Einblicke in die Arbeit von Sovereign Tech Fellow Jan Kowalleck

Ich habe einen Background als Software-Entwickler und bin darin seit über 15 Jahren in verschiedenen Bereichen tätig. Im Laufe der Jahre habe ich zahlreiche Open-Source-Projekte gestartet oder begleitet, und mich nie davor gescheut, selbst kleine Verbesserungen einzureichen. Meine Mitarbeit bei OWASP CycloneDX begann mit einem einfachen Bugfix für eine Implementierung, die ich für meinen Job brauchte. Dabei konnte ich das Projekt und seine Codebase besser kennenlernen. Schon bald gehörte ich zu den regelmäßigen Mitwirkenden und entwickelte auch neue Features. Die Maintainer*innen unterstützten mich dabei sehr, und die Community nahm mich herzlich auf.

Später entwarf ich eine Roadmap, um das Projekt wiederverwendbarer zu machen und für neue Mitwirkende attraktiver zu gestalten. Ich stellte diese Roadmap der Community vor, die mich dazu ermutigte sie weiterzuverfolgen. Während der Umsetzung meiner Ideen begleiteten mich die Maintainer*innen als Mentor*innen. Schließlich wurde ich selbst Maintainer dieser speziellen Implementierung.

Im Laufe der Zeit übernahm ich mehr Aufgaben, wurde Maintainer weiterer Implementierungen, betreute neue Maintainer*innen, half der Community bei der Entwicklung bestehender Implementierungen und unterstützte die CycloneDX Core Working Group bei Iterationen des Bill-of-Materials-Standards (BOM). Schließlich wurde ich Mitglied der Core Working Group und Project Co-Lead von OWASP CycloneDX als Ganzes. Ohne die offene und herzliche Kultur der CycloneDX-Community wäre ich nicht da, wo ich heute bin. Ich versuche, diesem Geist gerecht zu werden, indem ich andere zur Zusammenarbeit und Mitwirkung ermutige.

Die CycloneDX-Spezifikation ist ein modulares und erweiterbares Framework, das eine breite Palette von Lieferketteninformationen repräsentiert. Es handelt sich um einen internationalen Standard, der mit Implementierungen für die Datenaustauschformate XML, JSON und Protocol Buffers ausgestattet ist und sich mit Transparenz- und Lieferkettenproblemen für Software, Hardware und wirklich allen Arten von Waren und Prozessen beschäftigt. Die Spezifikation entwickelt sich schnell weiter und wird von der Community vorangetrieben, mit jährlichen Releases, die Verbesserungen, Korrekturen und neue Features beinhalten. Ich arbeite mit verschiedenen Communitys und Fachexpert*innen zusammen, um neue Features zu entwickeln, die Dokumentation zu verbessern und einen Beitrag zum weiteren Standardisierungsprozess zu leisten.

Neben der Spezifikation selbst arbeite ich auch an Mehrzweck-Implementierungen von CycloneDX. Dabei handelt es sich um Software-Bibliotheken in Sprachen wie PHP, TypeScript und JavaScript sowie Python. Gemeinsam mit der Community helfe ich bei der Implementierung neuer Features, stelle Dienstprogramme bereit, pflege die Dokumentation und sorge für die allgemeine Qualität und Zuverlässigkeit.

Ein weiterer wichtiger Teil meiner Arbeit beschäftigt sich mit SBOM-Generatoren. SBOM steht für Software Bill of Materials, und Generatoren sind die Tools, die aus vorhandenen Elementen wie Projekt-Setups, Paketmanifesten und Sperrdateien automatisch SBOMs erzeugen. Genaue und vollständige SBOMs sind entscheidend für ein ordnungsgemäßes Risikomanagement und für die Analyse der Sicherheitssituation eines Projekts. Ich arbeite mit der Community an der Verbesserung dieser Generatoren in verschiedenen Ökosystemen, einschließlich PHP mit Composer, des gesamten Node.js-Raums mit npm, Yarn und pnpm, des Python-Ökosystems mit venv, pipenv, poetry und requirements.txt sowie Tools wie Webpack.

Ich arbeite mit der Community an der Verbesserung dieser Generatoren in verschiedenen Ökosystemen, einschließlich PHP mit Composer, des gesamten Node.js-Raums mit npm, Yarn und pnpm, des Python-Ökosystems mit venv, pipenv, poetry und requirements.txt sowie Tools wie Webpack.

Außerdem beschäftige ich mich in meiner Arbeit mit verwandten Bereichen der Standardisierung und Entwicklung, helfe bei der Pflege von Drittanbieter-Tools und -Bibliotheken in diesen Bereichen und betreue Mitwirkende, wo immer es nötig ist.

