Wenn Open Source-Projekte sich auf ihren Lorbeeren ausruhen (Teil 2)

Wie versprochen kommt heute der zweite Teil. Während es im Teil 1 um den Musikplayer Amarok ging, widme ich mich heute dem Open Source CMS Joomla.

Joomla, der einstige Fork des kommerziellen Mambo CMS, hat sich in den letzten Jahren beständig weiter entwickelt. Mittlerweile wird es oft im privaten Bereich eingesetzt und wurde durch positives Feedback aus der Community und durch Preise ziemlich gehätschelt. Das hat dem Projekt wohl nicht so gut getan.

Ich war meinerzeit ebenfalls Joomla-Anwender, was damals vor allem dem Mangel an Alternativen geschuldet war. Die Einführung von Joomla 1.5 erschien viel versprechend und so habe ich es auch für den professionellen Einsatz verwendet. Das stellte sich im Laufe der Zeit jedoch als großer Fehler heraus. Mir wurde in dieser Zeit bewusst, dass ein ordentliches Qualitätsmanagement (QM) auch für Open Source-Software unabdingbar ist. Doch ein QM war bei Joomla nicht vorhanden, was sich einmal mehr als bemerkbar machte:

Mit Version 1.5.13 kam ein kritisches Sicherheitsupdate heraus. Die Empfehlung war natürlich, sofort ein Update durchzuführen. Gesagt getan und gleich bereut, denn mit dem Update wurden zwei Bugs eingeführt, die die Benutzung des Systems nahezu unmöglich machten. Ok, es kann ja mal passieren, dass Bugs durch ein Update eingeführt werden. In dieser Situation hofft man, dass danach gleich ein zweites Update nachgeschoben wird, dass die Bugs ausmerzt. Die Probleme waren dem Entwicklerteam bekannt, doch es geschah nichts.

Was waren also die Alternativen? Ein Downgrade und damit riskieren, dass die Sicherheitslücke ausgenutzt wird oder beim Update bleiben und ein kaputtes System haben? Erinnert an die Wahl zwischen Pest und Cholera. Denn die Sicherheitslücke war wirklich gravierend:

Tiny browser included with TinyMCE 3.0 editor allowed files to be uploaded and removed without logging in. (Quelle)

Erst nach langen acht Tagen kam das ersehnte Update.

This release contains fixes for two material bugs that were introduced in version 1.5.13 and one low level security issue. Instead of waiting for a normal 6 to 8-week release cycle, this release is being made available to users now. It has been eight days since Joomla 1.5.13 was released on July 22, 2009.

Beim Lesen dieser Ankündigung fielen mir fast die Augen aus. Vielleicht bin ich da ein bisschen anfällig oder habe zu hohe Ansprüche. Aber mal ehrlich: Der User steht vor der Wahl zwischen Pest und Cholera, was mein Fehler war und muss acht Tage auf ein Update warten und dann brüste ich mich damit, dass ich aus dem normalen Release-Zyklus ausbreche, frei nach dem Motto „Ihr könnt euch glücklich schätzen, dass ihr das Update jetzt kriegt und nicht erst in 6-8 Wochen“. So geht’s nicht! Leider war es nicht das einzige Mal, dass ein Update mehr Probleme verursachte, wie das es Probleme behob.

Doch das war nicht die einzige Enttäuschung. Im Einsatz waren auch Plugins, deren Entwickler die selbe Mentalität an den Tag legten. Einige dümpelten Jahre nach Veröffentlichung von Joomla 1.5 noch im Kompatibilitätsmodus herum. Professionelle Einstellung: Fehlanzeige. Kaum ein Plugin funktioniert ohne Eingriff in den Code. Oftmals wurden Plugins mit falschen Features angepriesen und waren derart schlampig programmiert, dass einem schlecht wurde. Es konnte ja jeder einfach ein Plugin im Repository veröffentlichen, ein QM, dass ein Mindestmaß an Funktionalität und Sicherheit erfordert, existiert(e) ja nicht.

Joomla hatte viel Potenzial, ein gutes CMS zu werden, das man hätte auch professionell einsetzen können. Doch stattdessen verzichtete man auf ein ordentliches QM und auch die Entwickler einiger Plugins machten es nicht anders. Einige widersetzten sich diesem Trend. So war FacileForms eine richtig professionelle Extension. Doch dann entschied dessen Entwickler sein Engagement für Joomla einzustellen. Die Gründe kann man auf seiner Website nachlesen. Kritikpunkte, die ich mit ihm teile. Genau wie er entschied ich mich zur selben Zeit, mich von Joomla zurückzuziehen und nach einem anderen CMS umzuschauen.

Ich möchte nicht falsch verstanden werden, ich weiß, dass es sich bei Open Source oft um freiwillige Projekte handelt und man nicht die Maßstäbe kommerzieller Produkte anlegen kann. Doch diese Maßstäbe sollten das Ziel sein. Potenzial ist oft da, es wird nur nicht richtig genutzt. Oder man verfällt aufgrund der bisherigen Erfolge in Lethargie und ruht sich auf den Lorbeeren aus. Das tut dem gesamten Projekt nicht gut und rächt sich irgendwann.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.