Open Source Software und deren Herausforderungen

Open Source Projekte brauchen eine starke Firma im Hintergrund, damit das Projekt langfristig überleben kann. Das ist zumindest meine Erkenntnis.

Es gibt auch die Möglichkeit durch eine Foundation, Stiftung o.ä. das zu schaffen, nur dann müssen genügend Sponsoren dauerhaft einzahlen wollen – also auch am Ende nichts anderes als würde es eine Firma selbst bezahlen, nur teilt man sich das kommerzielle Risiko mit anderen.

Die Community trägt gerne etwas bei, aber hauptberuflich Beschäftigte müssen von irgendwoher bezahlt werden. Das ist beim OpenOffice.org-Fork LibreOffice, Mozilla, Linux und deren Derivaten (Ubuntu) u.a. sehr gut zu sehen.

Wenn sich das Modell oder das wirtschaftliche Ziel ändert…

Manchmal ändern sich die Modelle und writschaftliche Interessen der Sponsoren hinter den Projekten und da gibt es dann die, die das gut machen und manche, die das total verreißen. Ich kann mich noch erinnern, als Sun Microsystems bei OpenOffice.org das Lizenzmodell änderte. Verlässlich war nur die Veränderung…. und irgendjemand fühlte sich immer auf den Schlips getreten.

Nun haben SmartBear und Tricentis auch OSS unter ihren Fittichen und da sieht man auch wieder, dass manche Firmen es können und andere eben nicht – Quelle: Dawid Dylowicz:

Damit wird es sichtbar, was manche IT-Manager auch von OSS abhält: Die Verlässlichkeit oder das einzugehende Risiko zu reduzieren.

Das Argument „(…) sollten wir nehmen, ist Open Source“ zieht manchmal bei Entwickelnden und Testenden, aber selten bei Entscheidern.

Insofern entscheide ich bspw. bei Werkzeugen/Software nicht danach, welches Lizenzmodell dahinter steckt und der Preis für das Werkzeug spielt auch eine Rolle, aber, entscheident ist eigentlich:

Erfüllt die Software meine Anforderungswünsche?!

Nur weil etwas open source ist, ist es nicht automatisch „gesetzt“, „umsonst“ und es nutzen auch nicht „alle“!

Vielmehr würde, wenn eine Software open source gestellt worden ist, die Transparenz gefördert und Fehlfunktionen oder auch Sicherheitslücken könnten von vielen gefunden werden. Das Projekt selber unterliegt aber natürlich wirtschaftlichen Interessen! Die, die als Sponsor auftreten wollen damit etwas erreichen. Open Source ist genauso wenig Demokratie, wenn diese nicht gelebt wird! Tote OSS Projekte findet man zu Hauf, wie auch vermeidlich „open“, wo nur der Code hingeschmissen wird, aber sonst niemand anderes auf die Weiterentwicklung  Einfluss hat.

Oftmals ist auch die open source Variante die kleine Schwester von „umständlich“, „hässlich“ und „Lockangebot“, wie im Fall von SOAP UI und ReadyAPI. Letzteres ist deutlich moderner, leistungsfähiger, aber eben nur Ersteres ist OSS….

Beim Selenium-Test-Framework bekommt man die API „umsonst“, aber der Support geht über Sponsoren und die wollen eben auch Geld verdienen. Viele Wekzeuge, die sich der API in den Unterbau gezogen haben, sind auch mitnichten open und schon gar nicht kostenlos.

Also, bitte, argumentiert mit der Leistungsfähigkeit der anzuschaffenden Software und blickt auch hinter das Sponsoring-Modell, denn, wie man oben schön sehen kann, kann es binnen eines Monats mit „open“ ganz schnell vorbei sein.

Endian UTM Mini 25 Firewall

Ich hatte mir schon länger überlegt, neben der obligatorischen Firewall im DSL-Router, eine ‚wirkliche‘ Firewall vor meinen Switch zu hängen, da das Vertrauen immer weiter sinkt (siehe Cyberattacke 2016).

CISCO (Breach 2020) und auch Zyxel (letztere mochte ich noch nie und Backdoors sind auch eine ganz tolle Idee) kamen nicht infrage und da bekam ich die Empfehlung einer Endian Firewall:

Endian Firewall Community präsentiert sich als schlüsselfertige, Linux-basierte Sicherheits-Software für den Heimbereich sowie für kleine Netzwerke. Wirft man allerdings einen Blick in die Foren, so sieht man, dass die Firewall durchaus auch in größeren Netzwerken zum Einsatz kommt. Mit EFW lässt sich jede Hardware-Appliance in eine vollwertige Unified-Threat-Management-Lösung (UTM) verwandeln. Mittlerweile verzeichnet die Firewall über 2 Millionen Downloads weltweit.

Quelle: Linux Magazin 5/2021, besucht 30.5.2021

Ich habe das kleine Stück schon im November 2020 erworben, also eine Variante mit Appliance und Support (ich bin in solchen Dingen nicht mehr so fit wie vor 20 Jahren und brauche Support :-). Leider störte mich an der UTM Mini 25 der Lüfter und habe ihn einfach abgeklemmt. Danach habe ich die Luftzirkulation verändert, indem ich neben dem Kühlkörper des Prozessors Löcher hineingebohrt habe (ja, das Gerät ist niegelnagelneu, mir egal, ich hasse Lüftergeräusche :-)). So wird die warme Luft über dem Kühlkörper von alleine abgegeben. Frage auch an den Distributor (der den Hersteller kennt), warum man die alte UTM Mini 25 ohne und die neue mit Lüfter ausliefert…. Small Office Home Office (SoHo) ist ja deren Zielmarkt und das stehen die Dinger nicht im Rechenzentrum.

Ansonsten muss man sich an das Linux-typische „geht-sieht-aber-langweilig-aus“ als verwöhnter NeXT/Apple-User etwas gewöhnen, aber die Firewall kann alles, hat alles was man braucht und alles was mir an Verbesserungen auffällt gebe ich auch dem Hersteller zurück, denn es wäre schön, wenn eine auf open source basierende Variante von digitaler Selbstverteidigung auch weiterhin gute Appliances liefert.

  • gute Supportreaktionszeiten seitens des Herstellers
  • gute, wenn auch verstreute Hilfen (Community + Manual) bei Portfreigaben für MS Teams, Skype, Zoom, WhatsApp & Co.
  • etwas umständliche Snort-Regelsuche, sie man aber per SSH selbst machen kann – bspw. um die Regel von DropBox zu finden und in den emerging-policy.rules an der Web-Oberfläche abzuschalten. Schön wäre es, es direkt bei der Regelsuche in der Web-Oberfläche suchbar zu machen, aber dort kann man nur die .rules selber suchen.
    grep -rnw '/var/signatures/snort' -e '2012647'
  • Gute Live-Logs und die Möglichkeit eigenen OpenVPN direkt dort zu konfigurieren.
  • Wenn man ein CISCO-kompatibles USB-C<->RJ45-Kabel verwendet, hat man direkten Zugriff auf die Konsole und kann, wenn man so blöd ist, wie ich, und sich die Software zerschießt, mittels USB-Stick die Software direkt wieder drauf pflanzen – auch da hatte der Support schnell und umfassend Hilfe.

Fazit

Trotz ruckeligem Start habe ich nach einiger Zeit und einigen Tests, sowie Modifikationen, die kleine Unified-Threat-Management-Lösung lieb gewonnen und seit heute ist sie von der Testphase in die Live-Phase gewechselt.

Technisches Datenblatt (Endian), besucht 30.5.2021