Open Source hat sich auf breiter Front durchgesetzt. Ob Frameworks, Bibliotheken oder Entwicklungswerkzeuge: Die tragende Säule vieler Software-Ökosysteme ist eben quelloffen. Doch mit diesen Vorteilen gehen auch gewisse Herausforderungen einher.
Vom Versprechen getragen, nahezu jeden Use Case abdecken zu können, haben sich Open-Source-Tools und -Komponenten in vielen Unternehmen durchgesetzt.
Die Bedeutung von Open Source Software (OSS) im Unternehmensumfeld wächst. Eine Umfrage der Perforce-Tochter OpenLogic und der gemeinnützigen Open Source Initiative (OSI) unter 2.660 Open-Source-Experten im Jahre 2022 hat gezeigt, dass über drei Viertel der Unternehmen (77 Prozent) stärker auf OSS angewiesen sind als noch 12 Monate zuvor. Jede dritte der befragten Organisationen soll in diesem Zeitraum ihre Nutzung von Open Source sogar „erheblich“ gesteigert haben.
Software-Lieferketten, verzwickt und verwundbar
Unter der Haube von beinahe jeder Cloud Software (98 Prozent) schlummert quelloffener Code, fand Veracode im State of Software Security Report heraus. Selbst bei Java-Anwendungen, denen ja meist eine unternehmenskritische Bedeutung zukommt, ist es nicht viel anders (97 Prozent). Doch in rund neun von zehn Fällen (92 Prozent, um genau zu sein) sind die quelloffenen Includes zum Teil längst überholt und/oder schleusen bekannte Verwundbarkeiten in die gemeinsame Codebasis mit ein, urteilen Sicherheitsforscher von Veracode.
Unternehmen müssten diese Risiken proaktiv adressieren. Stattdessen ist eher das Gegenteil gang und gäbe. In vielerlei Hinsicht hätten die Dev-Teams in Unternehmen das Entwickeln von Software verworfen, beobachtet Chris Wysopal, CTO und Mitbegründer von Veracode. Diese Entwickler würden ihre Lösungen lediglich aus vorgefertigten Bausteinen „zusammenmontieren, anstatt sie (von Grund auf) zu coden“.
Die Stückliste von Software-Ökosystemen wächst größtenteils unbemerkt: Revenera, Anbieter von FlexNet Code Aware, konnte bei seinen Audit-Kunden Abhängigkeiten aufdecken, die sich deren eigenem Lizenzmanagement entzogen hatten.
(Bild: Revenera)
Zwischen 2019 und 2020 hat die Anzahl von quelloffenen Softwarekomponenten in den vom Reveneras Audit-Team untersuchten Unternehmen um 200 Prozent zugenommen und ist damit beinahe explodiert. Zum Vergleich: Der letzte große Sprung davor zwischen 2014 und 2016 nahm zwei Jahre in Anspruch und kam gerade einmal auf einen Zuwachs von 122 Prozent, als sich Paketmanager mit ihren Features rund um die Verwaltung von Abhängigkeiten in Build-Umgebungen auf breiter Front durchsetzen konnten.
Laut Veracode lebten viele Entwickler im illusorischen Irrglauben an die Cybersicherheit der eigenen Codebasis. 80 Prozent der befragten Developer gaben an, bei der Auswahl einer Bibliothek „die Sicherheitsaspekte zu berücksichtigen“. Gleichzeitig hätten die meisten Developer in derselben Umfrage offen zugegeben, dass sie die Bibliotheken, die sie verwendeten, nicht aktualisierten. Das Flickwerk aus Includes ruft nicht nur Supply-Chain-Verwundbarkeiten der Softwareversorgungskette auf den Plan, sondern schafft auch noch ein weiteres Problem, denn es erschwert das Lizenzmanagement.
