Die Entwickler von GnuPG haben sich einen schweren Schnitzer erlaubt und fast vergessene Erinnerungen an OpenSSL und Heartbleed geweckt. Wieder mal zeigt sich, dass Open Source kein Garant für Sicherheit ist und die Entwicklung oftmals Offenheit vermissen lässt.
Die Auswirkungen des Fehlers waren nicht sonderlich groß. Durch das Distributionsmodell von Linux hatte die Version 1.9.0 nicht viele Anwender erreicht. Lediglich Anwender mit Arch Linux dürften in größerem Umfang betroffen gewesen sein.
Das Problem besteht eher in dem, was durch den Fehler wieder mal zu Tage gefördert wurde. Die Entwickler scheinen moderne Security-Praktiken komplett zu missachten und der Code insgesamt in einem nicht besonders guten Zustand zu sein. Die älteren Linux-Nutzer dürften sich an OpenSSL und den Heartbleed-Bug erinnert fühlen.
Der schlechte Zustand von GnuPG ist nun auch kein wirklich Geheimnis und es gibt sogar Alternativen. Thunderbird hat in seiner neuen Version, die eine integrierte PGP-Implementierung enthält, bewusst auf GnuPG verzichtet. Problematisch ist hier – wie so oft – die konservative Grundeinstellung vieler Linux-Projekte, die fast schon sklavisch an allem festhält, was GNU im Namen trägt.
Nun kann man sicherlich darüber streiten, ob die Fehlerdiskussion über den richtigen Kanal erfolgte, aber auch hier zeigt sich wieder ein grundlegendes Problem vieler Open Source Projekte. Man führt Offenheit im Namen, meint damit aber meist nur die freie Lesbarkeit des Codes. Viele Projekte werden nach Gutsherrenmanier geführt, nach dem Motto “meine Arbeit, meine Regeln”. Beteiligung wird erschwert oder ist oft sogar gänzlich unerwünscht. Die ständige Forkerei ist hier mehr Symptom eines Problems, denn eine segensreiche Eigenschaft von Open Source und wird nur von eingefleischten Fans verklärt. Es ist oft leichter, ein Projekt zu spalten, als sich mit den derzeitigen oder ehemaligen Hauptentwicklern ins Benehmen zu setzen. Die Liste der Beispiele ist hier endlos lang.
Ohne jemandem zu nahe treten zu wollen, liegt das sicher auch daran, dass Sozialkompetenz und IT-Affinität nicht unbedingt Hand in Hand gehen. Die Kommunikationskultur im Internet ist allgemein verroht, aber die Art und Weise, wie in freien Projekten diskutiert wird, setzt dem oft die Krone auf. Der Fisch stinkt auch hier vom Kopf.
Die Gesellschaft diskutiert momentan viel über “openness”. Open Source als Idee ist da sicherlich ein relevanter Bestandteil, die Entwicklercommunity eher nicht.
Dauernd dieser erhobene Zeigefinger – es nervt! Mach es einfach selbst besser…
Achja das alte “Wer nicht programmiert, darf nichts schreiben”. Das ist definitiv der offene Diskurs, der freie Software so sympathisch macht und sicherlich die Welt von den Segnungen der Community überzeugen wird.
Am 19.01.2021 wurde die Version 1.9.0 veröffentlicht und schon 10 Tage später Fehler gefunden und beseitigt. Ein besseres Handling kann man sich wahrlich nicht vorstellen. Man denkt sich, wer guckt sich schon heutzutage den Quellkot an. Und sieh da, es gibt doch die Leute, die das tun. Unglaublich, aber Opensource Ansatz funktioniert tatsächlich!