Das Fellowship ermöglicht es mir, meine wichtige Arbeit an kritischen Infrastrukturen fortzuführen und gleichzeitig meinen Lebensunterhalt zu bestreiten. Im Laufe der Jahre habe ich immer mehr Aufgaben im CycloneDX-Projekt übernommen. Es passiert immer viel, die Community erforscht ständig neue Ideen und das ganze Gebiet selbst entwickelt sich sehr schnell. Meine Aufgabe ist es oft, diese Ideen gemeinsam mit anderen zum Leben zu erwecken und Raum für Innovationen zu schaffen.

Das bevorstehende Release des internationalen Standards CycloneDX ist besonders spannend, da es viele neue Features enthält, auf die sich die Community schon freut. Im Moment arbeite ich mit anderen Mitwirkenden intensiv daran, diese Features zu spezifizieren und zu standardisieren. Wenn das erledigt ist, besteht die nächste Herausforderung darin, sie in verschiedenen Tools und Bibliotheken zu implementieren, damit sie in der Praxis genutzt werden können.

Daneben gibt es die laufende Community-Arbeit: Dokumentation, Tech-Stacks und Qualitätssicherung auf dem neuesten Stand halten sowie Tickets, Korrekturen und Features entwickeln, besprechen und priorisieren.

Das Fellowship gibt mir die Möglichkeit, mich ganz intensiv diesen Aufgaben zu widmen, ohne alles nur an Abenden oder Wochenenden machen zu müssen. Es erlaubt mir, größere, strategischere Aufgaben zu übernehmen und gleichzeitig präsenter und unterstützend für die Community zu sein.

Ich engagiere mich in verschiedenen Open-Source-Communitys, vor allem rund um Lieferketten und Transparenz, aber auch in größeren Software-Ökosystem-Projekten. Diese Communitys sind unglaublich vielfältig: Menschen mit ganz unterschiedlichen kulturellen Wurzeln, Ausbildungen und beruflichen Erfahrungen kommen hier zusammen. Alle Personen bringen andere Interessen, Zeitkontingente und Ressourcen mit. Genau diese Mischung ist typisch für ehrenamtlich getragene Open-Source-Projekte – und macht sie so spannend.

Die Communitys freuen sich über jede Mitwirkung, doch die große Vielfalt macht es manchmal schwer, einen Konsens zu finden. Nicht alle sind mit den getroffenen Entscheidungen zufrieden, und manchmal ist ein Kompromiss die für alle Beteiligten unbefriedigendste Lösung. Entscheidend ist, Entscheidungen zu treffen, die dem Projekt und seinen Zielen dienen, auch wenn dadurch jemand enttäuscht wird. Meistens zeigen die Beteiligten am Ende jedoch Verständnis und bleiben Teil des Projekts, auch wenn ihr eigener Ansatz nicht durchgesetzt werden konnte. Der Fokus sollte stets auf dem Projekt und seinen Zielen liegen, nicht auf den Egos der Beteiligten und schon gar nicht auf dem eigenen.

Am meisten Spaß macht mir die Zusammenarbeit mit anderen im Bereich des Anforderungsmanagements, wo wir zunächst die tatsächlichen Bedürfnisse und Einschränkungen untersuchen. Dann versuchen wir, Lösungen zu finden, die passen, in der Praxis funktionieren und im Laufe der Zeit verbessert werden können. Mein Rat an andere, die daran interessiert sind,Maintainer*in zu werden: Es ist wichtig, Veränderungen gegenüber offen zu sein. Bei Open Source-Projekten ist nichts in Stein gemeißelt, und Flexibilität ist der Schlüssel zum Erfolg und zur Zusammenarbeit.

Wenn ich mich nicht gerade mit Open-Source-Projekten beschäftige, zieht es mich nach draußen. Ich wandere sehr gerne und stecke gerade mitten in den Vorbereitungen für eine mehrtägige Tour, auf die ich mich sehr freue.

Abgesehen davon spiele ich auch gern Videospiele, besonders Point-and-Click-Adventures. Klassiker wie Monkey Island haben es mir angetan, aber auch neuere Spiele dieses Genres finde ich spannend.

Wir sind dankbar, dass Jan Teil der ersten Kohorte des Sovereign Tech Fellowships ist und für seine unermüdlichen Beiträge zum FOSS-Ökosystem. Wenn du an Jans Arbeit interessiert bist, kannst du die unten gelisteten Repositories aufrufen.

• CycloneDX Python library
• CycloneDX SBOM generator for npm
• CycloneDX PHP Composer Plugin