Open Source: Wer bezahlt die Sicherheit unserer digitalen Infrastruktur?

Open Source ist nicht kostenlos. Wir zahlen lediglich nicht dafür. Aber wer betreut eigentlich die Betreuer?

Bild: Getty Images / Credits: AnnaStills

In der Welt der Software passen viele Dinge nicht zusammen. Die Qualifikationslücke bleibt hartnäckig groß, wobei IT- und Datenkompetenzen am schwersten zu besetzen sind – und das bereits seit vielen Jahren. Gleichzeitig gehen jedoch Einstiegspositionen zurück – nicht erst seit KI.

Dieser Wandel war sowohl rasant als auch tiefgreifend. Die Linux Foundation stellte fest, dass 72 % der Unternehmen im Jahr 2025 der Weiterqualifizierung Vorrang vor Neueinstellungen einräumten, gegenüber 48 % im Vorjahr.

Entwickler verlassen sich zunehmend auf Open Source, um ihre Fähigkeiten öffentlich gegenüber einem schrumpfenden Kreis potenzieller Arbeitgeber unter Beweis zu stellen, doch diese Arbeit ist oft unbezahlt und wird in die Freizeit gequetscht.

Dieselben Arbeitgeber nutzen Open-Source-Software in großem Umfang, tragen jedoch nicht immer in nennenswertem Maße zu deren Pflege bei. Unterdessen birgt der Engpass in der Qualifikationspipeline Probleme für die Zukunft.

„Angesichts einer sinkenden Zahl offener Stellen für Nachwuchsentwickler – offenbar eine Folge der Fähigkeit von KI, viele der eher routinemäßigen und formelhaften Aufgaben zu übernehmen – entsteht die Herausforderung, praktische Erfahrung aufzubauen, um das Lernen zu ermöglichen, das durch die Erledigung eben dieser Aufgaben und den schrittweisen Aufbau von Fähigkeiten gewonnen wird“, schreibt Amanda Brock, CEO der gemeinnützigen Interessenvertretung OpenUK, im Vorwort zu ihrem neuesten Kompetenzbericht.

„Ironischerweise herrscht gleichzeitig ein Mangel an Personal mit bestimmten Fähigkeiten.“

Open Source – Mehr als nur eine Option

Open Source ist geschäftskritisch – mehr als 90 % des Codes (selbst in proprietären Produkten) sind Open Source, und die führenden Sicherheitsprotokolle und Bibliotheken sind alle offen – dennoch wird es oft als optional behandelt. Die Menschen, die es schreiben und pflegen, sind im Großen und Ganzen unbezahlt, unsichtbar und erhalten keine Unterstützung.

Dennoch nehmen die Aktivitäten im Vereinigten Königreich zu. OpenUK berichtet, dass die Zahl der Personen, die mindestens einen Beitrag zu Open-Source-Projekten leisten, seit dem letzten Jahr um 7 % gestiegen ist. Dieses Muster wiederholt sich weitgehend auch in anderen Ländern.

Und für Arbeitssuchende ist das Bild nicht einseitig. Der Trend, dass Arbeitgeber den veröffentlichten Code eines Bewerbers prüfen, anstatt sich durch Berge von zunehmend generischen, GPT-generierten Lebensläufen zu wühlen, hat einige positive Aspekte.

Zum einen umgeht dies traditionelle Gatekeeper und ermöglicht es Entwicklern ohne Informatikhintergrund, Fuß zu fassen und eine Erfolgsbilanz aufzubauen.

Doch das Ökosystem scheint aus dem Gleichgewicht zu geraten, wobei die wenigen zunehmend von der unbezahlten Arbeit der vielen profitieren.

Wer kümmert sich um die Betreuer?

Jede neue Codebasis, die an Bedeutung gewinnt, benötigt mindestens einen zuverlässigen Betreuer, der langfristig die Codeüberprüfung, Sicherheitspatches, die Governance, die Festlegung der Roadmap und die Moderation der Community überwacht. Das ist eine große Verantwortung – und die Aufgabe wird immer mühsamer.

Jüngste Untersuchungen von Tidelift ergaben, dass die meisten Betreuer Freiwillige sind, bei denen Stress und Burnout an der Tagesordnung sind. In den letzten zwei Jahren hat sich die Arbeitsbelastung aufgrund der Menge an KI-generierten Pull-Anfragen und Issue-Berichten dramatisch erhöht. Der KI-generierte Code kann zudem schwieriger zu analysieren sein, was die Belastung der Betreuer weiter erhöht, und die KI hat (noch) keine zuverlässigen Tools hervorgebracht, die die Arbeit erleichtern. Da sie nicht bereit oder in der Lage sind, weiterhin unentgeltlich zu arbeiten, haben 60 % ihre Rolle aufgegeben oder erwägen dies.

