Die Schlagzeilen um log4j liegen erst wenige Wochen zurück und haben eine intensive Diskussion über die Sicherheit von Open-Source-Software im Speziellen, aber auch über Software-Supply-Chains im Allgemeinen ausgelöst. Denn neben der Kritikalität einzelner Programmbibliotheken und Module wird deutlich, dass durch kritische Abhängigkeiten ganze Softwarestacks und Software-Lieferketten gefährdet sein können. Dazu reihte sich vor Kurzem eine (erneute) Debatte um die Finanzierung von kritischen Open-Source-Paketen, die durch den Entwickler der Open-Source-Projekte Colors.js und Faker.js ausgelöst wurde [1].

‍