Wer Open-Source-Software verwendet, muss einige Regeln beachten. Doch die legale Nutzung ist oft kniffliger als erwartet. Zum Glück gibt es kommerzielle sowie quelloffene Tools und Services, die dabei helfen, die Lizenzrechte einzuhalten.
Open Source Software klingt zunächst nach vollkommener freier Verwendung. Doch es gilt, zwischen freier und quelloffener Software zu unterscheiden, auch wenn beide oft unter dem Akronym FOSS zusammengefasst werden.
Open-Source-Software hat sich als De-facto-Standard der Softwareentwicklung etabliert, auch in großen Unternehmen. Ein bekannter Code-Hoster ist zum Beispiel GitHub, wo mittlerweile mehr als 30 Millionen Entwickler registriert sind. Allerdings findet man dort mittlerweile auch unfreie Software. Was genau sich durch den Aufkauf von GitHub durch Microsoft ändert, bleibt abzuwarten.
Doch bei genauer Betrachtung ist Open Source nicht immer so einfach, wie es scheint. Die verschiedenen Lizenzen und die damit verbundenen Rechte und Pflichten unterscheiden sich teilweise stark voneinander. Um vollständig legal zu handeln, sollte man daher genau darauf achten, was man tut. Das betont auch Accenture-Berater Calin Grebles in einem Vortrag bei der Konferenz OpenMunich im Januar. Grebles empfiehlt Unternehmen, die viel mit freier Software arbeiten, die Einrichtung eines speziellen Lizenzmanagers. Dieser Manager kümmert sich ausschließlich um die Lizenzfragen bei den verwendeten freien Softwares. Denn viele dürfen von den Nutzern weiterverwendet werden, aber nur unter gleichwertigen Lizenzbedingungen. Dieses Konzept nennt man Copyleft, wie man es beispielsweise bei der GNU GPL findet.
Um die Lizenzen einzuhalten, muss man genau verstehen, was die jeweilige Lizenz erlaubt. Zudem müssen die Lizenzen in einem Softwarepaket zueinander passen. Denn wenn inkompatible Lizenzen in einem Paket stecken, kann dies dem Urheberrecht widersprechen und teuer werden.
Die wichtigsten Open-Source-Lizenzen
Die Vielfalt der verschiedenen Lizenzen ist ziemlich verwirrend. Hier sind einige der wichtigsten Open-Source-Lizenzen:
-
GPL 2.0 (General Public License): Diese Lizenz wird für einen beträchtlichen Teil der Open-Source-Software verwendet. Sie garantiert das Recht auf freie Verwendung der Software einschließlich des Quelltextes, das Recht auf Änderung der Software und das Recht, die Original- oder modifizierte Software weiterzugeben – aber nur unter derselben Lizenz.
-
GPL 3.0: Diese Lizenz enthält weitere und konkretisierte Rechte, um Nutzer vor bestimmten Einschränkungen zu schützen, wie zum Beispiel Patentklagen oder dem Entzug von Rechten.
-
LGPL (Light GPL): Diese Lizenz ist für freie Software gedacht, die in kommerzielle Projekte integriert werden soll.
-
Apache 2.0: Diese Lizenz wird von der Free Software Foundation speziell für Software empfohlen, die aus weniger als 300 Zeilen Code besteht.
-
GNU AGPL (Affero GPL): Diese Lizenz ermöglicht es Nutzern, den Quellcode einer Software auch dann zu erhalten, wenn sie diese über einen zentralen Server nutzen (SaaS), was besonders im Cloud-Zeitalter wichtig ist.
-
GFDL (GNU Free Documentation License): Diese Lizenz ist speziell für Softwaredokumentationen, Handbücher oder Tutorials mit größerem Umfang gedacht.
-
GNU All-permissive License: Diese Lizenz ist ähnlich wie GFDL, aber für kürzere Texte gedacht.
-
BSD: Diese freie Softwarelizenz erlaubt die Nutzung, Kopie und Verbreitung der Software in kommerziellen Projekten. Es besteht jedoch keine Pflicht zur Weitergabe des Quellcodes bei Veränderungen (Copyleft).
-
CDDL: Diese Lizenz wurde ursprünglich von Sun Microsystems entwickelt und ist heute Teil von Oracle. Sie basiert auf der Mozilla Public License Version 1.1 und ist inkompatibel mit GPL-Lizenzen. Der Code darf nur mit Lizenztext weiterverbreitet werden.
-
ISCL: Diese Open-Source-Lizenz des Internet Systems Consortium basiert auf der BSD-2-Lizenz. Sie umfasst nur das Copyright, uneingeschränkte Nutzungserlaubnis und Haftungsausschluss.
Berater haben erkannt, dass die Klärung der Lizenzfrage eine Marktlücke ist. Unternehmen wie Accenture bieten spezielle Services zur Überprüfung der Lizenzen von Open-Source-Software an, natürlich zu den üblichen Beratungspreisen.
Open Source Software hilft durch den Lizenzdschungel
Doch nicht immer muss man teure Berater engagieren. Es gibt auch frei erhältliche Software-Tools, die einen Überblick über die Lizenzlage bei freier Software geben und bei der Einhaltung der lizenzrechtlichen Bestimmungen helfen.
Besonders interessant ist das Angebot von SPDX (Software Packet Data Exchange). Die Organisation wurde vor einigen Jahren als Teil der Linux Foundation ins Leben gerufen und entwickelt Tools, die eine sichere und rechtskonforme Nutzung offener Software entlang der Software-Lieferkette ermöglichen sollen.
Die neueste Version ist SPDX 2.1 und beinhaltet Tools zur parallelen Verarbeitung mehrerer Pakete, zur Erfassung des Verhältnisses der Bestandteile zueinander und zur Klärung lizenzrechtlicher Fragen. Die Software steht auf GitHub zum Download bereit. Zusätzlich gibt es bei der Organisation eine Liste von SPDX-konformen Tools.
Kommerzielle Tools
Abgesehen von quelloffenen Tools gibt es auch einige kommerzielle Tools, die den Regeln von SPDX entsprechen. Dazu gehören unter anderem “Black Duck” von Synopsis, eine Software für Open-Source-Governance, und das Reporting-Werkzeug “Source Auditor”. Andere kommerzielle Tools erfüllen zwar nicht die SPDX-Zertifizierung, erfüllen aber ähnliche Aufgaben. Beispiele dafür sind Werkzeuge von Palamida, RogueWave und White Source.
Es gibt viele Möglichkeiten, den Lizenzdschungel der Open-Source-Software zu navigieren. Mit etwas Fachwissen und den richtigen Tools kann man sicherstellen, dass man die Regeln einhält und erfolgreich Open-Source-Software nutzen kann.
