Stell dir vor: Du wachst morgens auf, öffnest deine IDE und führst "composer install" aus, um deinen Arbeitstag zu beginnen, aber nichts passiert. Packagist ist ausgefallen. Es ist nicht nur langsam, sondern komplett offline.
Keine große Sache, oder? Nur eine vorübergehende Störung. Aber dann checkst du deine sozialen Netzwerke. NPM ist auch ausgefallen. Maven Central? Offline. PyPI? Weg. Crates.io? Verschwunden.
Es scheint, als würden die Package Registries der Welt bestreikt.
Tag Null: This is fine🔥
Das erste Opfer ist deine CI/CD-Pipeline. Jeder Build geht schief. Deployments hängen sich auf. Container-Images lassen sich nicht erstellen. Deine Kolleginnen und Kollegen fangen im Chatraum an, in Panik zu geraten. "Benutz doch einfach den Cache", wird vorgeschlagen. Klar, wenn du nur daran gedacht hättest, alles zu cachen! Aber was ist mit dem neuen Microservice, an dem du gestern angefangen hast zu arbeiten? Der ist jetzt komplett am Ende.
Mittags sind Reddit und Stack Overflow voll mit Entwicklerinnen und Entwicklern, die verzweifelt nach Workarounds suchen. Bei GitHub gibt es viele Tickets mit Betreffzeilen wie "URGENT: Cannot install dependencies". Dein Produktmanager fragt, wann der Hotfix deployed wird. Du lachst nervös.
Die Woche danach: Erkenntnis setzt ein
Jetzt wird's ernst. Erinnerst du dich an die E-Commerce-Seite, die jeden Tag Millionen von Transaktionen abwickelt? Sie ist offline, weil keine Sicherheitspatches installiert werden können. Die neue Funktion der Bank? Auf unbestimmte Zeit verschoben. Das Start-up, das versucht, sein Finanzierungsziel zu erreichen? Sieht zu, wie ihr Entwicklungsteam untätig herum sitzt, während ihre Zeit abläuft.
Konservative Schätzungen gehen davon aus, dass die Kosten für IT-Ausfälle bei Tausenden von Dollar pro Minute und Hunderttausenden von Dollar pro Stunde liegen. Bei großen Unternehmen reden wir von Millionen von Dollar pro Stunde. Aber es geht hier nicht nur um ein Unternehmen, sondern um die gesamte Softwarebranche, die gleichzeitig zum Stillstand kommt.
Ein Monat später: Willkommen in der Apokalypse
Die Weltwirtschaft ist gerade im freien Fall. Denk dran, wir reden hier von einer Infrastruktur, die jeden Monat Milliarden von Downloads ermöglicht:
- Packagist: Über 3 Milliarden Downloads von Composer-Paketen pro Monat, die das ganze PHP-Ökosystem am Laufen halten
- crates.io: Fast 500 Millionen Downloads an einem einzigen Tag, mit einer Verdopplung jedes Jahr
- Maven Central: Über 1 Billion Downloads pro Jahr, um Java in so ziemlich jedem Unternehmen zu betreiben
- NPM: Über 184 Milliarden Downloads pro Monat
- PyPI: Über 89 Milliarden Downloads pro Monat
Die Zahlen sind echt krass. Moderne Anwendungen bestehen zu über 80 % aus Open-Source-Komponenten. Ohne Open Source und Package Registries müssten Unternehmen das 3,5-Fache ihres aktuellen Softwarebudgets ausgeben, um diese Funktionen nachzubauen. Forscher aus Harvard schätzen den Wert von Open-Source-Software auf der Nachfrageseite auf 8,8 Billionen Dollar. Ja, mit einem "B".
Die bittere Ironie
Hier ist der Knaller: Diese wichtigen Teile der Infrastruktur, die buchstäblich das Fundament von Billionen-Dollar-Branchen bilden, laufen nur dank des guten Willens, der Zeit von Freiwilligen und einem winzigen Budget.
Packagist? Wird hauptsächlich durch Kunden von Private Packagist sowie einer kleinen Gruppe direkter Infrastruktur-Sponsoren finanziert. Die große Mehrheit der Großkunden aus der Wirtschaft? Sie nutzen das Angebot, ohne etwas beizutragen. Bei den anderen Package Registries sieht es ähnlich aus.
Es handelt sich nicht um gut finanzierte Unternehmensprojekte mit großen Teams. Sie werden von kleinen Gruppen gepflegt, die sich verausgaben, während Milliardenunternehmen Milliarden an Wert schöpfen.
Es gibt nichts umsonst
Um ehrlich zu sein, ist eine kommerzielle Nutzung ohne kommerziellen Support einfach nicht tragbar.
