Die Open Source Sustainability Initiative ist laut Commonhaus Foundation der jüngste Vorstoß der Stiftung zur Förderung und Pflege von Open-Source-Projekten. Im Mittelpunkt steht dabei nicht die Entwicklung neuer Software, sondern die Phase, in der Projekte ihr End-of-Life erreichen und Unternehmen dennoch weiter auf sie angewiesen sind.

Erin Schnabel, Vorsitzende der Commonhaus Foundation, beschreibt wiederkehrende Muster in den betreuten Projekten: Unternehmen betrieben EOL-Software weiter, obwohl ein Upgrade noch nicht möglich sei, während zugleich weiterhin CVEs gegen diese Software gemeldet würden. Genau daraus leite sich die Notwendigkeit der Initiative ab. Software höre nicht auf zu laufen, nur weil die Maintainer sich anderen Aufgaben zugewandt hätten, so Schnabel gegenüber Dark Reading.

Laut Mitteilung der Stiftung soll OSSI die „Transparenz über den Lebenszyklus und die Zusammenarbeit zwischen Maintainern, Stiftungen, Partnern des Ökosystems und der breiteren Open-Source-Community“ verbessern. Praktisch geht es dabei um mehrere Aufgaben zugleich: die Behebung von CVEs, Unterstützung bei der Migration auf neuere Releases sowie Hilfe dabei, regulatorische Anforderungen einzuhalten.

Wie stark Open Source inzwischen in Unternehmen verankert ist, unterstreicht der 2026 Open Source Security and Risk Analysis Report von Black Duck. Demnach ist die Zahl der Komponenten pro Anwendung im Jahresvergleich um 30 Prozent gestiegen. Black Duck erklärt zudem, Open Source sei in kommerzieller Software inzwischen faktisch allgegenwärtig, während sich die durchschnittliche Zahl von Open-Source-Schwachstellen pro Codebasis mehr als verdoppelt habe.

Rob Nalen, COO von HeroDevs und Gründungsmitglied der Initiative, sagt, Unternehmen investierten inzwischen so viel Zeit in Modernisierung und das Nachhalten des Open-Source-Lebenszyklus, dass dies die eigentliche Arbeit behindere. HeroDevs wolle Firmen geprüfte Optionen bieten, um sicher zu bleiben, ohne von freiwilligen Projektmitarbeitern zu erwarten, Releases auf unbegrenzte Zeit zu unterstützen. Der Arbeitsaufwand, der auf Open-Source-Communities laste, sei „offen gesagt nicht zu bewältigen“.

Einen Teil des Drucks führt Nalen auf den Einsatz von Künstlicher Intelligenz zurück. KI werde genutzt, um Code zu schreiben und Schwachstellen zu finden, und finde Lücken schneller, als Teams sie beheben könnten. Es gebe ein Wettrennen zwischen dem Einsatz von KI zum Finden und Ausnutzen von CVEs und den Bemühungen von Communities und Unternehmen, mitzuhalten und zu klären, ob Schwachstellen bereits erkannt wurden und wie sie zu patchen sind.

Für die Modernisierung auslaufender Software könne KI zwar hilfreich sein, sagt Nalen, sie ersetze diesen Prozess aber nicht. Wiederkehrende Aufgaben wie das Umschreiben veralteten Codes oder das Anwenden bekannter Muster könne sie beschleunigen. Probleme entstünden jedoch auf Framework-Ebene: KI berücksichtige nachgelagerte Abhängigkeiten in der Entwicklung nicht ausreichend und könne halluzinieren. Sie könne Code zwar in Sekunden aktualisieren, habe aber Schwierigkeiten, die Hunderte zugrunde liegender Bibliotheken von Drittanbietern ohne Funktionsbrüche mitzuziehen, vor allem wenn diese nicht denselben Versionssprung vollzogen hätten.

Commonhaus und die beteiligten Unternehmen verknüpfen das Thema auch mit Compliance. Die Bearbeitung von EOL-Problemen könne Sicherheitsvorfälle verringern, indem zumindest ein Teil möglicher Angriffsvektoren begrenzt werde. Zudem unterstütze sie die Einhaltung von PCI DSS in den USA oder des europäischen Digital Operational Resilience Act (DORA). In PCI DSS 4.0 verlangt Anforderung 12.3.4, dass Organisationen Software und Hardware jährlich darauf überprüfen, ob die eingesetzten Technologien das End-of-Life erreicht haben. Wird Legacy-Software weiter genutzt, ist ein Sanierungsplan erforderlich.