Heiß begehrt
97 Prozent aller Java-Anwendungen nutzen quelloffenen Code, ein „beachtlicher“ Anlass zur Sorge um die Cybersicherheit laut Analysten von Veracode
(Bild: Veracode)
Als die am häufigsten genutzte Form von Open Source nannten die Teilnehmer der Veracode-Erhebung Programmiersprachen und Frameworks (39,3 Prozent), quelloffene Datenbanken und Datentechnologien (ein starkes Wachstumsfeld mit einem Anteil von derzeit 36,5 Prozent an den befragten Organisationen), Betriebssysteme (34 Prozent), Git-Repositories (27,7 Prozent), weitere Frameworks und Tools für KI/ML (26,8 Prozent) sowie CI/CD-Tools (25,1 Prozent). Mehr als ein Fünftel der Befragten bekennt sich zur Nutzung von quelloffenen Cloud- und Sicherheitstools (22 Prozent).
Die sehr hohe und noch weiter zunehmende Verbreitung von quelloffener Software reflektiere einen hohen Reifegrad des Ökosystems, argumentieren die Forscher. Sie warnen jedoch gleichzeitig davor, dass es von „altbackenen wie auch noch unbekannten, neuen Herausforderungen“ begleitet werde. Open-Source-Kenntnisse seien ebenfalls „sehr gefragt“, kommentiert Rod Cope, CTO bei Perforce Software.
eBook „Open-Source-Tools“
(Bild: Dev-Insider)
E-Book zum Thema
Das eBook „Open-Source-Tools“ befasst sich damit, welche Vorteile und Herausforderungen mit quelloffenen Werkzeugen und Komponenten einhergehen.
Der Mangel an qualifizierten Fachkräften hat sich anscheinend zum Bremsklotz für quelloffene Software entwickelt. „Unternehmen brauchen hochqualifizierte Open-Source-Fachkräfte, um neue, innovative Produkte und Funktionen zu entwickeln“, so Cope weiter, „und um ihre bestehenden Systeme zu unterstützen, zu optimieren und zu verbessern.“
Die dritte jährliche Umfrage von Reveal „Top Software Development Challenges for 2022“ scheint dies zu bestätigen. Der globale Anbieter von Entwicklungswerkzeugen untersuchte die Schwachpunkte, Herausforderungen und Wachstumspotenziale aus Sicht von Softwareunternehmen und Entwicklern.
Die größte aktuelle Herausforderung für Unternehmen stellen demnach die Entwickler dar. Mehr als die Hälfte (53 Prozent) der befragten Organisationen hätten Probleme damit, „Entwickler mit den richtigen Fähigkeiten“ anzuwerben und bei der Stange zu halten, damit sie dem Unternehmen erhalten blieben (46 Prozent) und sich aktiv engagierten (43 Prozent). Die Betroffenen planen, diese Engpässe durch den Einsatz von Low-Code/No-Code-Tools (App-Builder), eingebetteten Analysewerkzeugen und Design-to-Code-Plattformen zu adressieren.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Das Forschungsinstitut Gartner prognostiziert, dass bis zum Jahr 2024 rund drei von vier aller Softwarelösungen (75 Prozent), die das Licht der Welt erblicken, mit Hilfe von Low-Code-Tools entstehen werden – in vielen Fällen sicherlich mit quelloffenen Tools.
„The Great Resignation“
Nach den vielen Pandemiewellen in den Jahren 2020 und 2021 mehren sich Berichte, dass sich viele Entwickler völlig überarbeitet fühlten; man spricht allenthalben von „The Great Resignation“ („die große Rücktrittswelle“). Zahllose Umfragen scheinen dies eindrucksvoll zu belegen. In den zwei Pandemie-Jahren waren Entwickler einer hohen psychischen Belastung ausgesetzt.
Nicht selten mussten sie in Isolation ihre höchst kreative Arbeit verrichten, um die rasche Einführung neuer Technologien zu ermöglichen. Sie mussten die negativen Effekte der Pandemie durch einen ununterbrochenen Einsatz auffangen, um die Funktionsfähigkeit der digitalen Gesellschaft zu gewährleisten. Mehr als je zuvor galt es für sie, kurzfristig neue Aufgaben anzupacken.
