GnuPG in der Kritik – Open Source ohne Offenheit

Die Entwickler von GnuPG haben sich einen schweren Schnitzer erlaubt und fast vergessene Erinnerungen an OpenSSL und Heartbleed geweckt. Wieder mal zeigt sich, dass Open Source kein Garant für Sicherheit ist und die Entwicklung oftmals Offenheit vermissen lässt.

Die Auswirkungen des Fehlers waren nicht sonderlich groß. Durch das Distributionsmodell von Linux hatte die Version 1.9.0 nicht viele Anwender erreicht. Lediglich Anwender mit Arch Linux dürften in größerem Umfang betroffen gewesen sein.

Das Problem besteht eher in dem, was durch den Fehler wieder mal zu Tage gefördert wurde. Die Entwickler scheinen moderne Security-Praktiken komplett zu missachten und der Code insgesamt in einem nicht besonders guten Zustand zu sein. Die älteren Linux-Nutzer dürften sich an OpenSSL und den Heartbleed-Bug erinnert fühlen.

Der schlechte Zustand von GnuPG ist nun auch kein wirklich Geheimnis und es gibt sogar Alternativen. Thunderbird hat in seiner neuen Version, die eine integrierte PGP-Implementierung enthält, bewusst auf GnuPG verzichtet. Problematisch ist hier – wie so oft – die konservative Grundeinstellung vieler Linux-Projekte, die fast schon sklavisch an allem festhält, was GNU im Namen trägt.

Nun kann man sicherlich darüber streiten, ob die Fehlerdiskussion über den richtigen Kanal erfolgte, aber auch hier zeigt sich wieder ein grundlegendes Problem vieler Open Source Projekte. Man führt Offenheit im Namen, meint damit aber meist nur die freie Lesbarkeit des Codes. Viele Projekte werden nach Gutsherrenmanier geführt, nach dem Motto „meine Arbeit, meine Regeln“. Beteiligung wird erschwert oder ist oft sogar gänzlich unerwünscht. Die ständige Forkerei ist hier mehr Symptom eines Problems, denn eine segensreiche Eigenschaft von Open Source und wird nur von eingefleischten Fans verklärt. Es ist oft leichter, ein Projekt zu spalten, als sich mit den derzeitigen oder ehemaligen Hauptentwicklern ins Benehmen zu setzen. Die Liste der Beispiele ist hier endlos lang.

Ohne jemandem zu nahe treten zu wollen, liegt das sicher auch daran, dass Sozialkompetenz und IT-Affinität nicht unbedingt Hand in Hand gehen. Die Kommunikationskultur im Internet ist allgemein verroht, aber die Art und Weise, wie in freien Projekten diskutiert wird, setzt dem oft die Krone auf. Der Fisch stinkt auch hier vom Kopf.

Die Gesellschaft diskutiert momentan viel über „openness“. Open Source als Idee ist da sicherlich ein relevanter Bestandteil, die Entwicklercommunity eher nicht.

3 Kommentare

    • Achja das alte „Wer nicht programmiert, darf nichts schreiben“. Das ist definitiv der offene Diskurs, der freie Software so sympathisch macht und sicherlich die Welt von den Segnungen der Community überzeugen wird.

  1. Am 19.01.2021 wurde die Version 1.9.0 veröffentlicht und schon 10 Tage später Fehler gefunden und beseitigt. Ein besseres Handling kann man sich wahrlich nicht vorstellen. Man denkt sich, wer guckt sich schon heutzutage den Quellkot an. Und sieh da, es gibt doch die Leute, die das tun. Unglaublich, aber Opensource Ansatz funktioniert tatsächlich!

Kommentieren Sie den Artikel

Ergänzungen dienen der Diskussion über die Inhalte des Artikels. Nachfragen, Anmerkungen und Ergänzungen sind dezidiert erwünscht. Ergänzungen werden vor der Veröffentlichung moderiert. Wir behalten uns vor Kommentare ohne inhaltlichen Bezug oder abseitige Diskussionen nicht zu veröffentlichen.

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein

Mehr aus dem Blog

Fedora Silverblue – Toolbox für grafische Anwendungen

Unveränderbare Linux-Systeme wie Fedora Silverblue nutzen als Standard Flatpak für Anwendungsinstallationen. Doch noch liegen nicht alle Anwendungen als Flatpak vor. Diese können dann entweder...

Fedora Silverblue im Praxistest

Ich liebe LTS-Distributionen, aber diese bewahren einen leider nicht vor defekten SSDs im Notebook. Da ich keine Vollsicherung der Systeme mache, sondern nur Datenbackups...

Neues Design bei Mozilla Thunderbird

Die Entwickler von Mozilla Thunderbird wagen sich an eine Modernisierung des überkommenen Designs. Dabei zeigen sich die alten Probleme der Open Source Entwicklung. Mangels...

systemd und TPM – Die Reise geht weiter

Auf der diesjährigen FOSDEM kündigte Lennart Poettering die Weiterentwicklung der TPM-basierten Sicherheitsfunktionen in systemd an. Die Vision eines neuen Linux nimmt immer mehr Gestalt...