Regierungen auf der ganzen Welt erkennen zunehmend, dass Open-Source-Software (OSS) eine kritische digitale Infrastruktur darstellt und dass mehr zur nachhaltigen Förderung ihrer Entwicklung, Wartung und Sicherheit getan werden muss. In der Vergangenheit kam die finanzielle Unterstützung für OSS hauptsächlich aus dem privaten Sektor. Doch das Interesse des Regierungssektors an der Förderung von OSS hat in den letzten Jahren aufgrund von Bedenken hinsichtlich digitaler Souveränität und Softwaresicherheit zugenommen.
In diesem Zusammenhang ist der deutsche Sovereign Tech Fund (STF) ein erwähnenswertes Beispiel. Er wurde im Oktober 2022 gegründet und zielt auf eine nachhaltige Stärkung der Infrastruktur und Sicherheit kritischer Open-Source-Ökosysteme ab. Am 2. Mai 2023 brachte der Fond 875.000 Euro an Kapital für die OpenJS Foundation auf – die größte einmalige staatliche Fördersumme, die jemals in ein Projekt der Linux Foundation investiert wurde. Als einer der ersten staatlichen Fonds spezifisch für OSS steht der STF an der vordersten Front eines entscheidenden Wandels der Art und Weise, wie Regierungen in die langfristige Rentabilität von OSS und digitalen öffentlichen Gütern investieren.
In den letzten Jahren wurde OSS von Regierungen auf der ganzen Welt zunehmend als digitale Infrastruktur anerkannt. Eine oft zitierte Statistik besagt, dass sich 70–90 % aller Software-Stacks aus OSS zusammensetzen. Laut der aktuellen Analyse von Synopsys (2023) ist OSS sogar in 96 % der Codebasen enthalten.
Die Entdeckung der Log4Shell-Sicherheitslücke im Apache Log4J Framework im November 2021 trug maßgeblich dazu bei, dass viele Regierungen verstärkt strategische Überlegungen zum Thema OSS anstellten, insbesondere im Hinblick auf die Sicherheit von Software-Lieferketten. Öffentliche Verwaltungen und die globale digitale Wirtschaft insgesamt sind von OSS als kritische digitale Infrastruktur abhängig. Die Schwachstelle machte die Folgen von zu geringer Investition in die Wartung und Sicherheit von OSS deutlich.
In der Tat setzt sich zunehmend die Erkenntnis durch, dass mehr Einsatz zur Unterstützung der Menschen erforderlich ist, die hinter dem Code stehen – zum Beispiel durch die Förderung der Entwickler-Communities, die OSS verwalten und sichern. Bereits im Rahmen der Linux Foundation Europe haben wir dafür plädiert, dass Organisationen aus verschiedenen Sektoren zusammenarbeiten, um die Open-Source-Communities zu fördern, die unsere digitale Infrastruktur auf nachhaltige Weise aufbauen und pflegen. Zum gleichen Thema hat OpenSSF einen 10-Punkte-Plan zur Mobilisierung der OSS-Sicherheit entworfen. Hier wird der Bedarf an Fördermitteln, um schnell gründlich geprüfte Lösungen für die zehn Hauptprobleme der Softwaresicherheit zu entwickeln, für die nächsten zwei Jahre auf 150 Millionen US-Dollar geschätzt.
Auch seitens anderer Organisationen werden Stimmen laut, die langfristige Fördermaßnahmen zur Unterstützung von OSS-Projekten fordern. So verglich die Cyber Statecraft Initiative des Atlantic Council kürzlich OSS mit drei Arten von Infrastrukturen und schlug vor, einen OSS-Treuhandfond für nachhaltige und langfristige Investitionen in OSS einzurichten. Außerdem schlug Paul Keller von OpenFuture EU vor, einen öffentlichen europäischen Fond für digitale Infrastruktur einzurichten, während Katja Bego die Gründung eines öffentlichen Technologiefonds auf EU-Ebene anregte, der sich der Entwicklung und Wartung von OSS widmet.
Bisher wurde OSS hauptsächlich durch den privaten Sektor und individuelle Geldgeber gefördert: von der Unterstützung von Projekten (z. B. durch FOSS Funds) bis hin zur Investition finanzieller und technischer Ressourcen in Open-Source-Projekte. Im Zuge einer Studie der Europäischen Kommission wurde geschätzt, dass in der EU ansässige Unternehmen im Jahr 2018 rund 1 Milliarde Euro in OSS investierten, was Schätzungen zufolge in jenem Jahr einen Beitrag zur EU-Wirtschaft in Höhe von 65 bis 95 Milliarden Euro entsprach.
Unterdessen hat der öffentliche Sektor Nachholbedarf. Es gibt jedoch eine Reihe vielversprechender Entwicklungen, darunter denn Open Technology Fund der US-Regierung (2012), die Initiative Next Generation Internet (2018) der Europäischen Kommission und Deutschlands STF (2022).
„Wir hoffen, dass dadurch ein JavaScript-Ökosystem entsteht, das sich nicht nur in Deutschland, sondern weltweit weiterentwickelt. Es ist ermutigend, dass die deutsche Regierung diese Initiative ergreift und in die wichtige Open-Source-Infrastruktur investiert, die das Internet antreibt, um so das Leben der Bürger zu verbessern.“
– Robin Ginn, Executive Director der OpenJS Foundation
Mit der Investition wird die OpenJS Foundation Infrastruktur-Updates für ihr gesamtes Projektportfolio durchführen, ein verantwortungsbewusstes Auslaufprogramm für inaktive Projekte einführen sowie moderne Sicherheits- und Wartungsrichtlinien und -praktiken für kritische Projekte entwickeln und umsetzen. Entscheidend ist, dass diese Investition nicht nur innerhalb Deutschlands Erfolg hat, sondern auch zur weltweiten Weiterentwicklung des JavaScript-Ökosystems beiträgt. Von diesem Fortschritt profitieren alle Akteure, die JavaScript-Bibliotheken nutzen.