Beinahe jedes zweite Unternehmen musste aufgrund der Pandemie seine Release-Zyklen um mindestens sechs Monate nach hinten stellen.
(Bild: Reveal)
Die Umsetzung von Remote-Working, Digital-First-Operations und anderer technologischer Errungenschaften auf Knopfdruck fordert nun ihren Tribut. Jetzt wollen Millionen von Entwicklern den Job an den Nagel hängen – während die IT-Branche boomt. Die hohe Mitarbeiterfluktuation stellt Firmen vor einen Rattenschwanz an neuen Problemen.
Der Burnout und der resultierende Mitarbeiterschwund unter den Entwicklern bringen nicht nur Softwareprojekte ins Stottern, sondern es droht auch ein permanenter Verlust unternehmenskritischer Kompetenzen. Beinahe jedes zweite Unternehmen musste aufgrund der Pandemie seine Release-Zyklen um mindestens sechs Monate nach hinten stellen. Jetzt gilt es, aufzuholen.
Für Software-Schmieden stellen sich in diesem Zusammenhang vor allem zwei Fragen:
nach der Wahl geeigneter Open-Source-Bausteine für ihre Projekte – Sprachen, Frameworks und Bibliotheken – samt ebenfalls quelloffenem Tooling;
nach dem Einbezug geeigneter Werkzeuge zur Verwaltung von Open-Source-Code in der Entwicklungs- und Bereitstellungspipeline.
Um quelloffenen Code ihrer Abhängigkeiten in den Griff zu bekommen, müssen Entwickler auch mal auf proprietäre Tools oder Dienste zurückgreifen.
Fazit
Der Einbezug von Open Source in Entwicklungs- und Bereitstellungspipelines schafft eine beachtliche Flexibilisierung und verbessert die Planungssicherheit, wirft jedoch gleichzeitig neue Herausforderungen auf. Die besten Tools können zum Glück Abhilfe schaffen.
Dieser Artikel stammt ursprünglich aus unserem eBook „Open Source Tools“. Darin finden sich auch einige interessante Empfehlungen zu quelloffenen Development- und DevOps-Tools.
E-Book zum Thema
Open-Source-Tools
eBook „Open-Source-Tools“
(Bild: Dev-Insider)
Open Source hat sich auf breiter Front durchgesetzt – die tragende Säule vieler Software-Ökosysteme ist quelloffen. Dies schafft zwar eine beachtliche Flexibilisierung und verbessert die Planungssicherheit, wirft jedoch gleichzeitig neue Herausforderungen auf, die keineswegs unterschätzt werden dürfen.
