Wege durchs Lizenzdickicht

Open-Source-Lizenzen im Überblick

| Autor / Redakteur: Ariane Rüdiger / Stephan Augsten

Im Lizenzdschungel der Open-Source-Software stößt man schon einmal auf das eine oder andere Hindernis.
Im Lizenzdschungel der Open-Source-Software stößt man schon einmal auf das eine oder andere Hindernis. (Bild: Karl Anderson - Unsplash.com)

Wer Open-Source-Software verwendet, muss Regeln beachten. Oft ist die legale Nutzung kniffliger als erwartet. Kommerzielle Tools und Services, aber auch Tools, die ebenfalls quelloffen sind, können helfen, Lizenzrechte einzuhalten.

Open Source Software, das klingt zunächst nach vollkommen freier Verwendung. Aber es gilt, zwischen freier und quelloffener Software zu unterscheiden, auch wenn beide oft unter dem Akronym FOSS zusammengefasst werden.

Open-Source-Software hat sich als De-facto-Standard der Softwareentwicklung auch in großen Unternehmen etabliert – nicht zuletzt dank Code-Hostern wie GitHub. Dort sind heute mehr als 30 Millionen Entwickler registriert. Allerdings hinterlegen diese dort mittlerweile auch unfreie Software. Und was sich möglicherweise aus dem Aufkauf von GitHub durch Microsoft ändert, muss erst noch abgewartet werden.

Im Detail ist bei Open Source nicht alles so einfach wie es aussieht. „Die Lizenzen und mit ihnen vergebenen Rechte und Pflichten unterscheiden sich teilweise stark voneinander, und man muss schon genau hinsehen, was man tut, um vollständig legal zu handeln“, sagte Accenture-Berater Calin Grebles anlässlich eines Vortrags bei der Konferenz OpenMunich im Januar.

Grebles rät Unternehmen, die viel mit freier Software arbeiten, zur Einrichtung der Funktion eines speziellen Managers, der sich ausschließlich um die Lizenzfragen bei den verwendeten freien Softwares kümmert. Denn viele dürfen zwar von den Nutzern weiterverwendet werden, aber nur unter gleichwertigen Lizenzbedingungen. Man spricht von Copyleft, wie man es beispielsweise bei der GNU GPL findet.

Apache-2.0-Code darf in GPL-3.0-Projekten verwendet werden, doch nicht umgekehrt. GPL 2.0 und 3.0 sind dagegen uneingeschränkt bidirektional kompatibel.
Apache-2.0-Code darf in GPL-3.0-Projekten verwendet werden, doch nicht umgekehrt. GPL 2.0 und 3.0 sind dagegen uneingeschränkt bidirektional kompatibel. (Bild: Calin Grebles, Accenture)

Dazu muss man natürlich genau verstehen, was die jeweilige Lizenz erlaubt, und die Lizenzen in einem Bundle müssen zueinander passen. Denn stecken inkompatible Lizenzen in einem Softwarepaket, widerspricht die Nutzung der Software unter Umständen ganz oder teilweise dem Urheberrecht, was teuer werden kann.

Die wichtigsten Open-Source-Lizenzen

Tatsächlich ist bei näherem Hinsehen die Vielfalt der Berechtigungstypen ziemlich verwirrend – es folgen einige der wichtigsten – alle würden mehrere Seiten füllen:

