Im Rahmen des von Netidee geförderten Projekts „CrOSSD2: Extending the Critical Open-Source Software Database” wurde die bestehende Plattform „CrOSSD: Towards a Critical Open-Source Software Database” technisch und inhaltlich von Forschenden der USTP (University of Applied Sciences St. Pölten) umfassend weiterentwickelt. Das Ziel bestand darin, die Stabilität, Sicherheit und Nachhaltigkeit von Open-Source-Projekten nicht nur anhand technischer Kennzahlen, sondern auch unter Berücksichtigung qualitativer Faktoren bewerten zu können.
Bisher basierten viele Bewertungen von Open-Source-Projekten vor allem auf quantitativen Daten wie der Anzahl der Entwickler:innen, Commits (also dokumentierten Änderungen am Programmcode) oder Releases. Die Forschungsergebnisse von CrOSSD2 zeigen jedoch, dass diese Kennzahlen allein nicht ausreichen.
„Die Qualität von Kommunikation, Dokumentation und Zusammenarbeit spielt eine zentrale Rolle für die langfristige Stabilität von Open-Source-Projekten”, erklärt Sebastian Neumaier, Projektleiter und Senior Researcher an der USTP.
Neumaier und sein Team (Lukas Daniel Klausner und Tobias Dam) entwickelten neue KI-gestützte Analyseverfahren, die qualitative Aspekte automatisiert bewerten können. Dazu zählen beispielsweise Freundlichkeit und Umgangston innerhalb der Community, Qualität der Dokumentation, Effizienz von Entwicklungsprozessen und Reifegrad eines Projekts. Die Plattform analysiert dazu große Mengen öffentlich verfügbarer Repository-Daten (Informationen und Aktivitäten aus Open-Source-Projektarchiven auf Plattformen wie GitHub) mithilfe von Natural Language Processing (NLP) und lokal betriebenen Large Language Models (LLM). Dadurch erfolgt die Analyse datenschutzfreundlich ohne Cloud-Anbindung.
Die Plattform ermöglicht unter anderem einen Überblick über die Gesundheit netidee-geförderter Open-Source-Projekte. Aktuell umfasst CrOSSD knapp 2.400 Open-Source-Projekte, rund 688.000 analysierte Dokumente und verwaltet rund 72 GB an Daten.
Die Ergebnisse aus CrOSSD2 bilden die Grundlage für weitere Forschungsprojekte an der USTP. Das Forschungsteam hat bereits das Folgeprojekt „DigiSov-CrOSSD” eingereicht. In diesem soll die Plattform gezielt in Richtung digitale Souveränität und Sicherheitsbewertung weiterentwickelt werden. In Zusammenarbeit mit Partnern aus Wirtschaft und öffentlicher Verwaltung soll künftig untersucht werden, wie sich Risiken in Software-Lieferketten noch besser erkennen und bewerten lassen. (jr)
