Original-URL des Artikels: https://www.golem.de/news/apache-lizenz-2-0-openssl-plant-lizenzwechsel-an-der-community-vorbei-1703-126927.html    Veröffentlicht: 24.03.2017 16:38    Kurz-URL: https://glm.io/126927

Apache-Lizenz 2.0

OpenSSL plant Lizenzwechsel an der Community vorbei

Ohne große vorherige öffentliche Diskussion soll OpenSSL künftig die Apache-Lizenz 2.0 nutzen. Vor allem die OpenBSD-Community kritisiert die Lizenz und das konkrete Vorgehen, das die Community spaltet und den Eindruck erweckt, als sei alles schon beschlossen.

Statt der mittlerweile mehr als 20 Jahre alten und selbst geschriebenen Lizenz soll das OpenSSL-Projekt künftig die Apache-Lizenz 2.0 nutzen. Erste Pläne dazu hat das Projekt, das nach dem katastrophalen Heartbleed-Bug von der Core Infrastructure Initiative (CII) der Linux Foundation unterstützt wird, bereits im August 2015 bekanntgegeben. Einige prominente Community-Beteiligte zeigen sich dennoch extrem unzufrieden mit dem Vorgehen.

Denn der Lizenzwechsel selbst oder auch die Wahl der neuen Lizenz sind offenbar nicht innerhalb der größeren Community diskutiert worden und vor allem nicht öffentlich. So schreibt etwa der OpenBSD-Projektgründer und -Leiter Theo de Raadt auf einer Mailingliste: "Sie haben nie die Autorengemeinde gefragt, was sie wollen".

Beschlossene Sache der Unternehmen?

Tatsächlich scheint es so, dass die nun öffentlich verkündete Bitte um Zustimmung oder Ablehnung zu der neuen Lizenz zu einem Zeitpunkt stattfindet, zu dem bereits große Bestandteile des Codes neu lizenziert werden können, da die an OpenSSL interessierten Unternehmen dem Wechsel bereits zugestimmt haben.

Dafür spricht, dass die Ankündigung sowohl von der Linux Foundation als auch von Oracle und Intel unterstützt wird. Ebenso sollte davon auszugehen sein, dass die Autoren des OpenSSL-Vorgängerprojekts SSLeay, die 1998 zu RSA wechselten, dem Lizenzwechsel bereits zugestimmt haben.

Einzelne Beitragende wie eben de Raadt, andere OpenBSD-Mitglieder oder Entwickler, die eventuell nur eine geringe Anzahl Patches in OpenSSL vorweisen können, spielen in der Entscheidung damit vermutlich keine Rolle mehr. Denn selbst wenn diese der Änderung nicht zustimmen, könnten ihre Beiträge mit Hilfe der großen Industrieunterstützung notfalls schlicht reimplementiert werden. Eine öffentliche Diskussion innerhalb der Community kann so umgangen werden.

Lizenzwahl nachvollziehbar, aber problematisch

Dass sehr lang existierende Open-Source-Projekte ihre Lizenz ändern, ist zwar aufgrund des damit verbundenen Aufwands eher selten, allerdings nichts Ungewöhnliches. So versucht etwa die Community von LLVM ebenfalls schon seit 2015, auf die Apache-Lizenz 2.0 zu wechseln, wohl vor allem, um möglichen Patentstreitigkeiten aus dem Weg zu gehen. Immerhin enthält die Apache-Lizenz 2.0 eine explizite Patentlizenz.

Diese Überlegungen haben auch bei OpenSSL dazu geführt, diese Lizenz zu wählen. Darüber hinaus wird die Apache-Lizenz 2.0 inzwischen auch weitgehend juristisch verstanden und akzeptiert. Letzteres ist wohl vor allem für Unternehmen wichtig, die möglicherweise zu OpenSSL beitragen wollen oder die Software schlicht in eigenen Produkten nutzen wollen und dies bisher aus Unsicherheit über die Lizenzbedingungen unterlassen haben.

Eventuell Spaltung der Community

Die Wahl der Lizenz hat aber auch Nachteile. So ist die Apache-Lizenz 2.0 zwar kompatibel zur GPLv3, aber nicht zur GPLv2. Software, die unter der GPLv2 steht, kann damit auch künftig nicht ohne weiteres mit OpenSSL verwendet werden. Zwar ist auch die bisherige OpenSSL-Lizenz inkompatibel zur GPLv2, einige Projekte haben deshalb aber immerhin explizite Ausnahmeregelungen in ihren Lizenzbedingungen eingefügt. Ob und in welchem Ausmaß die zuletzt beschriebenen Anwendungen ihre Lizenz auf den anstehenden Lizenzwechsel bei OpenSSL anpassen werden, ist derzeit noch unklar.

Ein langfristig eventuell viel größeres Problem ist allerdings die konsequente Ablehnung der OpenBSD-Community in Bezug auf die Apache-Lizenz 2.0. Diese ist hauptsächlich auf die erwähnte Patentklausel zurückzuführen. Doch die OpenBSD-Community lehnt damit nicht nur die Relizenzierung ihrer eigenen Beiträge in OpenSSL ab, sondern auch eine künftige Zusammenarbeit.

Ein Austausch von Code zwischen OpenSSL und dem von OpenBSD initiierten Fork LibreSSL ist damit wohl überhaupt nicht mehr möglich. Das wiederum könnte möglicherweise aber starke Auswirkungen auf die Projekte selbst sowie die Sicherheit der Software haben.  (sg)


Verwandte Artikel:
Trustico/Digicert: Chaos um 23.000 Zertifikate und private Schlüssel   
(01.03.2018, https://glm.io/133077 )
Crypto-Bibliothek: OpenSSL bekommt Patch-Dienstag und wird transparenter   
(22.01.2018, https://glm.io/132298 )
Apache-Lizenz 2.0: OpenSSL-Lizenzwechsel führt zu Code-Entfernungen   
(22.08.2017, https://glm.io/129617 )
Microsoft: OpenBSD kommt für die Azure-Cloud   
(09.06.2017, https://glm.io/128295 )
Java-Rechtsstreit: Oracle strebt neuen Prozess gegen Google an   
(13.02.2017, https://glm.io/126143 )

© 1997–2019 Golem.de, https://www.golem.de/