CrOSSD analysiert Gesundheitszustand von Open-Source-Projekten

Forschende der Fachhochschule St. Pölten haben ein Tool entwickelt, das bei der Auswahl frei zugänglicher Software unterstützt. Die Plattform „health.crossd.tech“ identifiziert wichtige und kritische Open-Source-Software-Projekte und ermittelt durch automatische Analysen deren Gesundheitszustand. [...]

von links nach rechts: Tobias Dam, Sebastian Neumaier und Lukas Daniel Klausner wollen mit CrOSSD einen Beitrag zur transparenten und kritischen Bewertung von Open-Source-Software-Projekte leisten. (c) FH St. Pölten

Open-Source-Software-Projekte (OSS) werden in unzähligen (heimischen) Unternehmen und öffentlichen Stellen verwendet. Bislang gab es keine effiziente Möglichkeit, den Gesundheitszustand von OSS einzusehen oder automatisch zu überprüfen. Die neue Online-Plattform CrOSSD (Towards a Critical Open-Source Software Database) macht das nun möglich und kann zur Entscheidungshilfe genutzt werden. Die Projektverantwortlichen vom Institut für IT-Sicherheitsforschung an der FH St. Pölten, Tobias Dam, Lukas Daniel Klausner und Sebastian Neumaier, haben damit einen Beitrag zur transparenten und kritischen Bewertung von OSS-Projekten geleistet.

„CroSSD soll OSS-Projekte unterstützen, die eigene Gesundheit zu beurteilen, aber auch Institutionen, Fördergeber:innen und anderen Akteur:innen helfen, kritischen OSS-Projekten Ressourcen für einen stabilen, resilienten Betrieb zur Verfügung zu stellen“, betont Tobias Dam, Hauptentwickler der Plattform.

Erste umfangreiche Analyse für OSS-Projekte

Das Ziel von CrOSSD war es, den Status Quo bezüglich der Gesundheit von (insbesondere kritischen) OSS-Projekten zu erheben. „Gesundheit“ wurde dabei durch verschiedene Metriken definiert, wie Stabilität, Resilienz, Sicherheit oder Compliance. Existierende Ansätze bieten dazu nur Metriken, Best Practices und gegebenenfalls Scores für einzelne Aspekte, aber es existierte keine umfangreiche Analyse, gesamtheitliche Betrachtung sowie laufende Auswertung dieser Metriken auf großen Open-Source-Projekten.

Anwendung von automatisierbaren Metriken

Die Ergebnisse der CrOSSD-Analysen bieten einen umfassenden Überblick über den Zustand von OSS-Projekten und erleichtern es Entwicklerinnen, Betreuerinnen und Interessengruppen, fundierte Entscheidungen zu treffen. Innerhalb der Plattform werden diverse Metriken angewendet, basierend auf folgenden Aspekten:

  • Community: Indikatoren für die Gesundheit einer Community sind die Anzahl und Diversität der Mitwirkenden.
  • Entwicklung und Aktivität: Aktivitätsindikatoren sind beispielsweise die von Mitwirkenden vorgenommenen Commits sowie Releases, Branches und Forks eines Projekts.
  • Kritikalität: Wichtige Informationen sind hierbei die Abhängigkeiten eines Projekts sowie bekannte (Security-)Schwachstellen.
  • Compliance: Compliance bezieht sich auf die Fähigkeit eines OSS-Projekts, stabil zu funktionieren. Indikatoren sind die Einhaltung von Best Practices und Sicherheitsrichtlinien.

netidee-Projektförderung

Die Forschenden erhielten für das innovative Projekt CrOSSD eine der begehrten Projektförderungen von netidee. Das Förderprogramm netidee ist Österreichs größte Internet-Förderaktion. Sie unterstützt Projekte, die wirksame Impulse für die Weiterentwicklung und Nutzung des Internets zur Unterstützung einer positiven gesellschaftlichen Entwicklung setzen.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*