Dieses eBook umfasst die folgenden Themen:
Trends und Neuerungen bei Open Source Tools
Mit quelloffenen Tools coden, kompilieren, debuggen
:quality(80)/p7i.vogel.de/wcms/c5/45/c54568adfee2a4c6ed992a94abebdb5e/0126992413v1.jpeg "Die souveräne Cloud ermöglicht es, sensible Daten rechtskonform und unter größerer Kontrolle des Kunden zu speichern und zu verarbeiten. (Bild: © Catsby_Art – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/3f/133f5ccfbd6ce74a4f52ca35ea85669f/0127552212v1.jpeg "Alle Gewinner der IT-Awards 2025 unserer Insider-Portale: ausgezeichnet mit Platin, Gold und Silber in jeweils sechs Kategorien – gewählt von unseren Leserinnen und Lesern. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/e8/38/e8387251b85fc72e0f56d2fa1915043d/0129328744v2.jpeg "Law as Code bezeichnet die digitaltaugliche Bereitstellung des Rechts als ausführbarer Code und ermöglicht so die systematische Umsetzung von Gesetzen in maschinenlesbare Form. (Bild: © InfiniteFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/95/d6/95d6c599b3ff7ee542b413a6bf68af69/0129076535v2.jpeg "Der Begriff Supercloud beschreibt im Wesentlichen die nächste Evolutionsstufe des Cloud Computings und der Multicloud. (Bild: © Khela - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a7/08/a70864697c140742ad03eda65f774709/0129076511v2.jpeg "Nicht eindeutig definierbar: Der Begriff Neocloud beschreibt eine aufstrebende Cloud-Kategorie – wahlweise für KI-Workloads oder Cloud-Angebote mit speziellen Souveränitätsmerkmalen. (Bild: © ImageFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bf/b8/bfb8f9651c7d1ccaebc08b33afa53366/0130623912v1.jpeg "Mit der richtigen Architektur und Governance entwickelt sich aus S/4HANA ein operativer Daten- und Prozesskern, an den ML-Modelle und GenAI-Funktionen konsistent anbinden und messbare Automatisierung in Finance, Supply Chain, Produktion und Service liefern. (Bild: © xymbolino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/eb/87ebf492a1e92a66a783389ca150bb99/0130637293v1.jpeg "Eine klassische Public-Cloud-Architektur reicht für die spezifischen Anforderungen moderner KI-Workloads nicht mehr aus – auch mit Folgen für die Qualität der Storage-Infrastruktur. (Bild: © UMAR SALAM - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/12/e8/12e8e80c814dc6e03769723de7571300/0130149407v1.jpeg "Der neue Controller soll für reibungslose Abläufe zwischen der Digital Procurement Platform von BeNeering und der SAP-S/4HANA-Cloud sorgen. (Bild: BeNeering)")
:quality(80)/p7i.vogel.de/wcms/b9/1b/b91b552c4186c86f7fa499e4e7c05f84/0130532491v1.jpeg "Mit nur einem Login ermöglicht die Startseite den nahtlosen Zugriff auf alle integrierten Module von Sage Active. (Bild: Sage)")
:quality(80)/p7i.vogel.de/wcms/b9/ab/b9abcc47b0d4eb590a5d31f10403cc5e/0130637661v1.jpeg "Microsoft integriert mehr KI-Funktionen in Teams, mit denen sich vor allem Besprechungen einfacher international durchführen lassen. (Bild: © Ibnu - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6c/e5/6ce56356b5ba58bc9c42213831c1e5ab/0129332626v1.jpeg "Mit Dropbox Transfer können Anwender einfacher Dateien im Internet teilen. (Bild: GPT Image Editor / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/92/68/92685fa591c726e9de7a2f4e6cb8c914/0130080545v1.jpeg "Vom Hackerangriff bis zu Bränden – die Ursachen für Cloud-Ausfälle sind vielfältig und keineswegs unmöglich. Spezielle Versicherungen minimieren finanzielle Schäden, die Nutzenden durch Cloud-Ausfälle entstehen können. (Bild: © Adin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/45/d5/45d51ec5c77e8bcd9244b698d23896be/0130249229v1.jpeg "Seit 2018 dient ownCloud.online Unternehmen als Plattform für den Austausch und die Verwaltung von Dateien. (Bild: ownCloud.online)")
