Einblicke in die Arbeit von Sovereign Tech Fellow Stefan Eissing

So richtig offiziell bin ich 2015 in die Open-Source-Welt eingestiegen, als ich HTTP/2 für den Apache-Webserver implementiert habe und der Apache Software Foundation beigetreten bin. Aber meine Leidenschaft für Computer hat schon viel früher angefangen – in den 80ern, als man Software unter Labels wie Freeware und Shareware geteilt hat. Damals gab es keine echte Netzwerk-Infrastruktur. Gemeinsam am gleichen Code zu arbeiten, über verschiedene Orte hinweg, war schlicht nicht machbar. Stattdessen hat man sich mit Leuten aus der Umgebung zusammengetan, ist regelmäßig bei jemandem zu Hause vorbeigekommen und hat gegenseitig die Änderungen abgeglichen.

Gleichgesinnte haben einfach zusammengearbeitet, ohne dass Geld eine Rolle spielte, nur mit dem Ziel, unsere Rechner besser zu machen, nützlicher für alle. Und genau dieser Spirit von damals ist für mich auch heute noch ein zentraler Teil von Open Source.

In den 1980er-Jahren entwickelte eine Gruppe von Freunden und ich in meiner Heimatstadt Münster eine Mailbox-Software, mit der sich Nutzer per Modem einwählen und Nachrichten austauschen konnten. Die Lösung war ein voller Erfolg, auch wenn sie sich deutlich auf die Telefonrechnung meiner Eltern auswirkte. Ferngespräche waren damals noch richtig teuer. Mit der Zeit kamen Netzwerkfunktionen dazu, die es Menschen in anderen Städten ermöglichten, eigene Mailboxen aufzusetzen und sie miteinander zu verbinden. Gegen Ende des Jahrzehnts waren über 120 Städte in Deutschland, Österreich und der Schweiz Teil dieses Netzwerks. Alles entstand in freiwilliger Arbeit – frei verfügbar, kostenlos geteilt. Natürlich konnte das Projekt mit dem aufkommenden Internet irgendwann nicht mehr mithalten und wurde schließlich eingestellt. Aber es hat eindrucksvoll gezeigt, was eine kleine Gruppe engagierter Menschen erreichen kann, wenn sie offen zusammenarbeitet und Technik gemeinsam weiterentwickelt. Der Spirit von Offenheit und Zusammenarbeit hat mich damals begeistert und prägt meine Arbeit bis heute.

Nach fast zwei Jahrzehnten in der kommerziellen Softwareentwicklung waren die Open-Source-Projekte, mit denen ich ab 2015 begonnen habe, enorm bereichernd. 2021 habe ich mich dann entschlossen, ganz in die Open-Source-Welt zu wechseln: Ich kündigte meine Festanstellung und machte mich als Freelancer selbstständig. Im Jahr darauf stieß ich zum curl-Projekt.

Schon in meiner kommerziellen Tätigkeit lag mein Fokus stark auf Netzwerktechnologien, insbesondere auf HTTP, also dem Protokoll, das die Kommunikation zwischen Webbrowsern und Servern ermöglicht. Darüber bin ich schließlich auch dazu gekommen, HTTP/2 für den Apache-Webserver zu implementieren. Nach den Snowden-Enthüllungen hat die Bedeutung von Transport Layer Security (TLS) enorm zugenommen, spätestens als selbst Google feststellte, dass ihr unverschlüsselter interner Datenverkehr überwacht wurde. Der Bedarf an sicherer Kommunikation ist seither massiv gestiegen, und Dienste wie Let’s Encrypt wurden dadurch für alle zur Schlüsseltechnologie. Vor dem Start von Let’s Encrypt im Jahr 2016 war es technisch kompliziert und oft teuer, eine Website mit TLS abzusichern, dabei ist das entscheidend für Datenschutz und Datenintegrität. Gerade kleinere Betreiber oder auch öffentliche Stellen hatten damit große Schwierigkeiten. Dank der Standards, Technologien und Services von Let’s Encrypt sind heute rund 90 % aller Websites mit TLS abgesichert.

Ich freue mich, dass ich diesen Wandel aktiv unterstützen konnte, mit einer Integration in den Apache-Webserver, gesponsert von Mozilla. Heute genügen ein paar Konfigurationszeilen, um in wenigen Sekunden einen sicheren Webserver bereitzustellen, inklusive automatischer Zertifikatsverwaltung und -erneuerung. Aktuell geht die Entwicklung weiter: Das ACME-Protokoll (Automatic Certificate Management Environment), das Let’s Encrypt antreibt, wird kontinuierlich verbessert. Noch in diesem Jahr wird Let’s Encrypt die Unterstützung für OCSP (Online Certificate Status Protocol), also den bisherigen Standard zur Zertifikatsrücknahme, einstellen. Stattdessen kommen voraussichtlich bald Kurzzeit-Zertifikate mit nur sechs Tagen Gültigkeit, ein weiterer Schritt für mehr Automatisierung und besserer Sicherheit.

2022 lud mich Daniel Stenberg, Gründer und Gesicht von curl, ein, beim Projekt mitzumachen. Curl war eines der ersten Projekte, das vom Sovereign Tech Fund beauftragt wurde, und in den sechs Monaten Laufzeit konnten wir einiges erreichen. Daniel kannte ich bereits seit 2015, als wir beide an HTTP/2 gearbeitet haben. Über die Jahre hinweg habe ich auch regelmäßig an „curl-up“-Meetups teilgenommen, persönlichen Treffen von Mitwirkenden am Projekt.

