo Tom,
    gerade bei wichtigen Paketen wie openSSL ist es notwendig das diese Open Source sind. So können und schauen eine Vielzahl mehr Augen über den Code wodurch du dieser Software mehr Vertrauen entgegen bringen kannst als beispielsweise einer proprietären Version aus dem Hinterzimmer der NASA. Es gibt sicher viele Menschen die gerne ehrenamtlich an Open Source Projekten mithelfen. Bei komplexen und kritischen Projekten bei denen viel Zeit investiert werden muss, sind halt nicht mehr so viele Menschen zu finden die alles ehrenamtlich erledigen. Von irgendwas müssen diese Menschen ja auch Leben.

  • Am 15. April 2014 um 8:54 von John

    Natürlich war die NSA gemeint, nicht die NASA.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *