Max Mehl (Community)

Software-Lieferketten bei der Deutschen Bahn

Wed, 25 Mar 2026 00:00:00 +0000

Ich wurde mal wieder von Ralf Hersel zum “Captain it’s Wednesday” Podcast von GNU/Linux.ch eingeladen, um über Software-Lieferketten bei der Deutschen Bahn zu sprechen. Anlass waren meine jüngsten Vorträge auf der FOSS Backstage und der FOSDEM, in denen ich über die Herausforderungen und Chancen von Software-Lieferketten bei der DB gesprochen habe.

Mit Ralf habe ich mal ganz vorne angefangen: was ist eine Software-Lieferkette überhaupt, warum ist sie wichtig, und wie sieht sie bei einem großen Unternehmen wie der Deutschen Bahn aus, und was haben diese SBOMs damit zu tun? Wir haben über die enormen Mengen an Software-Komponenten gesprochen, die täglich bei der DB verarbeitet werden, und wie wir versuchen, den Überblick zu behalten und Risiken zu managen. Dabei ging es auch um die Rolle von Freier und Open Source in der Lieferkette und wie wir dabei mit der Community zusammenarbeiten.

Nach exakt 37 Minuten war das Gespräch auch schon wieder vorbei und natürlich konnten wir nicht in jedes Detail eintauchen. Aber ich hoffe, es war dennoch ein interessanter Einblick für die Zuhörenden.

OpenRail Day 2025 Moderation

Wed, 17 Dec 2025 00:00:00 +0000

I had the pleasure to moderate the OpenRail Day 2025 in Paris, organised by the OpenRail Association to share knowledge and experiences about Open Source software in the railway industry. This event brought together railway operators, digital experts, and Open Source communities from across Europe for a day dedicated to showcasing concrete Open Source projects already at work in the railway sector. The conference featured demonstrations, presentations, and workshops around projects like OSRD (Open Source Railway Designer), RCM OSS, LibLRS, and the Netzgrafik-Editor, all hosted by the OpenRail Association.

The event created a space for dialogue between technical, institutional, and industrial stakeholders around key topics such as interoperability, open standards, and international collaboration. Speakers included leaders from major European railway companies like SBB, SNCF, Infrabel, and ONCF, as well as representatives from the European Commission’s Open Source Programme Office. This first edition laid the foundation for a format designed to evolve and establish itself over time, in service of a more open and collaborative digital railway ecosystem.

All session recordings, presentations, and photos are available in the event replay section.

The Burden of Knowledge: Dealing With Open Source Risks

Mon, 10 Mar 2025 00:00:00 +0000

At FOSS Backstage 2025 in Berlin, I explored a critical challenge facing OSPOs and development teams: as we increase analysis of our software supply chains, tools and scorecards reveal potential risks in Open Source projects like low maintenance, lack of community, or poor security practices. But this data alone doesn’t help if it merely points out potential problems without offering solutions. The question is: how should we handle this burden of knowledge? Through manual reviews? Questionnaires? Funding? Or should we look away?

In this session, I focused on the strategic decisions organizations need to make when assessing risk in Open Source dependencies. Drawing from my experience at an organization using a six-digit number of Open Source packages, I explored the options between the extremes of “Let’s measure everything”, “Let’s avoid all risky Open Source”, and “Let’s not look at the data because it might scare off management”. I discussed how to decide whether to use a project, invest resources to support it, or move away from a dependency, and when it makes sense to actively engage with or withdraw from an Open Source project.

This talk provided an overview of feasible options and the foundation for a more informed discussion on managing Open Source risks strategically – without ignorance or fear.

The burden of knowledge: dealing with open-source risks (LWN.net)

Mon, 10 Mar 2025 00:00:00 +0000

My talk at FOSS Backstage (see earlier post) was also covered by LWN.net, in an article by Joe Brockmeier. It’s an extensive summary of the talk.

Organizations relying on open-source software have a wide range of tools, scorecards, and methodologies to try to assess security, legal, and other risks inherent in their so-called supply chain. However, Max Mehl argued recently in a short talk at FOSS Backstage in Berlin (and online) that all of this objective information and data is insufficient to truly understand and address risk. Worse, this information doesn’t provide options to improve the situation and encourages a passive mindset. Mehl, who works as part of the CTO group at DB Systel, encouraged better risk assessment using qualitative data and direct participation in Open Source.

[…]

You’re invited to read the full article.

Why DB Systel relies on Open Source for strategic collaboration

Sun, 01 Sep 2024 00:00:00 +0000

In this article, I explain why DB Systel relies on Open Source for strategic collaboration and how we approach Open Source at Deutsche Bahn. An essential tool for that is the OpenRail Association, a neutral platform for the railway industry to share and collaborate on Open Source software. The article also highlights the importance of community involvement and how DB Systel fosters a culture of openness and collaboration within the company.

Open Source software has become a must for any modern company. Anyone who operates a website, offers an app or even just uses servers is most likely using software components under Open Source licences. Many years ago, therefore, DB Systel decided to professionalise its use of Open Source.

You can read the full article on DB Systel’s website, see above.

Who are these Open Source maintainers, actually?

Tue, 14 May 2024 00:00:00 +0000

At Siemens Open Source 2024, I presented a narrative journey through the life of an Open Source maintainer, structured as a five-act drama with a happy ending. Through the story of “Alex”, a fictional developer, I explored what really drives maintainers, what they actually do beyond writing code, and the challenges they face when interacting with corporate structures. The talk moved from the initial motivation of creating a new tool driven by passion and intrinsic needs, through the growth into respected maintainership with community building responsibilities, to the eventual transition of passing on the role to ensure project sustainability.

The presentation highlighted the often-overlooked aspects of maintainership: responding to issues and pull requests, moderating discussions, ensuring code of conduct compliance, mentoring newcomers, designing roadmaps, and making strategic decisions. I also addressed the cultural and process differences between companies and Open Source communities – from hierarchical versus peer production models to the different resource availability and commitment structures. The key message: maintainers are not bosses but servants of their communities, and the true capital of an Open Source project lies not in the code, but in the people and community that keep it alive.

This talk emphasized that while maintainers differ in motivation, funding models, and governance structures, they share core characteristics: a high sense of responsibility, autonomous action, balance of interests, and servant leadership.

Freie Software bei der Deutschen Bahn

Wed, 15 Nov 2023 00:00:00 +0000

Im “Captain it’s Wednesday” Podcast von GNU/Linux.ch sprach ich mit Ralf Hersel über Freie Software bei der Deutschen Bahn. Das Gespräch fand rund ein Jahr nach meinem Wechsel von der FSFE zur DB Systel statt und bot eine gute Gelegenheit, über meine neue Rolle zu sprechen und zu reflektieren, wie ein großer Konzern wie die Deutsche Bahn mit Open Source umgeht. Der CIW-Podcast richtet sich an die deutschsprachige GNU/Linux- und Freie-Software-Community und behandelt regelmäßig technische und gesellschaftliche Themen rund um Freie Software.

Im Gespräch erzählte ich von meinem Werdegang – über 10 Jahre im FOSS-Umfeld, lange Zeit bei der FSFE mit politischer Arbeit, Öffentlichkeitskampagnen wie “Public Money, Public Code” und technischen Themen wie REUSE, und dann der Wechsel zur DB Systel im Herbst 2022. Ich beschrieb meine Rolle als Teil des virtuellen “Open Source Program Office” der Bahn, wo wir uns um alles rund um Open Source kümmern: von Einsatz und Contributions über Richtlinien und Beratung bis hin zur strategischen Ausrichtung mit dem Open Source Manifest der DB. Ein besonderer Schwerpunkt war die Gründung der OpenRail Association – eine Kollaboration mit anderen europäischen Bahnen zur gemeinsamen Entwicklung von Open Source für den Eisenbahnsektor.

