Ob Smartphone-App oder große Serverarchitektur – Open-Source-Software steckt praktisch überall drin. Dennoch: Oft bleibt verborgen, wie robust oder gar zukunftsfähig viele dieser digitalen Grundbausteine eigentlich sind. Woran erkennt man, ob ein Open-Source-Projekt übersteht, gedeiht oder irgendwann einfach zerbröselt?
Die Fachleute der FH St. Pölten haben in der Forschungsinitiative CrOSSD2, unterstützt von netidee, die bestehende Open-Source-Datenbank CroSSD aufgerüstet. Das Ziel? Mehr Durchblick bieten, was Stabilität und sogenannte "Health Scores" betrifft.
Früher nutzte man hauptsächlich Metriken: "Wieviel wird hier überhaupt noch entwickelt? Wie viele Entwickler*innen bringen sich ein?" Aber, so zeigt CrOSSD2: Ein Haufen Commits sagt noch lange nichts über Zukunftssicherheit aus. Eine Community, die zwar fleißig programmiert, dabei aber im Chaos versinkt, ist nicht unbedingt gesund.
Der Leiter Sebastian Neumaier und sein Team haben deshalb KI-gestützte Verfahren entworfen, mit denen auch die "weichen" Faktoren prüfen: Respektvoller Umgangston, Qualität der Doku, Zusammenarbeit und Reifegrade. Zum Einsatz kamen Sprachverarbeitung und Large Language Models – quasi KI, die Textberge aus öffentlichen Entwickler-Archiven wie GitHub nach Hinweisen auf gute (oder schlechte) Zusammenarbeit durchwühlt.
Interessant: Die Forschenden haben über 20 Interviews mit Schlüsselpersonen aus der Open-Source-Szene geführt. Die Einschätzung, wann ein Projekt als "kritisch" gilt, ist erstaunlich subjektiv – hängt oft daran, wie viele andere abhängen und was passiert, wenn es ausfällt. Tja, ganz klar ist das Bild also nie.
Die Ergebnisse fließen in eine Plattform ein, auf der etwa Firmen oder IT-Abteilungen Open-Source-Frameworks miteinander vergleichen können. Der Vorteil: Es geht nicht nur darum, welche Bibliothek die meisten Nutzer hat, sondern auch darum, wie nachhaltig sie gepflegt wird und wie offen und freundlich die Kommunikation ist. Und wenn mal jemand wissen will, wie es netidee-geförderten Projekten so geht – auch das ist jetzt transparent. Das System analysiert inzwischen über 2.400 Projekte, hat mehr als 688.000 Dokumente erfasst und kommt auf satte 72 Gigabyte Datenmaterial.
Internationales Echo blieb nicht aus: Bei der CHAOSScon EU 2026 in Brüssel wurde das Projekt vorgestellt und diskutiert. Ein Hinweis darauf, dass auch anderswo Bedarf für solche Einblicke besteht.
Schon stehen die Zeichen auf Fortsetzung: Unter dem Namen DigiSov-CrOSSD will das Forschungsteam zusammen mit Wirtschaftspartnern und öffentlichen Stellen künftig noch präziser Risiken in Software-Lieferketten bewerten. Die Werkzeuge und Ergebnisse stehen wie gewohnt unter offenen Lizenzen bereit – so, wie es zur Open-Source-Idee eben passt.
Weitere Infos und direkte Links zu den Plattformen finden sich auf der Website der FH St. Pölten. (Ende)
Im Kern dreht sich das Projekt CrOSSD2 darum, Open-Source-Projekte auf ihre Nachhaltigkeit, Sicherheit und Verlässlichkeit hin umfassender zu bewerten – und zwar nicht nur nach Zahlen wie Commit-Häufigkeit, sondern auch nach qualitativen Faktoren wie Community-Kultur und Dokumentationsqualität. Gerade durch Interviews mit unterschiedlichen Akteuren zeigte sich, dass die Frage nach 'kritischer Software' viele Facetten hat und sich stark von individuellen Perspektiven und vorhandenen Systemabhängigkeiten leiten lässt. Neu ist: Mit fortschrittlichen KI-Methoden werden große Datenmengen aus Softwarearchiven analysiert, wodurch bislang schwer messbare Aspekte endlich quantifizierbar werden und konkrete Entscheidungshilfen für Unternehmen, Entwickler*innen und Institutionen bereitstehen. Zusätzlich sind Sicherheitsaspekte von Open-Source-Projekten zuletzt auch international stärker ins Licht gerückt. Zum Beispiel berichten aktuelle Medien darüber, wie Unternehmen und staatliche Institutionen ihre Lieferketten auf Schwachstellen überprüfen "müssen" und dabei zunehmend automatisierte Analysetools – ähnlich den im CrOSSD2-Projekt entwickelten Methoden – einsetzen. Laut einem aktuellen FAZ-Artikel verstärken Regierungen in Folge von spektakulären Sicherheitslücken (wie bei "XZ Utils") ihre Forderung, den Zustand, das Risiko und die Pflegeintensität von Open-Source-Komponenten permanent zu überwachen. Viele Unternehmen sind dabei, angepasste Prozesse zu integrieren und benutzen Methoden, die eine Mischung aus Community-Analyse, Aktivitätsmetriken und neuen KI-basierten Risikoindikatoren nutzen. Auch die Diskussion um digitale Souveränität wird so durch Projekte wie CrOSSD2 ganz praktisch befeuert.