Gleichzeitig war der Bedarf an Sicherheit angesichts organisierter Angreifer mit ausgefeilten Werkzeugen noch nie so groß wie heute.

Zusammenfassend lässt sich sagen, dass Open-Source-Software die digitale Wirtschaft stützt, aber von schlecht bezahlten, zeitlich stark eingeschränkten Einzelpersonen aufrechterhalten wird. Dies ist schon seit langem der Fall, doch die KI hat den Druck verstärkt, und es besteht die ernsthafte Gefahr, dass Betreuer aussteigen und nicht ersetzt werden, wodurch Kernprojekte verwundbar werden.

Unterdessen wird der Zustrom neuer Talente, die sich die erforderlichen Fähigkeiten im Rahmen ihrer Arbeit aneignen, abgestoppt.

Es gibt Stiftungen, die Kernprojekte und Initiativen beherbergen und unterstützen, wie den GitHub Secure Open Source Fund, GitHub Sponsors sowie Microsoft, Spotify und Bloomberg, die Projekte, auf die sie angewiesen sind, direkt finanziell unterstützen; im Großen und Ganzen ist dies jedoch nur die Spitze des Eisbergs. Die Mehrheit der Projekte, selbst wichtige und weit verbreitete, kommt mit minimalen Mitteln aus.

Auf dem Weg zu professionellen Betreuern

Ein Beispiel dafür, wie eine langfristige Finanzierung von Betreuern funktionieren kann, ist Rustls, eine in Rust geschriebene, speichersichere TLS-Bibliothek. Der Entwickler Joe Birr-Pixton entwickelte Rustls ursprünglich in seiner Freizeit, doch als das Projekt an Fahrt gewann, konnte er Finanzmittel vom Internet-Sicherheitsforschungsprojekt Prossimo und später administrative Unterstützung von der Rust Foundation erhalten. Schließlich kündigte er seinen Job, um hauptberuflich als Betreuer tätig zu werden.

„Durch die stabile Finanzierung konnte ich nicht nur Vollzeit an Rustls arbeiten, sondern es veränderte auch, zu welcher Art von Projekt Rustls werden konnte“, erklärte er gegenüber Computing.

„Auch wenn diese Art der Finanzierung nach wie vor eine Ausnahme darstellt und in der Politik der britischen Regierung auffällig fehlt, hat uns die Finanzierung kritischer Open-Source-Infrastruktur als öffentliches Gut an diesen Punkt gebracht. Die Rustls-Betreuer suchen weiterhin nach Finanzierungsquellen, um unsere zukünftige Arbeit zu unterstützen.“

Es gibt auch andere Wege. Fillipo Valsorda verließ Google auf der Suche nach einem nachhaltigen Ansatz für die Open-Source-Pflege und wurde ein hauptberuflicher, unabhängiger professioneller Open-Source-Betreuer, den man auch für Projekte mieten kann.

Doch strukturelle Probleme bleiben bestehen. Aufeinanderfolgende Regierungen haben der Bedeutung von Open Source zwar Lippenbekenntnisse gezollt, doch es muss noch mehr getan werden, um das Modell nachhaltig zu gestalten. Zu den Optionen gehören die Einrichtung eines britischen Open-Source-Infrastrukturfonds, um wirkungsvollen Projekten und Betreuern vorhersehbare Unterstützung zu bieten, die Schaffung von Anreizen für Organisationen, Entwicklerzeit für die von ihnen genutzten Projekte aufzuwenden, sowie die Förderung des „Maintainership“ als Beruf.

Jennifer Barth, Forschungsdirektorin bei OpenUK, sagte: „Letztendlich hat Open Source bereits seine Fähigkeit unter Beweis gestellt, Kompetenzen aufzubauen, Chancen zu schaffen und Innovation in großem Maßstab zu untermauern. Die Herausforderung besteht nun darin, sicherzustellen, dass die Menschen hinter diesem System nicht länger im Verborgenen bleiben.“

Dieser Artikel erschien ursprünglich auf unserer Schwester-Website MES Computing / CRN / Computing.