Mittlerweile stammen rund 25 % des produktiven curl-Codes aus meiner Feder oder wurden von mir überarbeitet. Ich habe große Teile der internen Architektur refaktoriert, um den Umgang mit verschiedenen Protokollen, Protokollversionen, TLS-Backends und Proxy-Szenarien modularer und wartungsfreundlicher zu gestalten. Außerdem konnten wir die HTTP/2-Performance um den Faktor zwei bis drei verbessern – was ein Spaß!

So gerne ich an meinen Projekten arbeite, auch freiwillig, es ist dennoch umso befriedigender, wenn diese Arbeit auch so wertgeschätzt wird, dass sie meine Miete zahlt. Finanzielle Unterstützung für Open-Source-Projekte zu finden, ist immer eine Herausforderung und im letzten Jahr ist es noch schwieriger geworden, weil viele US-Unternehmen ihr Engagement zurückgefahren haben. Manche investieren noch in neue Features, aber nur wenige sind bereit, auch die laufende Wartung zu finanzieren.

Gerade deshalb ist die Sovereign Tech Fellowship so eine großartige Initiative. Als ich zum ersten Mal davon hörte, war ich ehrlich begeistert und umso glücklicher, Teil der ersten Kohorte zu sein. Ich hoffe sehr, dass das Programm weitergeführt wird und noch vielen anderen die Möglichkeit bietet, für ihre Beiträge zur digitalen Infrastruktur, die uns alle umgibt, auch fair entlohnt zu werden.

Wie auch andere Infrastrukturen wird Open-Source-Software vom Markt oft im Hinblick auf die langfristige Wartung vernachlässigt. Dabei hat Open-Source-Software in vielen Bereichen ihre kommerziellen Pendants sowohl in puncto Innovation als auch Stabilität überholt – was letztlich allen zugutekommt, auch den Unternehmen. In diesem Sinne bin ich der Meinung, dass öffentliche Investitionen nicht nur gerechtfertigt, sondern notwendig sind.

Mit anderen zu sprechen, die die gleiche Leidenschaft teilen, ist unglaublich bereichernd, das gilt eigentlich für fast jedes Berufsfeld. Doch im Bereich Software ist der Kreis der Menschen, mit denen man wirklich auf Augenhöhe reden kann, ziemlich begrenzt. Wir alle kennen das Frustgefühl, wenn man versucht, seine Arbeit Leuten ohne technisches Verständnis zu erklären, und sie dann anderen einfach sagen: „Er macht irgendwas mit Computern.“ Gleichgesinnte zu finden, ist entscheidend für den eigenen Verstand, sie sind die einzigen, mit denen man wirklich kommunizieren kann. Die gleiche Art von Wahnsinn, sozusagen.

Open Source ist der Bereich, in dem das am besten funktioniert. Die meisten Projekte haben keine echten Einstiegshürden. Sie haben oft mehr Aufgaben als Zeit und freuen sich sehr, wenn neue Leute dazukommen. Man kann einfach mal reinschnuppern und schauen, ob es passt. Und wenn es nicht der Fall ist, kein Problem, dann geht’s einfach weiter.

Wenn man sich die Liste der Mitwirkenden an curl anschaut, findet man fast 1.400 Personen, die zum Projekt beigetragen haben. Die meisten davon haben nur eine einzige Änderung vorgenommen – aber das bedeutet nicht, dass ihr Beitrag klein war. In einem Closed-Source-Projekt wären viele dieser Verbesserungen wahrscheinlich nie passiert, einfach weil diese Mitwirkenden keinen Zugang gehabt hätten.

Ein weiterer Vorteil von Offenheit ist die hohe Qualität vieler Fehlermeldungen, die wir erhalten. Oft nehmen sich die Leute die Zeit, das Problem gründlich zu untersuchen und den konkreten Teil im Code zu identifizieren, der es verursacht. Das macht es deutlich einfacher, eine Lösung zu entwickeln. Andere gehen vielleicht nicht ganz so tief, schaffen es aber trotzdem, sich selbst eine gepatchte Version zu bauen. Ein vorgeschlagener Fix kann dann oft in direkter Umgebung getestet werden, ganz ohne große Verzögerung. Das macht die Wartung effizienter und verbessert die Gesamtqualität spürbar.

In diesem Sinne ist Zusammenarbeit in Open Source nicht auf die Menschen beschränkt, die den Code schreiben – auch die Nutzer*innen gehören dazu. Vor allem dann, wenn ein Projekt so offen und reaktionsfreudig geführt wird wie curl, werden sie zu einem integralen Bestandteil des Entwicklungsprozesses.

Videospiele spielen, Bücher lesen, Anime auf Netflix schauen. Filmabende und Pizza mit meiner Tochter, die üblichen Dinge. ;-)

Wir sind dankbar, dass Stefan Teil der ersten Kohorte des Sovereign Tech Fellowships ist und für seine unermüdlichen Beiträge zum FOSS-Ökosystem. Wenn du an Stefans Arbeit interessiert bist, kannst du die unten gelisteten Repositories aufrufen.

• https://httpd.apache.org/
• https://curl.se/
• https://github.com/icing/mod_md