CrOSSD analysiert Gesundheitszustand von Open-Source-Projekten

Forschende der Fachhochschule St. Pölten haben ein Tool entwickelt, das bei der Auswahl frei zugänglicher Software unterstützt. Die Plattform „health.crossd.tech“ identifiziert wichtige und kritische Open-Source-Software-Projekte und ermittelt durch automatische Analysen deren Gesundheitszustand. [...]

von links nach rechts: Tobias Dam, Sebastian Neumaier und Lukas Daniel Klausner wollen mit CrOSSD einen Beitrag zur transparenten und kritischen Bewertung von Open-Source-Software-Projekte leisten. (c) FH St. Pölten

Open-Source-Software-Projekte (OSS) werden in unzähligen (heimischen) Unternehmen und öffentlichen Stellen verwendet. Bislang gab es keine effiziente Möglichkeit, den Gesundheitszustand von OSS einzusehen oder automatisch zu überprüfen. Die neue Online-Plattform CrOSSD (Towards a Critical Open-Source Software Database) macht das nun möglich und kann zur Entscheidungshilfe genutzt werden. Die Projektverantwortlichen vom Institut für IT-Sicherheitsforschung an der FH St. Pölten, Tobias Dam, Lukas Daniel Klausner und Sebastian Neumaier, haben damit einen Beitrag zur transparenten und kritischen Bewertung von OSS-Projekten geleistet.

„CroSSD soll OSS-Projekte unterstützen, die eigene Gesundheit zu beurteilen, aber auch Institutionen, Fördergeber:innen und anderen Akteur:innen helfen, kritischen OSS-Projekten Ressourcen für einen stabilen, resilienten Betrieb zur Verfügung zu stellen“, betont Tobias Dam, Hauptentwickler der Plattform.

Erste umfangreiche Analyse für OSS-Projekte

Das Ziel von CrOSSD war es, den Status Quo bezüglich der Gesundheit von (insbesondere kritischen) OSS-Projekten zu erheben. „Gesundheit“ wurde dabei durch verschiedene Metriken definiert, wie Stabilität, Resilienz, Sicherheit oder Compliance. Existierende Ansätze bieten dazu nur Metriken, Best Practices und gegebenenfalls Scores für einzelne Aspekte, aber es existierte keine umfangreiche Analyse, gesamtheitliche Betrachtung sowie laufende Auswertung dieser Metriken auf großen Open-Source-Projekten.

Anwendung von automatisierbaren Metriken

Die Ergebnisse der CrOSSD-Analysen bieten einen umfassenden Überblick über den Zustand von OSS-Projekten und erleichtern es Entwicklerinnen, Betreuerinnen und Interessengruppen, fundierte Entscheidungen zu treffen. Innerhalb der Plattform werden diverse Metriken angewendet, basierend auf folgenden Aspekten:

  • Community: Indikatoren für die Gesundheit einer Community sind die Anzahl und Diversität der Mitwirkenden.
  • Entwicklung und Aktivität: Aktivitätsindikatoren sind beispielsweise die von Mitwirkenden vorgenommenen Commits sowie Releases, Branches und Forks eines Projekts.
  • Kritikalität: Wichtige Informationen sind hierbei die Abhängigkeiten eines Projekts sowie bekannte (Security-)Schwachstellen.
  • Compliance: Compliance bezieht sich auf die Fähigkeit eines OSS-Projekts, stabil zu funktionieren. Indikatoren sind die Einhaltung von Best Practices und Sicherheitsrichtlinien.

netidee-Projektförderung

Die Forschenden erhielten für das innovative Projekt CrOSSD eine der begehrten Projektförderungen von netidee. Das Förderprogramm netidee ist Österreichs größte Internet-Förderaktion. Sie unterstützt Projekte, die wirksame Impulse für die Weiterentwicklung und Nutzung des Internets zur Unterstützung einer positiven gesellschaftlichen Entwicklung setzen.


Mehr Artikel

News

Jahrelanges Katz-und-Maus-Spiel zwischen Hackern und Verteidigern

Sophos hat den umfangreichen Forschungsbericht „Pacific Rim“ veröffentlicht, der detailliert ein jahrelanges Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit mehreren staatlich unterstützten Cybercrime-Gruppierungen aus China beschreibt. Im Lauf der Auseinandersetzung entdeckte Sophos ein riesiges, gegnerisches Cybercrime-Ökosystem. […]

News

Salesforce kündigt autonome KI-Agenten an

Agentforce soll es Unternehmen ermöglichen, autonome KI-Agenten für zahlreiche Unternehmensfunktionen zu entwickeln und einzusetzen. So bearbeitet Agentforce beispielsweise selbstständig Kundenanliegen, qualifiziert Vertriebsleads und optimiert Marketingkampagnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*