Im Rahmen unseres netidee-Projekts haben wir in den vergangenen Monaten 22 semistrukturierte Interviews mit Menschen aus dem Open-Source-Ökosystem geführt – von Entwickler:innen in Großkonzernen bis hin zu Selbstständigen, von Einsteiger:innen bis zu Veteran:innen mit über 20 Jahren OSS-Erfahrung. Alle Interviews wurden aufgezeichnet und unter Zuhilfenahme von Whisper (konkret: noScribe) transkribiert.

Insgesamt wurde eine zufriedenstellende Diversität erreicht, auch durch die Verteilung des Aufrufes in verschiedenen Untercommunitys; nach wie vor im Sample unterrepräsentiert sind ältere Menschen sowie (trotz gezielter Suche) Nichtmänner. Die Gespräche dauerten im Schnitt eine gute Stunde – vielen Dank allen Gesprächspartner:innen für ihre Zeit!

In den Interviews haben wir uns mit drei Schwerpunktthemen befasst, um die weitere Entwicklung von CrOSSD und die entsprechende Begleitforschung auf eine bessere empirische Basis zu stellen:

• Definitionen und Verständnisse von OSS-Qualität und -Projekt„gesundheit“
• Konzepte und Charakteristika von Kritikalität
• Bedürfnisse, Erwartungen, Feature-Requests etc. bzgl. CrOSSD

In den Interviews zeichnete sich ein vielschichtiges Bild bzgl. der Qualitätsverständnisse von Open-Source-Projekten ab. Zwar wurde die Funktionalität als grundlegend angesehen, doch reichte sie selten aus. Insgesamt waren die am häufigsten genannten Faktoren für Projektgesundheit die von uns vorab erwarteten: Beliebtheit/Verbreitung der Nutzung, Dokumentationsqualität, Anzahl der Contributors und Aktivität. Es gab darüber hinaus aber einige Varianz und einige interessante Outlier in den Daten, die es noch näher zu analysieren gilt. 

Die Definition von Kritikalität erwies sich als überraschend komplex; wenige der Interviewten hatten vorab eine klare Vorstellung davon und viele stellten Rückfragen, was wir denn damit meinten. Dennoch zeichneten sich gewisse Gemeinsamkeiten in den Interviews ab. Ein roter Faden war insbesondere die Frage der Dependencys und der Auswirkungen im Falle eines Ausfalls. Kritische Open-Source-Software wurde als tief in andere Systeme, Infrastrukturen oder Arbeitsabläufe eingebettet beschrieben, was bedeutet, dass ein Ausfall oder eine Kompromittierung erhebliche Folgewirkungen nach sich ziehen würde. 

Die Interviews zeigen, dass CrOSSD als potenziell sehr wertvoll angesehen wird und eine klare Lücke in der Open-Source-Sicherheitslandschaft schließt. Es herrschte die überwältigende Meinung vor, dass ein Tool, das die automatisierte Erkennung von Schwachstellen und die Abhängigkeitsanalyse speziell für Open-Source-Projekte erleichtert, dringend benötigt wird, insbesondere angesichts der zunehmenden Komplexität von Software-Lieferketten. Es wurden jedoch auch einige wichtige Vorbehalte und Vorschläge geäußert; einige Interviewte betrachteten ein derartiges Tool für sich selbst sogar für kaum oder gar nicht nützlich. Insgesamt lieferten die Interviews damit eine große Bandbreite an Input für die Weiterentwicklung von CrOSSD, die wir in den kommenden Projektphasen weiterführen und einfließen lassen werden. 

Die Erkenntnisse aus den Interviews fließen direkt in wissenschaftliche Publikationen ein, die derzeit noch in Vorbereitung sind, sowie auch in die Weiterentwicklung der Metrikauswahl und der Plattformfunktionalitäten. Insbesondere wurden die Ergebnisse auch bei der Präsentation auf der CHAOSScon EU 2026 vorgestellt und diskutiert, was zu positivem Feedback aus der internationalen Community führte.