  • GPL 2.0 (General Public License): Wird für einen beträchtlichen Teil der Open-Source-Software verwendet. Die Lizenz garantiert für die standardmäßig mit einem Copyright versehenen Programme das Recht auf freien Bezug der Software einschließlich des Quelltextes, das Recht auf Änderung der Software und das Recht, die Original- oder durch Veränderung der Software entstandene modifizierte Software weiterzugeben – aber nur unter derselben Lizenz, also inklusive Quelltext und seitens des Beziehers ebenfalls änderbar.
  • GPL 3.0: Enthält weitere und konkretisierte Rechte, die Nutzer vor verschiedenen eingrenzenden Einflüssen schützen sollen: vor Patentklagen oder dem Entzug einiger oder aller Rechte durch Einbau in Geräte, die die unbeschränkte Nutzung der offenen Software behindern.
  • LGPL (Light GPL): Für freie Software, die in kommerzielle Projekte eingebracht werden soll.
  • Apache 2.0: Lizenz, die die Free Software Foundation speziell für kurze Software bis 300 Zeilen empfiehlt.
  • GNU AGPL (Affero GPL): Ermöglicht es Nutzern, auch dann den Quellcode einer Software bekommen, wenn sie diese nur auf einem zentralen Server über das Netz nutzen (SaaS) – wichtig im Cloud-Zeitalter
  • GFDL (GNU Free Documentation License): Spezielle Lizenz für Softwaredokumentationen, Handbücher oder Tutorials mit größerem Umfang.
  • GNU All-permissive License: Wie GFDL, aber für kürzere Texte.
  • BSD: Freie Softwarelizenz, ursprünglich der Universität Berkeley, die es erlaubt, Software zu kopieren, weiterzugeben und sie in kommerziellen Projekten zu nutzen. Es gibt keine Pflicht zur Weitergabe des Quellcodes bei Veränderungen (Copyleft). BSD-2 umfasst nur ein Copyright in Quelltext und Dokumentation plus Haftungsausschluss, BSD-3 zusätzlich die Pflicht zur Angabe des Copyright-Vermerks auf Werbematerialien.
  • CDDL: Ursprünglich von Sun Microsystems, heute Teil von Oracle. Basiert auf der Mozilla Public License Version 1.1 und ist inkompatibel mit GPL-Lizenzen. Weiterverbreitung des Codes nur mit Lizenztext.
  • ISCL: Open-Source-Lizenz des Internet System Consortium. Basiert auf der BSD-2-Lizenz. Sie umfasst nur Copyright (Name und Datum), uneingeschränkte Nutzungserlaubnis und Haftungsausschluss.

Berater haben die Umschiffung dieser Klippe als Marktlücke entdeckt verstanden und bieten, wie etwa Accenture, spezielle Services für die Überprüfung der Lizenzen der genutzten Open-Source-Software an. Natürlich zu den für Beratung üblichen Preisen.

Open Source Software hilft durch Lizenzdschungel

Doch es muss nicht immer ein teurer Berater sein. Einen Überblick über die Lizenzlage bei freier Software und Hilfen zur Einhaltung lizenzrechtlicher Bestimmung geben auch frei erhältliche Software-Tools.

Interessant ist etwa das Angebot von SPDX (Software Packet Data Exchange). Die Organisation startete Anfang des Jahrzehnts als Teil der Linux Foundation und setzte sich das Ziel, Tools zu entwickeln, die die sichere und rechtskonforme Nutzung offener Software entlang der Software-Lieferkette ermöglichen soll.

Inzwischen ist Version 2.1 von SPDX samt entsprechender Tools. Die Spezifikation umfasst derzeit die parallele Verarbeitung mehrere Pakete, die Erfassung des Verhältnisses ihrer Bestandteile zueinander inklusive lizenzrechtlicher Fragen und mehr. Die Software kann von Github heruntergeladen werden. Neben Links zum Download des SPDX-eigenen Tools gibt es bei der Organisation auch eine Liste SPDX-konformer Tools.

Kommerzielle Tools

Zu erwähnen sind schließlich noch einige kommerzielle Tools, die den Regeln von SPDX entsprechen: Black Duck by Synopsis, eine Software für Open-Source-Governance, und das Reporting-Werkzeug Source Auditor. Andere kommerzielle Tools sind zwar nicht von SPDX zertifiziert, erfüllen aber ähnliche Aufgaben. Beispiele sind Werkzeuge von Palamida, RogueWave und White Source.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45735795 / Urheberrecht & Nutzungsrecht)