:quality(80)/p7i.vogel.de/wcms/a7/70/a770f9d31c154694b14d5d4258c4a85c/0130719029v1.jpeg "Künstliche Intelligenz und digitale Vernetzung: Deutsche Unternehmen holen bei Patent-Anmeldungen für ihren Heimatmarkt in wichtigen Schlüsseltechnologien auf. (Bild: DPMA)")
:quality(80)/p7i.vogel.de/wcms/71/d7/71d7fa5877619e37f59b7685b4fa321e/0130625650v1.jpeg "Apple feierte das 50. Unternehmensjubiläum weltweit und fast einen Monat lang, u.a. mit Konzerten von Alicia Keys und Paul McCartney. Im Bild: Tim Cook begrüßt die Menge im Apple Park. (Bild: Apple)")
:quality(80)/p7i.vogel.de/wcms/66/64/666473f97538c9a67f1ba3f269e39bde/0130633364v1.jpeg "Der Erfolg von Cloud-Landschaften misst sich nicht mehr allein an Kosteneinsparungen, sondern am geschaffenen Geschäftswert, an Governance und an der Fähigkeit, Komplexität zu beherrschen. (Bild: © Nattanon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/44/f04459d788d03f2ef9387d294e939fe2/0130563051v1.jpeg "In europäischen Unternehmen ist digitale Souveränität mittlerweile ein Thema auf Vorstandsebene. (Bild: © Raisa – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ee/f5/eef50ba29e43512276eb0594fc88b172/0130533152v1.jpeg "Jakob Østergaard, CTO bei Keepit: „Strukturierte Tests und geführte Wiederherstellungen machen Backups erst zu einer wiederholbaren, zuverlässigen Funktion.“ (Bild: Keepit)")
:quality(80)/p7i.vogel.de/wcms/5c/83/5c83a097a2d1eaad711a4e82f1637624/0130522984v1.jpeg "C5:2026 bietet nicht nur Unternehmen und Behörden belastbare Informationen für das eigene Risikomanagement, sondern marktübergreifend Transparenz und Orientierung bei der Auswahl von Cloud-Anbietern. (Bild: © ipuwadol - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/07/74/0774cd35e7a04503265da6af644dab36/0129964794v1.jpeg "Die Cohesity Data Cloud bietet neben den Möglichkeiten für Backup und Restore auch Funktionen für modernes Datenmanagement und Cyber-Resilienz. (Bild: © Thanadon88 – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/97/d697130c8b1f306dc26ea6b0314015e1/0130497029v1.jpeg "Neue Integrationen für Google Drive: Backup-Option für Android-Downloads und direkter PDF-Upload aus Chrome. (Bild: © idambeer - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/da/82da1b1d0cfe1325f7caeaf6c66aedb5/0130578270v1.jpeg "Mit der Übernahme von Lyve Cloud will Wasabi Backup- und Recovery-Szenarien im Enterprise-Umfeld stärken mit planbarer, kosteneffizienter Nutzung von Cloud-Storage außerhalb der großen Hyperscaler. (Bild: © mh.desing - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/47/29477f16efc759807b6fdf2a4b637128/0129963146v1.jpeg "Auch wenn zunehmend die Codegenerierenden Eigenschaften von generativer KI im Vordergrund stehen, soll das die Bedeutung von Software-Entwicklern nicht schmälern. Denn diese KI-Tools eignen sich in erster Linie für das Übernehmen von Routineaufgaben. Dies eröffnt den Entiwcklern selbst neuen gestalterischen Spielraum für immer komplexere und anspruchsvollere Aufgaben. (Bild: Dall-E / KI-generiert)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/67/dd/67dd21da675be/logo-horizontal-rgb.svg "logo-horizontal-rgb (Hyland)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/a0/67a0cd61751d3/mendix-logo-industry-of-things.jpeg "mendix-logo-industry-of-things (Mendix)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/7d/c0/7dc03fef56ab6063de64910a4d9a1c02/0124178820v1.jpeg "Um seine Multi-Cloud-Umgebungen zu schützen, müssen die Risiken erstmal erkannt und analysiert werden. Daraufhin gibt es einen möglichen Sicherheits-Fahrplan, den Security-Spezialist Thorsten Henning von Fortinet empfiehlt. (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a6/71/a67138069e4b6de5b0977b2b4a7c60b0/0128113978v1.jpeg "Cloud-only Security versus Hybrid Cloud Security - was ist besser? Antworten liefert das neue eBook auf CloudComputing-Insider. (Bild: © Creative Team - stock.adobe.com / Vogel IT-Medien)")