Forschende der Fachhochschule St. Pölten haben ein Tool entwickelt, das bei der Auswahl frei zugänglicher Software unterstützt. Die Plattform „health.crossd.tech“ identifiziert wichtige und kritische Open-Source-Software-Projekte und ermittelt durch automatische Analysen deren Gesundheitszustand. [...]
Open-Source-Software-Projekte (OSS) werden in unzähligen (heimischen) Unternehmen und öffentlichen Stellen verwendet. Bislang gab es keine effiziente Möglichkeit, den Gesundheitszustand von OSS einzusehen oder automatisch zu überprüfen. Die neue Online-Plattform CrOSSD (Towards a Critical Open-Source Software Database) macht das nun möglich und kann zur Entscheidungshilfe genutzt werden. Die Projektverantwortlichen vom Institut für IT-Sicherheitsforschung an der FH St. Pölten, Tobias Dam, Lukas Daniel Klausner und Sebastian Neumaier, haben damit einen Beitrag zur transparenten und kritischen Bewertung von OSS-Projekten geleistet.
„CroSSD soll OSS-Projekte unterstützen, die eigene Gesundheit zu beurteilen, aber auch Institutionen, Fördergeber:innen und anderen Akteur:innen helfen, kritischen OSS-Projekten Ressourcen für einen stabilen, resilienten Betrieb zur Verfügung zu stellen“, betont Tobias Dam, Hauptentwickler der Plattform.
Erste umfangreiche Analyse für OSS-Projekte
Das Ziel von CrOSSD war es, den Status Quo bezüglich der Gesundheit von (insbesondere kritischen) OSS-Projekten zu erheben. „Gesundheit“ wurde dabei durch verschiedene Metriken definiert, wie Stabilität, Resilienz, Sicherheit oder Compliance. Existierende Ansätze bieten dazu nur Metriken, Best Practices und gegebenenfalls Scores für einzelne Aspekte, aber es existierte keine umfangreiche Analyse, gesamtheitliche Betrachtung sowie laufende Auswertung dieser Metriken auf großen Open-Source-Projekten.
Anwendung von automatisierbaren Metriken
Die Ergebnisse der CrOSSD-Analysen bieten einen umfassenden Überblick über den Zustand von OSS-Projekten und erleichtern es Entwicklerinnen, Betreuerinnen und Interessengruppen, fundierte Entscheidungen zu treffen. Innerhalb der Plattform werden diverse Metriken angewendet, basierend auf folgenden Aspekten:
- Community: Indikatoren für die Gesundheit einer Community sind die Anzahl und Diversität der Mitwirkenden.
- Entwicklung und Aktivität: Aktivitätsindikatoren sind beispielsweise die von Mitwirkenden vorgenommenen Commits sowie Releases, Branches und Forks eines Projekts.
- Kritikalität: Wichtige Informationen sind hierbei die Abhängigkeiten eines Projekts sowie bekannte (Security-)Schwachstellen.
- Compliance: Compliance bezieht sich auf die Fähigkeit eines OSS-Projekts, stabil zu funktionieren. Indikatoren sind die Einhaltung von Best Practices und Sicherheitsrichtlinien.
netidee-Projektförderung
Die Forschenden erhielten für das innovative Projekt CrOSSD eine der begehrten Projektförderungen von netidee. Das Förderprogramm netidee ist Österreichs größte Internet-Förderaktion. Sie unterstützt Projekte, die wirksame Impulse für die Weiterentwicklung und Nutzung des Internets zur Unterstützung einer positiven gesellschaftlichen Entwicklung setzen.
Be the first to comment