this post was submitted on 01 Oct 2025
23 points (100.0% liked)

DACH - Deutschsprachige Community für Deutschland, Österreich, Schweiz

4368 readers
418 users here now

Das Sammelbecken auf feddit.org für alle Deutschsprechenden aus Deutschland, Österreich, Schweiz, Liechtenstein, Luxemburg und die zwei Belgier. Außerdem natürlich alle anderen deutschprechenden Länderteile der Welt.

Für länderspezifische Themen könnt ihr euch in folgenden Communities austauschen:

___

Aus gegebenem Anlass werden Posts zum Thema Palästina / Israel hier auf Dach gelöscht. Dasselbe gilt zurzeit für Wahlumfragen al´a Sonntagsumfrage.
___

Einsteigertipps für Neue gibt es hier.
___

Aus gegebenem Anlass: Bitte Titel von Posts nur sinnerweiternd und nicht sinnentstellend verändern. Eigene Meinungen gehören in den Superkommentar oder noch besser in einen eigenen Kommentar darunter.
___

Eine ausführliche Sidebar mit den Serverregeln usw. findet ihr auf der Startseite von feddit.org

___

founded 1 year ago
MODERATORS
Seven@feddit.org
Der_aus_Aux@feddit.org
23
Wem gehört ein Open-Source-Projekt? – RubyGems droht die Spaltung (www.heise.de)
submitted 1 month ago by HaraldvonBlauzahn@feddit.org to c/dach@feddit.org
11 comments fedilink hide all child comments
 

cross-posted from: https://feddit.org/post/19585325

In der Open-Source-Welt erlebt die populäre Programmiersprache Ruby derzeit eine heftige Kontroverse in Bezug auf die Kontrolle kritischer Infrastrukturen durch rechtslastige Firmen und Unternehmer

top 11 comments
sorted by: hot top controversial new old
[–] HaraldvonBlauzahn@feddit.org 15 points 1 month ago* (last edited 1 month ago)

Das ist ein gutes Beispiel, wie die autoritären Tendenzen im den USA, welche in die Richtung zielen jegliche Kooperation zum gegenseitigem Vorzeil durch komplette Kontrolle zu ersetzen, sich weit über die Grenzen auswirken werden.

Und Open Source Software Projekte sind noch vergleichsweise gut geschützt, weil der zugrundenliegende Quellcode offen ist und von niemandem in exklusiven Besitz genommen werden kann. In dem Moment, wo wie hier vernagelte Hardware ins Spiel kommt, wird es schon viel schwieriger.

[–] A_norny_mousse@feddit.org 12 points 1 month ago* (last edited 1 month ago) (1 children)

Mir gefällt die Fragestellung nicht weil sie suggeriert dass ein Open-Source-Projekt ja jemandem gehören muss.

Ich hab mich gestern ein bisschen eingelesen in die Materie und ich habe kein Problem gesehen in der Situation wie sie war bevor die "Eigentum"-Seite Macht ausüben wollte über das Projekt selbst. Es ist doch verdammt noch mal nichts neues dass ein Kollektiv etwas verwaltet was keiner besitzt.

Ich hoffe nur das die EFF oder Ähnliches genauso hilfreich eingreifen wie seinerzeit bei youtube-dl. Die rechtlichen Grundlagen sowas sinnvoll zu prozessieren sind da, auch wenn viele Giernickel das Update bisher ignoriert haben.

[–] poVoq@slrpnk.net 2 points 1 month ago* (last edited 1 month ago) (2 children)

Nun ja... das Kernproblem aus Konzernsicht ist ja die Softwarelieferkettensicherheit, und das lässt sich nicht ganz abstreiten insbesondere da die bald auch eine rechtliche Frage wird (EU Cyber Reliance Act).

Jetzt einfach zu sagen die Firmem hätten halt ihr eigenes abgesichertes Gemsverzeichnis schaffen müssen greift auch zu kurz, da diese scheinbar die Infrastruktur und auch einige Gehälter bezahlt haben.

