FOSSology und IT-Governance oder: Wie finde ich Lizenzinformationen?

Von Dr. Till Jaeger
 
Die neue Version des Softwaretools FOSSology ist in der Lage, die Lizenzhinweise aus Open Source Code zu extrahieren und zu analysieren. Bei komplexen Programmen mit einer Vielzahl verschiedener Bestandteile unter abweichenden Lizenzbedingungen soll so einfacher die Basis für ein Lizenzmanagement bei Nutzern und Anwendern geschaffen werden. FOSSology wird unter der GNU General Public License, Version2, lizenziert.

Hintergrund:

Die GNU/Linux-Distribution von Debian enthält mehr als 20.000 Softwarepakete mit etwa 300.000 Lizenzhinweisen. Da ist es naturgemäß schwierig, einen Überblick zu behalten, um die Lizenzkompatibilität zu überprüfen und die jeweiligen Lizenzbedingungen einzuhalten. HP hat daher zunächst für den Eigenbedarf ein Softwaretool entwickelt, das die Lizenzhinweise automatisiert auswertet. Das Whitepaper des Projekts FOSSBazaar, das von Coverity, Google, Novell, Olliance Group, OpenLogic, DLA Piper, SourceForge und HP getragen wird und als eine Arbeitsgruppe der Linux Foundation fungiert, beschreibt dabei die Gründe für die Notwendigkeit eines solchen Tools und seine Funktionsweise im Detail.

FOSSology kann dabei bis zu 300 Lizenztexte abgleichen und dabei auch Abweichungen von der Ursprungslizenz aufzeigen. Weitere Analysemöglichkeiten basieren auf der Symbolic Alignment Matrix (bSAM), die der Analyse von Proteinen entstammt. Letztlich dient die Analyse der Lizenzhinweise und Lizenztexte zweierlei: Wer Freie Software in seinen eigenen Softwarelösungen verwenden will, muss sich darüber im Klaren sein, welche Lizenzbestimmungen anwendbar sind und ob diese zueinander kompatibel sind, d.h. ob insbesondere bei Copyleft-Lizenzen die Widerspruchsfreiheit der Lizenzpflichten gegeben ist. Im Hinblick auf die Tendenz von Entwicklern, neue oder abgeänderte Standardlizenzen zu verwenden oder gar Lizentexte zu kombinieren (sog. "Frankenstein Licenses"), geht bei komplexen Softwarepakten daher leicht der Überblick verloren. Um hier lizenzkonform zu agieren, können Tools wie FOSSology eine wertvolle Hilfe leisten, auch wenn die Auswertung letztlich immer noch von Menschenhand erfolgen muss.

FOSSology ist damit eine Open Source-Konkurrenz für Anbieter wie Black Duck Software und Palamida, die bereits auf dem Gebiet der Open Source Governance Dienstleistungen und Software anbieten, die das Lizenzmanagement erleichtern sollen.