In einem früheren Beitrag berichtete ich von einer Erfahrung, die ich mit einem Product Owner gemacht habe, dessen Open-Source-Software in der Automatisierungsindustrie genutzt wird und tausendfach heruntergeladen wurde. Trotz dieser Verbreitung war er – aus welchem Grund auch immer – nicht in der Lage oder willens, die falsche Prüfsumme (Hashwert) für seinen Windows-Installer zu korrigieren (mehrere Monate lang!). Dadurch war die Integrität des Installers weder verifiziert noch vertrauenswürdig, weshalb ich mich weigerte den Installer zu starten und ihn sofort löschte.
Nun musste ich erneut feststellen, dass eine andere Open-Source-Software ebenso wenig auf Fehlermeldungen oder negative Rezensionen im Google Play Store reagiert.



Es scheint, als hätten viele in der Open-Source-Community nichts aus dem Log4Shell-Desaster (BSI-Warnung und BSI-Bilanz) gelernt, das 2021 zahllose Überstunden, gestrichene Urlaubspläne und ausgefallene Weihnachtsferien zur Folge hatte.
Früher wurde die IT-Industrie oft – als negatives Beispiel – mit der Automobilbranche verglichen, die hingegen als vorbildlich galt. Die klassischen Vergleiche begannen mit Sätzen wie: „Wenn die Autoindustrie so arbeiten würde wie die IT-Branche, dann …“
Doch seit Fahrzeuge mit Bordcomputern vollgestopft sind oder sogar vollelektrisch fahren, lassen sich selbst diese alten Vergleiche nicht mehr heranziehen (siehe meinen Beitrag „Zurück in die Zukunft“).
Wie wichtig und weitverbreitet die sogenannte Open-Source-Software sind, sieht man wenn man z.B. auf einem Android-Handy (hier die Screenshots von einem Samsung Fold Z4) in der „Einstellungen“ nach „Open“ oder „Open Source“ sucht …

und danach mit einem Klick die „Open-Source-Lizenzen“ auswählt:

Die Liste der auf einem Samsung-Android-Smartphone verwendeten Open-Source-Software ist beeindruckend lang. Da stellt sich die Frage, wie schnell die Product Owner bzw. Maintainer dieser Open-Source-Software auf Fehlermeldungen reagieren:

