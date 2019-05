Open-Source-Lizenzierung mit OpenChain

Das OpenChain-Projekt hilft dabei, die Einhaltung von Open-Source-Lizenzen zu vereinfachen. Die Spezifikation definiert einen Kernsatz von Anforderungen, die jedes Compliance-Programm erfüllen muss. Eine OpenChain-Zertifizierung ermöglicht es Unternehmen, ihre Einhaltung dieser Anforderungen einfach kenntlich zu machen. Der Artikel macht deutlich, wie das OpenChain-Curriculum diesen Prozess durch umfangreiches Referenzmaterial für ein effektives Open-Source-Management unterstützt.

Letztendliches Ziel des OpenChain-Projekts ist es, die Arbeit mit freier Software noch einfacher zu machen.

Die OpenChain-Initiative wurde bereits 2013 ins Leben gerufen. Auslöser dafür war die Beobachtung, dass es häufig wiederkehrende Muster in den Lieferketten von Open-Source-Software gibt. Bei Unternehmen, die bereits eigene Open-Source-Compliance-Programme ausgearbeitet hatten, wiesen diese große Ähnlichkeiten auf. Auf der anderen Seite gab es aber auch noch viele Unternehmen, die noch keine ausgereiften Compliance-Programme definiert hatten.



Wegen letzterem Aspekt schenkten viele Unternehmen den Compliance-Angaben von Zulieferern kein großes Vertrauen und führten selbst erneute Überprüfungen durch. Dieses Vorgehen war natürlich inneffizient. So lag die Überlegung nahe, einen gemeinsamen Standard zu schaffen, an dem sich alle orientieren und dem alle vertrauen können. Im April 2016 wurde die Arbeitsgemeinschaft dann offiziell als Kooperationsprojekt der Linux Foundation eingerichtet.



Das Ziel von OpenChain ist es, Kern-, beziehungsweise Minimalanforderungen an ein Compliance-Programm für Free and Open Source Software (FOSS) zu definieren. Im Zentrum des Projekts steht deshalb die vom Arbeitskreis ausgearbeitete Spezifikation, die die genauen Anforderungen an ein Compliance-Programm von Unternehmen regelt. Dazu definiert die Spezifikation die folgenden sechs Ziele:

1. Die eigenen Verantwortlichkeiten im Rahmen von FOSS kennen

Im Rahmen dieses Ziels sollte eine verschriftlichte FOSS-Richtlinie im Unternehmen etabliert werden, in der FOSS-Lizenz-Compliance innerhalb der Supplied Software Distribution klar geregelt ist. Diese Richtlinie muss innerhalb des Unternehmens kommuniziert werden und Mitarbeiter müssen auf sie aufmerksam gemacht werden, zum Beispiel im Rahmen von Trainings. Nach den Anforderungen der OpenChain-Spezifikation müssen mindestens 85 Prozent der Software-Mitarbeiter in den letzten 24 Monaten an einer FOSS-Schulung teilgenommen haben.



2. Verantwortung für das Erreichen von Compliance zuweisen

Hierbei geht es darum, sowohl nach innen als auch nach außen Klarheit zu schaffen und einen oder mehrere dezidierte Ansprechpartner zu benennen, die für alle internen und externen Anfragen zu FOSS zuständig sind. Diese Stelle muss auch nach außen publik gemacht werden und für Anfragen erreichbar sein. Das kann durch Veröffentlichen einer E-Mail-Adresse oder die Aufnahme in das Open-Compliance-Verzeichnis der Linux Foundation geschehen. Außerdem müssen Unternehmen sicherstellen, dass ein Prozess zur Lösung von Compliance-Problemen besteht.



3. Überprüfen und Freigeben von FOSS-Content

Es muss einen Prozess im Unternehmen geben, der das Erstellen und Verwalten einer Liste regelt, die alle Komponenten von Supplied Software umfasst. Außerdem muss das FOSS-Programm die üblichen Anwendungsfälle von FOSS-Lizenzen bei Supplied Software abdecken, was auch verschiedene Formen der Verbreitung betrifft.



4. Bereitstellung von FOSS-Inhaltsdokumentation und Artefakten

Dieses Ziel besagt, dass es für jede Version einer Supplied Software einen Prozess zum Erstellen von Compliance-Artefakten gibt. Es muss weiter sichergestellt sein, dass diese Artefakte entsprechend den Anforderungen der betroffenen Lizenzen zusammengestellt und verteilt werden. Außerdem müssen Unternehmen Kopien der Compliance-Artefakte solange sicher verwahren, wie sie die zugehörige Software anbieten.



5. Engagement für die Community

Unternehmen sollten schriftlich fixieren, inwiefern sie sich öffentlich an FOSS-Projekten beteiligen. Das ist allerdings nicht zwingend notwendig, eine solche Richtlinie kann etwa auch besagen, dass sich eine Organisation gar nicht an öffentlichen Projekten beteiligen möchte. In jedem Fall muss die Richtlinie aber im Unternehmen kommuniziert werden. Wenn Beiträge erlaubt sind, muss es dafür ein definiertes Verfahren geben.



6. Zertifizieren der OpenChain-Anforderungen

Um den Status "OpenChain Certified" zu erhalten, müssen Unternehmen bestätigen, dass sie ein FOSS-Programm etabliert haben, das allen in der OpenChain-Spezifikation genannten Anforderungen entspricht. Von dem Zeitpunkt an, an dem die Übereinstimmung mit der Spezifikation bestätigt wurde, ist diese Bestätigung für 18 Monate gültig.



Gemeinsame Standards: positiv für alle Beteiligten

Durch die klare Definition von Prozessen im Rahmen eines OpenChain-Programms verstehen Unternehmen besser, wie ihnen FOSS nutzt und wie die Software die eigene Organisation beeinflusst. Auch Kosten und eventuelle Risiken werden so offensichtlicher. Außerdem wird im Unternehmen bekannter gemacht, welche FOSS-Lösungen es überhaupt gibt. Die Wahrscheinlichkeit von Lizenzverletzungen wird geringer und die Entwickler von FOSS-Lösungen haben ein besseres Verständnis von den ihnen zur Verfügung stehenden Lizenzierungsoptionen.



Unternehmen, die wie SUSE mit Partnern zusammenarbeiten um ihren Kunden Komplettlösungen bieten zu können, profitieren von gemeinsamen Compliance-Standards, wie sie OpenChain bietet. Das schafft die Sicherheit, dass externe Komponenten Lizenzanforderungen erfüllen, ohne dass eine eigene Prüfung durchgeführt werden muss. Dies wiederum bedeutet einen Effizienzgewinn, von dem alle Seiten profitieren. Partner und Kunden erhalten so auch transparente Einblicke in die Arbeitsweise des Unternehmens.



Fazit

OpenChain ist ein Projekt mit der Vision, über die gesamte Supply Chain von FOSS konsistente Compliance-Informationen bereitzustellen. Das sorgt für mehr Sicherheit und Effizienz bei allen Beteiligten. Es bleibt zu hoffen, dass sich in Zukunft noch viele weitere Unternehmen anschließen werden, um die Arbeit mit Open-Source-Software noch einfacher zu machen und das Vertrauen zwischen Entwicklern und Nutzern zu stärken.