Daher abgesehen davon das in diesem speziellen Fall auch noch ansonsten einiges im Argen ist (Rails und DHH etc.), wird es wohl nötig sein solche Abhängigkeitsverwaltungswerkzeuge grundsätzlich anders aufzustellen. Ganz von Konzernen unabhängig wird rein kostenmäßig zumindesten kurzfristig nicht funktionieren, und Open-Source Maintainer sollten für ihre Arbeit auch zumindestens irgendwie entlohnt werden.

[–] skilltheamps@feddit.org 6 points 1 month ago* (last edited 1 month ago) (1 children)

Nicht-kommerzielle open-source Projekte sind von CRA ausgenommen. An der Stelle wo zuerst kommerziell verkauft wird fängt CRA an zu greifen. Wenn eine Firma in ein kommerzielles Produkt nicht-kommerzielles open-source einbaut muss sie selbst sicher stellen, dass das Produkt und damit auch seine Komponenten die CRA Anforderungen erfüllen.

Nicht-kommerzielles open-source ist keine Lieferkette. Es wird immer so geredet als gäbe es da einen "Lieferant", das ist nicht der Fall. Das ist einfach nur ein Projekt das herumschwirrt, und wenn ich mich daran bediene um das in ein kommerzielles Produkt verwandeln will um damit Geld zu verdienen, dann muss ich auch selbst dafür sorgen dass es den Regeln des Marktes entspricht.

[–] poVoq@slrpnk.net 1 points 1 month ago (1 children)

Eben. Und das hat Ruby Central hier versucht zu machen.

[–] skilltheamps@feddit.org 2 points 1 month ago

Eh naja, "versucht" ist da harmlos ausgedrückt. Einfach Maintainer aussperren ist weder nett noch förderlich für so ein Projekt. Man hätte auch einen soft fork machen können der upstream trackt und Änderungen nach einer Prüfung übernimmt. Wenn man sich mit upstream gut stellt könnte man auch eine doppel-Lizenz Strategie umsetzen, indem Lizenzen für den CRA-kompatiblen soft-fork an andere kommerzielle Konsumer des Projekts verkauft werden, welche sich dafür das Review plus Risiko sparen können. Daraus wiederum könnte man die Reviews und generelle Projektunterstützung finanzieren.

[–] bob_lemon@feddit.org 3 points 1 month ago (1 children)

das Kernproblem aus Konzernsicht ist ja die Softwarelieferkettensicherheit, und das lässt sich nicht ganz abstreiten insbesondere da die bald auch eine rechtliche Frage wird (EU Cyber Reliance Act).

Wo bitte erfordert der CRA denn die Kontrolle über die Open Source Paketverwaltung? Wenn das so wäre sollte ich dringend schauen, dass meine Firma sowohl PyPi als auch OpenJDK kontrolliert.

[–] poVoq@slrpnk.net 2 points 1 month ago

Wenn du open-source Projekte in einem kommerziellen Produkt verwendest dann haftest du dafür. Die CRA erfordert strenggenommen natürlich nicht die Kontrolle aber praktisch gesehen ist es durchaus nachvollziehbar das eine Firma nicht für etwas haften will wo sie keinerlei Einfluss auf die Sicherheitsstandards hat.

[–] Elchi@feddit.org 3 points 1 month ago

Wem gehört ein Open-Source-Projekt?

Dem Maintainer. Wem das nicht passt kann (Pitch)forken

[–] jenesaisquoi@feddit.org 1 points 1 month ago (1 children)

Wir reimplementieren gerade eine RoR-Applikation, um von Ruby wegzukommen. Ich bin froh, in dieser Entscheidung bestärkt zu werden.

[–] HaraldvonBlauzahn@feddit.org 5 points 1 month ago

Das ist leider kein quasi Ruby-spezifisches Problem. NixOS hat es z.B. auch schon.