Die Diskussion beleuchtete, wie die DB enorm viel Open Source einsetzt, in vielen Projekten als Contributor aktiv ist, eigene Software veröffentlicht und Mitglied in verschiedenen Foundations ist. Wir sprachen auch über die Herausforderungen eines so großen, föderierten Konzerns mit über 300.000 Mitarbeitenden und wie man versucht, Open-Source-Prinzipien in dieser Struktur zu verankern. Das Gespräch endete mit einem Aufruf an die Community: Contributions zu unseren Open-Source-Projekten sind willkommen, und wir suchen immer mehr Freie-Software-Enthusiasten, die bei der Bahn mitarbeiten möchten.

Was machen eigentlich Open-Source-Maintainer?

Wed, 27 Sep 2023 00:00:00 +0000

Auf dem 9. Bitkom Forum Open Source in Erfurt präsentierten Cornelius Schumacher und ich eine Erzählung über das Leben von Open-Source-Maintainern, strukturiert als Drama mit Happy End. Durch die Geschichte von “Alex”, einer fiktiven Entwicklerin, beleuchteten wir, was Maintainer wirklich antreibt, was sie jenseits des Programmierens tun und welchen Herausforderungen sie sich stellen müssen. Der Vortrag führte von der anfänglichen Motivation, ein neues Tool aus Leidenschaft und eigenem Bedarf zu schaffen, über das Wachstum zur respektierten Maintainerin mit Community-Building-Verantwortung bis hin zum Übergang der Rolle für die Nachhaltigkeit des Projekts.

Die Präsentation hob die oft übersehenen Aspekte der Maintainership hervor: Beantwortung von Issues und Pull Requests, Moderation von Diskussionen, Sicherstellung der Einhaltung des Code of Conduct, Mentoring von Neulingen, Gestaltung von Roadmaps und strategische Entscheidungen. Wir thematisierten auch die kulturellen und prozessualen Unterschiede zwischen Unternehmen und Open-Source-Communities – von hierarchischen versus Peer-Production-Modellen bis hin zu unterschiedlicher Ressourcenverfügbarkeit und Commitment-Strukturen. Die Kernbotschaft: Maintainer sind keine Chefs, sondern Diener ihrer Communities, und das wahre Kapital eines Open-Source-Projekts liegt nicht im Code, sondern in den Menschen und der Community, die es am Leben halten.

Der Vortrag betonte, dass Maintainer zwar in Motivation, Finanzierungsmodellen und Governance-Strukturen unterschiedlich sind, aber Kerncharakteristika teilen: hohes Verantwortungsbewusstsein, autonomes Handeln, Interessenausgleich und Servant Leadership.

Panel: Hot Topics - Organizers of the Legal & Policy DevRoom

Sat, 05 Feb 2022 00:00:00 +0000

At FOSDEM 2022, I again joined my fellow organizers of the Legal & Policy DevRoom for a panel discussion on the hot topics we observed over the past year in Free and Open Source Software. Together with Bradley Kuhn, Karen Sandler and Alexander Sander, we reflected on the presentations from the day’s track and looked forward to the future of FOSS policy. This panel provided an opportunity to discuss the pressing issues facing the FOSS community from legal and policy perspectives.

The discussion touched on the lessons learned from the various presentations throughout the DevRoom, considering how legal and policy challenges were evolving as FOSS became increasingly central to digital infrastructure worldwide. As organizers, we shared our perspectives on emerging trends, regulatory developments, and the ongoing work needed to protect software freedom while ensuring compliance and sustainable community practices.

This panel was part of FOSDEM’s Legal and Policy Issues devroom, which continues to serve as an important forum for addressing the intersection of law, policy, and Free Software.

Panel: Hot Topics - Organizers of the Legal & Policy DevRoom

Sun, 07 Feb 2021 00:00:00 +0000

At FOSDEM 2021, I participated in the annual panel of Legal & Policy DevRoom organizers where we discussed the hot topics from the track’s presentations that year. This panel tradition brings together the organizers to reflect on the most pressing legal and policy issues facing Free and Open Source Software, based on the talks and discussions throughout the day. It provided an opportunity to synthesize the diverse perspectives presented in the DevRoom and look ahead to emerging challenges.

