Wie sicher ist Open-Source-Software?
Das Forschungsprojekt CrOSSD2 am Institut für IT-Sicherheitsforschung der USTP – University of Applied Sciences St. Pölten liefert neue Einblicke in die Gesundheit kritischer Open-Source-Projekte und stärkt die Entscheidungsbasis für Entwickler, Unternehmen und öffentliche Einrichtungen.
Zusammenfassung (TL; DR):
- Das Forschungsprojekt CrOSSD2 der FH St. Pölten bewertet die Sicherheit und Stabilität von über 2.400 kritischen Open-Source-Projekten mittels KI-gestützter Analyse von Kommunikations- und Prozessdaten.
- Neben rein technischen Metriken fließen qualitative Faktoren wie Dokumentationsqualität und Community-Umgangston in die Analyse ein.
- Die Plattform bietet Unternehmen und Entwicklern eine fundierte Basis, um Risiken in Software-Lieferketten besser einschätzen zu können.
Open-Source-Software steckt heute in fast allen digitalen Anwendungen und Infrastrukturen. Gleichzeitig fehlt oft ein klarer Überblick darüber, wie stabil, sicher und nachhaltig einzelne Projekte tatsächlich sind. Genau hier setzt ein Forschungsteam der USTP – University of Applied Sciences St. Pölten an.
Im Rahmen des von netidee geförderten Projekts CroSSD2 (Extending the Critical Open-Source Software Database) wurde die bestehende Plattform CroSSD (Towards a Critical Open-Source Software Database) technisch und inhaltlich umfassend weiterentwickelt. Ziel ist es, die “Gesundheit” von Open-Source-Projekten nicht nur anhand technischer Kennzahlen, sondern auch anhand qualitativer Faktoren bewerten zu können.
Mehr als nur Commits und Aktivität
Bisher basierten viele Bewertungen von Open-Source-Projekten vor allem auf quantitativen Daten wie Anzahl der Entwickler, Commits (also dokumentierten Änderungen am Programmcode) oder Releases. Die Forschungsergebnisse von CrOSSD2 zeigen jedoch: Diese Kennzahlen allein reichen nicht aus.
“Die Qualität von Kommunikation, Dokumentation und Zusammenarbeit spielt eine zentrale Rolle für die langfristige Stabilität von Open-Source-Projekten”, erklärt Sebastian Neumaier, Projektleiter und Senior Researcher an der USTP.
Neumaier und sein Team (Lukas Daniel Klausner und Tobias Dam) entwickelten neue KI-gestützte Analyseverfahren, die qualitative Aspekte automatisiert bewerten können. Dazu zählen unter anderem, Freundlichkeit und Umgangston innerhalb der Community, Qualität der Dokumentation, Effizienz von Entwicklungsprozessen und Reifegrad eines Projekts. Die Plattform analysiert dafür große Mengen öffentlich verfügbarer Repository-Daten (Informationen und Aktivitäten aus Open-Source-Projektarchiven auf Plattformen wie GitHub) mithilfe von Natural Language Processing (NLP) und Large Language Modellen (LLM).
Einblicke in die Open-Source-Community
Ein Schwerpunkt von CrOSSD2 lag auf der Zusammenarbeit mit der internationalen Open-Source-Community. Dafür führte das Forschungsteam 22 Interviews mit Entwickler, Maintainer, Community-Manager und Vertretern aus Unternehmen durch. Die Gespräche zeigen ein differenziertes Bild davon, wie Menschen Qualität und Kritikalität von Open-Source-Software einschätzen. Besonders häufig nannten die Interviewpartner Faktoren, wie aktive Communities, gute Dokumentation, breite Nutzung, verlässliche Wartung und transparente Kommunikation. Überraschend komplex erwies sich die Frage, wann Software als “kritisch” gilt. Viele Befragte verbanden Kritikalität vor allem mit Abhängigkeiten innerhalb digitaler Infrastrukturen und den möglichen Folgen eines Ausfalls.
“Die Interviews machten deutlich, dass ein Werkzeug wie CrOSSD in der Praxis stark nachgefragt wird. Insbesondere angesichts immer komplexerer Software-Lieferketten und wachsender Sicherheitsanforderungen”, betont Neumaier.
Nutzen für Unternehmen und Entwickler
Die Plattform richtet sich gezielt an Menschen, die mit Open-Source-Software arbeiten oder Entscheidungen darüber treffen müssen. Entwickler und Unternehmen können unterschiedliche Frameworks oder Bibliotheken anhand nachvollziehbarer Gesundheitsmetriken vergleichen. Betreiber kritischer Infrastrukturen erhalten zusätzliche Informationen zu potenziellen Sicherheitsrisiken und Abhängigkeiten in ihren Software-Stacks.
Auch Fördergeber und öffentliche Einrichtungen profitieren von aggregierten Analysen und Gruppenvergleichen. Die Plattform ermöglicht beispielsweise einen Überblick über die Gesundheit netidee-geförderter Open-Source-Projekte. Aktuell umfasst CrOSSD mehr als 2.400 Open-Source-Projekte, rund 688.000 analysierte Dokumente und verwaltet rund 72 GB an Daten.
Internationale Vernetzung
Internationale Aufmerksamkeit erhielt das Projekt bei der CHAOSScon EU 2026 in Brüssel. Dort präsentierte das Forschungsteam die Ergebnisse vor Vertreter der internationalen Open-Source-Community, Forschenden und Unternehmen. Die dort geknüpften Kontakte und Diskussionen fließen bereits in die nächsten Entwicklungsschritte ein.
Forschung mit Wirkung: Folgeprojekte bereits in Vorbereitung
Die Ergebnisse aus CrOSSD2 bilden die Grundlage für weitere Forschungsprojekte an der USTP. Das Forschungsteam hat bereits das Folgeprojekt “DigiSov-CrOSSD” eingereicht, das die Plattform gezielt in Richtung digitale Souveränität und Sicherheitsbewertung weiterentwickeln soll. Gemeinsam mit Partner aus Wirtschaft und öffentlicher Verwaltung soll künftig untersucht werden, wie sich Risiken in Software-Lieferketten noch besser erkennen und bewerten lassen. Die Forschungsergebnisse aus CrOSSD2 werden zudem aktuell in wissenschaftlichen Publikationen aufgearbeitet und weiterentwickelt.
