supply chain

overworked and volunteer maintainers

Obwohl der Artikel von Randy Bias, betitelt »Avoiding a Geopolitical Open Source Apocalypse«, schon etwas zurückliegt - er wurde im Oktober 2024 veröffentlicht - bleibt er nach wie vor relevant. Die Publikation ist auf thenewstack.io zu finden und liefert gute Gedankenanstöße bzgl der Zusammenarbeit der Ost- und Westmächte für ein gemeinsames sicheres Open-Source-Ökosystem. Some think that open source software is generally more secure, but is it? Open source software mainly made in the West has well-documented security issues of its own, due in part to its heavy reliance on overworked and volunteer maintainers. Securing open source software requires time, energy and diligence. Unfortunately, many projects are very thinly resourced and lack the expertise required to look for security risks diligently. ...

Abhängigkeiten sogar um das Fünf- bis Sechsfache erhöhen

Robert Lippert schreibt in »Entwickler ertrinken in technischen Schulden« für heise.de Die Ursachen für Sicherheitsprobleme sind laut Studie dabei nicht so eindeutig identifizierbar, wie viele Menschen meinen. 70,2 Prozent der untersuchten Anwendungen weisen sicherheitsrelevante Fehler in Drittanbietercode auf, wie eingebundenen Bibliotheken oder quelloffenem Code; doch auch unternehmenseigene Anwendungen sind zu 63,4 Prozent mit Fehlern ihrer Development-Teams belastet. Die Anzahl der direkten und transitiven Abhängigkeiten variiert dabei je nach Programmiersprache, wobei die “Abhängigkeiten der Abhängigkeiten” in den meisten Fällen die Lieferkette verdoppeln. Sprachen wie Java und JavaScript können die Zahl der Abhängigkeiten sogar um das Fünf- bis Sechsfache erhöhen. ...

world’s greatest software supply chain

Justin Dorfman schreibt in »When Open Source turns sour: A brush with mistaken identity« für opensource.net Open Source is undoubtedly one of the best communities I’ve ever had the pleasure of being a part of. It’s filled with amazing people who genuinely care about the world’s greatest software supply chain. However, this also attracts negative elements, which can lead to finger-pointing that inadvertently harms innocent contributors, the sustainability of the ecosystem, and, most importantly, the community. ...