As one of the organizers, I joined my co-organizers Bradley Kuhn, Karen Sandler, Richard Fontana, and Alexander Sander to discuss topics ranging from licensing compliance and governance models to emerging regulatory frameworks affecting FOSS. The panel format allowed us to draw connections between different presentations, highlight recurring themes, and engage with questions from the community about how legal and policy matters would evolve in the coming year.

This type of meta-discussion is valuable because it helps the FOSS community understand not just individual legal or policy issues, but how these challenges interconnect and what broader trends we should be watching. The Legal & Policy Devroom continues to be a crucial space for these conversations at FOSDEM.

Open Source Software: 20-Plus Years of Innovation (LinuxInsider)

Mon, 29 Oct 2018 00:00:00 +0000

LinuxInsider published a retrospective on over two decades of innovation through Open Source software, featuring my insights on how collaborative development has fundamentally changed the technology industry – from the early days of GNU and Linux through mainstream adoption in enterprise environments to modern success stories like Android, Kubernetes and other transformative projects.

The article covers key themes including the increasing participation of major corporations as active contributors to Open Source projects, the economic value of Open Source through services and ecosystems, and the outlook on new areas like AI/ML frameworks, IoT, Edge Computing and blockchain technologies where Open Source continues to drive innovation.

The Free and Open Source movement has achieved successes probably no one dared to dream of when the free software movement began to take shape in the 1980s, noted Max Mehl, program manager of Free Software Foundation Europe.

“Today, Free Software and Open Source are synonyms that are being used in almost every device — from remotes to washing machines, mobile phones to aircraft, and the International Space Station,” he told LinuxInsider.

Large enterprises, even self-declared enemies of FOSS in the past, now recognize that the power of the community and the transparent processes benefit end users and encourage innovation, noted Mehl.

“The concept of Free Software licenses and copyleft, once a legal hack, is universally accepted and legally confirmed, he added.

The full article offers a comprehensive perspective on the 2018 Open Source landscape and is available on LinuxInsider.

Über die Vorteile von Freier Software und Tech-Konferenzen, die keine sind (Netzpolitik.org)

Mon, 08 Aug 2016 00:00:00 +0000

Im Interview mit Netzpolitik.org erkläre ich anlässlich des 15-jährigen FSFE-Jubiläums und des bevorstehenden FSFE Summit, warum Freie Software weit über technische Aspekte hinausgeht. Die drängendsten Themen sehe ich im Internet of Things – den vielen kleinen Geräten in unseren Wohnungen – und der Frage nach Kontrolle über unsere Daten. Zur Ausrichtung des Summit als “keine Tech-Konferenz” betone ich:

Es geht bei unserem Summit eher um die Gestaltung der Welt der Technik, nicht rein um Software an sich. […] Wir arbeiten seit fünfzehn Jahren daran, die Bedingungen für Freie Software zu verbessern und damit elementare Rechte für alle Menschen in Europa zu schützen.

Ich schilde außerdem meine Erfahrungen aus Tansania, wo ich die Vorteile von Freier Software für Entwicklungsländer kennengelernt habe:

Viele Lizenzkosten sind gerade für Bildungseinrichtungen in Entwicklungsländern exorbitant teuer. Der Vendor-Lock-in […] versetzt Schulen gerne mal den finanziellen Todesstoß. Gleichzeitig ermöglicht Freie Software, dass etwa lokale Anbieter für ein Unternehmen oder eine Uni Anpassungen an der Software vornehmen können, und zwar in einem Finanzrahmen, der den dortigen Verhältnissen entspricht.

Warum ich mich für Freie Software einsetze?

Ich habe gemerkt, dass Software ein elementarer Bestandteil unseres heutigen Lebens ist. […] Dabei stellt sich mir die Frage, ob wir zulassen möchten, dass Software uns kontrolliert und nicht andersrum.

Das vollständige Interview mit weiteren Details zur FSFE-Strategie, europäischem Aktivismus und dem Summit-Programm ist auf Netzpolitik.org verfügbar.