OpenSSL Software Foundation fordert mehr finanzielle Unterstützung

Der Präsident der OpenSSL Software Foundation, Steve Marquess, verlangt von Unternehmen und Behörden, die OpenSSL einsetzen, mehr finanzielle Unterstützung. Nur so könne verhindert werden, dass sich ein folgenschwerer Fehler wie Heartbleed wiederhole.

Nach Bekanntwerden der OpenSSL-Lücke hatte die OpenSSL Software Foundation in der vergangenen Woche zahlreiche Spenden von Privatpersonen erhalten, die sich allerdings nur auf etwa 9000 Dollar summierten. Marquess zufolge reichen solche kleinen Spenden für das Projekt nicht aus, selbst wenn sie kontinuierlich in diesem Umfang fließen würden. „Es ist nicht einmal ansatzweise genug, um das erforderliche Maß an Arbeitskräften zu erhalten, das ein solch komplexes und kritisches Software-Produkt benötigt“, schreibt er in einem Blogeintrag.

Die Last, das Projekt zu unterstützen, dürfe nicht auf den Schultern von Individuen liegen, sondern auf denen von Unternehmen und Regierungen, so Marquess weiter. „Diejenigen, die tatsächlich Ressourcen beisteuern sollten, sind die Wirtschaftsunternehmen und Regierungen, die OpenSSL ausgiebig einsetzen und es für selbstverständlich halten.“

Vor allem die Fortune-1000-Firmen, die OpenSSL nutzen und nie zu Open Source beigetragen haben, bekommen von Marquess ihr Fett weg: „Ich meine diejenigen, die OpenSSL in ihre Firewall-, Appliance-, Cloud-, Finanz- und Sicherheitsprodukte integrieren, die sie mit Profit verkaufen, und/oder an diejenigen, die es nutzen, um ihre interne Infrastruktur und Kommunikation abzusichern. Diejenigen, die kein eigenes Team von Programmierern unterhalten müssen, um über Kryptografie-Code zu streiten, und uns dann wegen kostenlosen Beratungsdiensten anmeckern, weil sie selbst nicht herausfinden, wie es zu nutzen ist. Diejenigen, die nie einen Finger gerührt haben, um zur Open-Source-Community beizutragen, die ihnen dieses Geschenk gemacht hat. Sie wissen, wer Sie sind.“

Aktuell erhält die Stiftung in erster Linie Geld aus Support-Verträgen, die bei 20.000 Dollar pro Jahr und 250 Dollar pro Arbeitsstunde starten. Hinzu kommen Spenden, die sich auf jährlich rund 2000 Dollar belaufen. Die meiste Entwicklungsarbeit konzentriert sich aber auf bestimmte Funktionen, statt auf die Verbesserung von OpenSSL im Allgemeinen.

Laut Marquess benötigt das Projekt mindestens ein halbes Dutzend Vollzeitkräfte, um es besser zu verwalten. Außerdem bedürfe es einer besonderer Persönlichkeit, um mit der bisherigen Finanzausstattung zu arbeiten. „Es braucht Nerven aus Stahl, um viele Jahre an hunderttausenden Zeilen sehr komplexen Codes zu arbeiten, wobei jede Zeile, die du veränderst, für die ganze Welt sichtbar ist, und du weißt, dass der Code von Banken, Firewalls, Waffensystemen, Websites, Smartphones, von Industrie, Regierungsbehörden und praktisch überall eingesetzt wird. Du weißt, dass du ignoriert und nicht gewürdigt wirst, bis etwas schief geht. Die Kombination aus einer solchen Persönlichkeit, um diese Art Druck auszuhalten, den nötigen technischen Fähigkeiten und der Erfahrung, um effizient an solch einer Software zu arbeiten, ist ein seltenes Gut, und diejenigen, die dies in sich vereinen, sind wahrscheinlich eine hochgeschätzte, gut bezahlte und neidisch beäugte Ressource irgendeines Unternehmens oder einer guten Sache.“

Als Reaktion auf Kommentare, dass OpenSSL einen Flüchtigkeitsfehler begangen habe, der das Internet gefährde, sagte Marquess, dass es kein Geheimnis sei, dass überarbeitete OpenSSL-Freiwillige den Fehler übersehen haben, aber dies nicht öfter vorgekommen sei. „Angesichts der weiten Verbreitung von OpenSSL für viele Jahre ist dies immer noch eine exzellente Bilanz. Zwei Jahre sind vergangenen, bis Google mit seinen eindrucksvollen technischen Ressourcen und Talenten (und kurz darauf Codenomicon) den Fehler entdeckt hat.“

Marquess‘ Aufruf spiegelt ähnliche Probleme des OpenBSD-Projekts von Anfang des Jahres wider. Im Januar hatte OpenBSD-Gründer und -Leiter Theo de Raadt gewarnt, dass OpenBSD schließen werde, falls das Geld für seine Stromrechnung nicht aufgetrieben werden könne. „Obwohl die ‚kleinen Leute‘ unsere Bemühungen finanzieren, werden viele der Dinge, die wir in OpenBSD machen, oft in Produkte von Multi-Millionen-Dollar-Unternehmen integriert“, sagte de Raadt damals. „Hier geht es nicht um ein BSD-gegen-GPL-Problem, es geht schlicht um einen Mangel an gutem Willen, etwas, dass man nicht mittels einer Lizenz anordnen kann. Ein Mangel an gutem Willen ist faktisch böser Wille.“

Knapp eine Woche später hatte das Projekt 100.000 kanadische Dollar gesammelt, wobei Google und ein rumänischer BitCoin-Nutzer zu den größten Spendern zählen. Aktuell übertrifft das Ergebnis der Spendenkampagne der OpenBSD Foundation für 2014 mit 153.000 kanadischen Dollar das Ziel von 150.000 Dollar.

Die Open-Source-Stiftung GNOME Foundation kündigte jetzt an, bis Juli alle Ausgaben einzufrieren, die nicht als essenziell für den laufenden Betrieb gelten. Ein Programm zur Förderung von Programmiererinnen hat ihre Geldreserven erschöpft. Regelmäßig zahlt sie Praktikumslöhne aus, wenn Unternehmen ihre Praktikanten noch nicht bezahlt haben.

[mit Material von Chris Duckett, ZDNet.com]

Tipp: Wie gut kennen Sie sich mit Open-Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.