Kritische Open-Source-Projekte identifizieren
Forschende der FH St. Pölten entwickelten neue Online-Plattform
CroSSD-Forschungsteam & FH St. Pölten |
St. Pölten (pts008/23.07.2024/09:00)
Forschende der Fachhochschule St. Pölten entwickelten ein Tool, das bei der Auswahl frei zugänglicher Software unterstützt: die Plattform "health.crossd.tech" identifiziert wichtige und kritische Open-Source-Software-Projekte (OSS) und ermittelt durch automatische Analysen deren "Gesundheitszustand". Die Plattform entstand im Forschungsprojekt "CrOSSD" (Towards a Critical Open-Source Software Database) und wurde von netidee gefördert.
Open-Source-Software-Projekte werden in unzähligen (heimischen) Unternehmen und öffentlichen Stellen verwendet. Bislang gab es keine effiziente Möglichkeit, den Gesundheitszustand von OSS einzusehen oder automatisch zu überprüfen. Die neue Online-Plattform CrOSSD macht das nun möglich und kann zur Entscheidungshilfe genutzt werden.
Die Projektverantwortlichen vom Institut für IT-Sicherheitsforschung an der FH St. Pölten, Tobias Dam, Lukas Daniel Klausner und Sebastian Neumaier, haben damit einen Beitrag zur transparenten und kritischen Bewertung von OSS-Projekten geleistet.
"CroSSD soll OSS-Projekte unterstützen, die eigene 'Gesundheit' zu beurteilen, aber auch Institutionen, Fördergeber*innen und anderen Akteur*innen helfen, kritischen OSS-Projekten Ressourcen für einen stabilen, resilienten Betrieb zur Verfügung zu stellen", betont Tobias Dam, Hauptentwickler der Plattform.
Erste umfangreiche Analyse für OSS-Projekte
Das Ziel von CrOSSD war es, den Status quo bezüglich der "Gesundheit" von (insbesondere: kritischen) OSS-Projekten zu erheben. "Gesundheit" wurde durch verschiedene Metriken definiert, wie Stabilität, Resilienz, Sicherheit oder Compliance. Existierende Ansätze bieten dazu nur Metriken, Best Practices und gegebenenfalls Scores für einzelne Aspekte, aber es existierte keine umfangreiche Analyse, gesamtheitliche Betrachtung sowie laufende Auswertung dieser Metriken auf großen Open-Source-Projekten.
Anwendung von automatisierbaren Metriken
Innerhalb der Plattform werden diverse Metriken angewendet, basierend auf folgenden Aspekten:
- Community: Indikatoren für die Gesundheit einer Community sind die Anzahl und Diversität der Mitwirkenden.
- Entwicklung und Aktivität: Aktivitätsindikatoren sind beispielsweise die von Mitwirkenden vorgenommenen Commits sowie Releases, Branches und Forks eines Projekts.
- Kritikalität: Wichtige Informationen sind hierbei die Abhängigkeiten eines Projekts sowie bekannte (Security-)Schwachstellen.
- Compliance: Compliance bezieht sich auf die Fähigkeit eines OSS-Projekts, stabil zu funktionieren. Indikatoren sind die Einhaltung von Best Practices und Sicherheitsrichtlinien.
Die Ergebnisse bieten einen umfassenden Überblick über den Zustand von OSS-Projekten und erleichtern Entwickler*innen, Betreuer*innen und Interessengruppen, fundierte Entscheidungen zu treffen.
netidee-Projektförderung
Die Forschenden erhielten für das innovative Projekt CrOSSD eine der begehrten Projektförderungen von netidee. Das Förderprogramm netidee ist Österreichs größte Internet-Förderaktion. Sie unterstützt Projekte, die wirksame Impulse für die Weiterentwicklung und Nutzung des Internets zur Unterstützung einer positiven gesellschaftlichen Entwicklung setzen.
Weiterführende Links:
- Projektwebseite: https://crossd.tech
- CrOSSD-Plattform: https://health.crossd.tech
- netidee-Projektförderung: https://www.netidee.at/crossd
Aussender: | FH St. Pölten |
Ansprechpartner: | Maja Sito |
Tel.: | +43 (676) 847 228 265 |
E-Mail: | maja.sito@fhstp.ac.at |
Website: | www.fhstp.ac.at |