Der gesamte Tech-Stack deines Fortune-500-Unternehmens, die Plattform, die Millionen einbringt, hängt von einer Infrastruktur ab, die von gemeinnützigen Organisationen gepflegt wird, die sich gerade so mit Spenden über Wasser halten können. Deine CI/CD-Pipeline greift täglich tausende Male auf diese Package Registries zu. Deine Sicherheitsscanner durchsuchen sie ständig. Deine Container-Builds ziehen Gigabytes an Abhängigkeiten.
Was kostet der Betrieb dieser Infrastruktur? Echte Server, echte Bandbreite, echte Ingenieure, die rund um die Uhr einsatzbereit sind, echte Sicherheitsaudits und echte Compliance-Arbeiten. Allein der Cyber Resilience Act der EU führt erhebliche neue regulatorische Anforderungen ein.
Unterdessen sparen Unternehmen allein durch die Verwendung von Open-Source-Java jährlich Millionen Dollar. Die jährlichen Gesamteinsparungen durch Open Source? Konservativ geschätzt 100 Milliarden Dollar. Einige schätzen den Wert sogar auf 8,8 Billionen Dollar.
Und wie sieht es mit den Investitionen in diese Infrastruktur aus? Lächerlich unzureichend. Milliarden-Dollar-Ökosysteme basieren auf Freiwilligkeit und unbezahlten Wochenenden.
Der Weckruf
Die gemeinsame Erklärung von OpenSSF, Packagist, Maven Central, PyPI, crates.io und anderen ist keine Übertreibung. Es ist ein verzweifelter Appell: Dieses System bricht zusammen.
Wenn die Leute, die sich um die Wartung kümmern, ausbrennen, werden Projekte einfach aufgegeben. Sicherheitslücken häufen sich. Wichtige Infrastruktur wird instabil. Wir alle haben schon gesehen, was für ein Chaos entsteht, wenn ein einziges Paket wie left-pad oder colors.js kaputtgeht und Tausende von Projekten davon betroffen sind.
Stell dir jetzt mal vor, dass sie alle abgeschaltet werden. Für einen Tag. Eine Woche. Einen Monat.
Was sich ändern muss
Die Forderungen sind doch nicht so abwegig:
- Entwicklerinnen und Entwickler: Implementiert richtiges Caching in CI/CD. Hört auf mit unnötigen Nutzungsmustern.
- Unternehmen: Investiere in die Infrastruktur. Wenn du mit Open Source Millionen sparst, steck ein paar Tausend wieder rein.
- Entwicklerinnen und Entwickler von Werkzeugen: Entwerft Werkzeuge mit Blick auf die Auswirkungen auf die Infrastruktur. Aktiviert beispielsweise standardmäßig Caching.
- Alle: Mach dir klar, dass "kostenlose" Infrastruktur nicht wirklich kostenlos ist: irgendjemand übernimmt die Kosten dafür.
Wir haben eine globale Softwareindustrie im Wert von Billionen Dollar aufgebaut, und das auf Kosten von unterfinanzierten Freiwilligen und gemeinnützigen Organisationen. Wir haben die Idee normalisiert, dass kritische Infrastruktur "kostenlos" sein sollte, während Unternehmen enormen Wert daraus ziehen.
Im Moment ist jedes "composer install", "npm install" und "cargo build" ein Akt der Großzügigkeit, der die Gewinnmargen der Unternehmen subventioniert.
Und in dieser Größenordnung ist Großzügigkeit kein Geschäftsmodell.
Das wahrscheinlichere Szenario
Dieser einmonatige Streik? Der würde nie passieren. Die Maintainer von Open Source sowie die Betreiber der Package Registries sorgen und kümmern sich zu sehr; sie sind zu sehr darauf bedacht, dass alles läuft. Aber vielleicht ist genau das das Problem. Vielleicht muss die Branche erst die Konsequenzen spüren, bevor sie ihre Schulden anerkennt.
Damit Open-Source-Projekte und Package Registries effizient funktionieren, sind sie stark von US-amerikanischen Infrastrukturanbietern wie GitHub, Azure, AWS und EC2 abhängig. Das bedeutet, dass wir für wesentliche Aspekte unserer Arbeitsprozesse in der Softwareentwicklung auf ausländische Plattformen angewiesen sind.
Wären wir beispielsweise plötzlich von diesen US-Diensten abgeschnitten – etwa aufgrund geopolitischer Spannungen, Cybersicherheitsvorfällen oder regulatorischer Unstimmigkeiten –, hätte das schwerwiegende Folgen für die digitale Souveränität und wirtschaftliche Stabilität auf dem ganzen Kontinent.
Ein solches Szenario macht deutlich, wie dringend Investitionen in eine souveräne europäische Infrastruktur und einheimische Lösungen benötigt werden, um langfristige technologische Unabhängigkeit und Widerstandsfähigkeit in einer turbulenten Welt zu gewährleisten.
