FSFE ruft zu Kommentaren zu den ersten FOSSA-Dokumenten auf

Gesellschaft::Politik/Recht

FSFE ruft zu Kommentaren zu den ersten FOSSA-Dokumenten auf

Das Projekt EU-FOSSA, in dem die Europäische Union unter anderem das Ziel verfolgt, wichtige freie Softwarepakete einem Sicherheits-Audit zu unterziehen, hat erste Dokumente vorgelegt. Die FSFE ruft alle Interessenten zu Kommentaren auf, insbesondere um die zahlreichen sachlichen Mängel zu identifizieren und richtigzustellen.

Von Hans-Joachim Baader

Europäische Union

Schon Ende 2014 hatte das Europäische Parlament Finanzmittel bewilligt, um freie Software-Projekte, die vom Europäischen Parlament und der Europäischen Kommission verwendet werden, auf ihre Sicherheit zu analysieren. Wie Pro-Linux erst vor wenigen Wochen meldete, wurde damit das Projekt EU-FOSSA (EU-Free and Open Source Software Auditing) gegründet, das vom Directorate General of Informatics (DIGIT) der Europäischen Kommission geleitet wird. Es handelt sich um ein Pilotprojekt mit dem Ziel, einen systematischen Ansatz anzubieten, mit dem EU-Institutionen sichergehen können, dass die freie Software, die sie verbreitet nutzen, vertrauenswürdig ist.

Das Projekt besteht aus drei Teilen. Neben einer vergleichenden Studie der Entwicklungsprozesse von Software in den EU-Institutionen und der freien Softwarewelt, die erkunden soll, wie man ein Code-Review freier Software für die EU durchführt, und der Ermittlung, welche freie Software im Europäischen Parlament und der Europäischen Kommission Verwendung findet, sollen auch ausgewählte freie Projekte einem Code-Review bezüglich ihrer Sicherheit unterzogen werden.

Wie FSFE-Präsident Matthias Kirschner jetzt schreibt, haben die drei beauftragten Consulting-Firmen Dokumente zum ersten Teil des Projekts vorgelegt. Entgegen den ausdrücklichen Empfehlungen der Free Software Foundation Europe wurden die Dokumente hinter verschlossenen Türen verfasst, und erst der endgültige Stand wurde veröffentlicht. Das Ergebnis lässt Kirschner befürchten, dass der größte Teil des Budgets von einer Million Euro ohne positive Auswirkungen auf freie Software ausgegeben wird. Die Dokumente wimmeln auf 550 Seiten nur so von Fehlern und lassen darauf schließen, dass die Consulting-Firmen keinerlei Ahnung von freier Software und der freien Software-Gemeinschaft haben.

Kirschner merkt an, dass die Berater nur mit einer kleinen Anzahl von Vertretern freier Software-Projekte gesprochen haben. Selbst als sie auf die konkreten Ansprechpartner in den jeweiligen Projekten, die für Sicherheit zuständig sind, hingewiesen wurden, wurde kein Kontakt aufgenommen. Es wäre für jeden ein Leichtes gewesen, die richtigen Ansprechpartner selbst zu finden. Statt verständnisvoller Aussagen zu den freien Projekten findet man daher in den Dokumenten nur Allgemeinplätze, die womöglich aus Büchern und Richtlinien abgeschrieben wurden.

Gleicher Ansicht ist auch Mirko Böhm als Vertreter des Open Invention Network, der auch einige Beispiele der vollkommen sinnlosen Empfehlungen aus den Dokumenten anführt.

Nun ist es laut Kirschner wichtig, der EU kompetentes Feedback zu geben. Die FSFE wird darauf hinwirken, dass die Dokumente in lesbaren, offenen Formaten publiziert werden. Sie will außerdem erreichen, dass mehr Experten aus freien Projekten beteiligt werden, und dass die Consulting-Firmen Zusammenfassungen ihrer Resultate an die Projekte senden, die sie auf Korrektheit prüfen können.

Insbesondere ruft die FSFE aber alle Interessenten dazu auf, die Dokumente zu lesen und Feedback zu geben. Die Dokumente liegen als PDF-Dateien auf der EU-FOSSA-Seite vor. Die relevantesten dürften WP1-04, WP1-05, WP1-07 und WP2-11 sein. Die FSFE kann alle Aktivitäten koordinieren, so dass niemand alle Dokumente lesen muss. Interessenten wenden sich daher am besten auf Englisch an discussion@fsfeurope.org. Das Feedback wird provisorisch auf dieser Webseite gesammelt. Auch E-Mails an die Diskussionsliste der FSFE oder Kirschner selbst sind möglich.