GnuPG in der Kritik – Open Source ohne Offenheit

Die Entwickler von GnuPG haben sich einen schweren Schnitzer erlaubt und fast vergessene Erinnerungen an OpenSSL und Heartbleed geweckt. Wieder mal zeigt sich, dass Open Source kein Garant für Sicherheit ist und die Entwicklung oftmals Offenheit vermissen lässt.

Die Auswirkungen des Fehlers waren nicht sonderlich groß. Durch das Distributionsmodell von Linux hatte die Version 1.9.0 nicht viele Anwender erreicht. Lediglich Anwender mit Arch Linux dürften in größerem Umfang betroffen gewesen sein.

Das Problem besteht eher in dem, was durch den Fehler wieder mal zu Tage gefördert wurde. Die Entwickler scheinen moderne Security-Praktiken komplett zu missachten und der Code insgesamt in einem nicht besonders guten Zustand zu sein. Die älteren Linux-Nutzer dürften sich an OpenSSL und den Heartbleed-Bug erinnert fühlen.

Der schlechte Zustand von GnuPG ist nun auch kein wirklich Geheimnis und es gibt sogar Alternativen. Thunderbird hat in seiner neuen Version, die eine integrierte PGP-Implementierung enthält, bewusst auf GnuPG verzichtet. Problematisch ist hier – wie so oft – die konservative Grundeinstellung vieler Linux-Projekte, die fast schon sklavisch an allem festhält, was GNU im Namen trägt.

Nun kann man sicherlich darüber streiten, ob die Fehlerdiskussion über den richtigen Kanal erfolgte, aber auch hier zeigt sich wieder ein grundlegendes Problem vieler Open Source Projekte. Man führt Offenheit im Namen, meint damit aber meist nur die freie Lesbarkeit des Codes. Viele Projekte werden nach Gutsherrenmanier geführt, nach dem Motto „meine Arbeit, meine Regeln“. Beteiligung wird erschwert oder ist oft sogar gänzlich unerwünscht. Die ständige Forkerei ist hier mehr Symptom eines Problems, denn eine segensreiche Eigenschaft von Open Source und wird nur von eingefleischten Fans verklärt. Es ist oft leichter, ein Projekt zu spalten, als sich mit den derzeitigen oder ehemaligen Hauptentwicklern ins Benehmen zu setzen. Die Liste der Beispiele ist hier endlos lang.

Ohne jemandem zu nahe treten zu wollen, liegt das sicher auch daran, dass Sozialkompetenz und IT-Affinität nicht unbedingt Hand in Hand gehen. Die Kommunikationskultur im Internet ist allgemein verroht, aber die Art und Weise, wie in freien Projekten diskutiert wird, setzt dem oft die Krone auf. Der Fisch stinkt auch hier vom Kopf.

Die Gesellschaft diskutiert momentan viel über „openness“. Open Source als Idee ist da sicherlich ein relevanter Bestandteil, die Entwicklercommunity eher nicht.

3 Kommentare

    • Achja das alte „Wer nicht programmiert, darf nichts schreiben“. Das ist definitiv der offene Diskurs, der freie Software so sympathisch macht und sicherlich die Welt von den Segnungen der Community überzeugen wird.

  1. Am 19.01.2021 wurde die Version 1.9.0 veröffentlicht und schon 10 Tage später Fehler gefunden und beseitigt. Ein besseres Handling kann man sich wahrlich nicht vorstellen. Man denkt sich, wer guckt sich schon heutzutage den Quellkot an. Und sieh da, es gibt doch die Leute, die das tun. Unglaublich, aber Opensource Ansatz funktioniert tatsächlich!

Kommentarfunktion ist geschlossen.

Mehr aus dem Blog

Firmware Updates (BIOS) mit fwupd

Mein privates Hauptgerät ist schon länger ein HP EliteBook G7. Firmware-Updates für einzelne Hardwarekomponenten gab es schon länger via fwupd, aber nun geht darüber...

Boxcryptor von Dropbox übernommen

Ein bisschen untergegangen ist bei mir und vielen anderen vermutlich die Meldung, dass Dropbox von der Secomba GmbH deren Produkt Boxcryptor erworben hat. Das...

Firmen benötigen kein „zweites Leben“ mit Linux

Heise bringt mal wieder eine Serie zum Umstieg auf Linux. Dieses mal für Unternehmen im Angesicht der Windows 11-Migration. Das geht völlig am Thema...

Warum man „Face unlock“ mit einem Google Pixel 7 nicht nutzen sollte

Biometrische Entschlüsselung ist ein Thema für sich. Selbst wenn man dem nicht gänzlich ablehnend gegenüber steht, sollte man nicht leichtfertig jede Lösung nutzen. Gesichtserkennung...