Fachartikel

Open-Source-Lizenzierung mit OpenChain

Das OpenChain-Projekt hilft dabei, die Einhaltung von Open-Source-Lizenzen zu vereinfachen. Die Spezifikation definiert einen Kernsatz von Anforderungen, die jedes Compliance-Programm erfüllen muss. Eine OpenChain-Zertifizierung ermöglicht es Unternehmen, ihre Einhaltung dieser Anforderungen einfach kenntlich zu machen. Der Artikel macht deutlich, wie das OpenChain-Curriculum diesen Prozess durch umfangreiches Referenzmaterial für ein effektives Open-Source-Management unterstützt.
Letztendliches Ziel des OpenChain-Projekts ist es, die Arbeit mit freier Software noch einfacher zu machen.
Die OpenChain-Initiative wurde bereits 2013 ins Leben gerufen. Auslöser dafür war die Beobachtung, dass es häufig wiederkehrende Muster in den Lieferketten von Open-Source-Software gibt. Bei Unternehmen, die bereits eigene Open-Source-Compliance-Programme ausgearbeitet hatten, wiesen diese große Ähnlichkeiten auf. Auf der anderen Seite gab es aber auch noch viele Unternehmen, die noch keine ausgereiften Compliance-Programme definiert hatten.

Wegen letzterem Aspekt schenkten viele Unternehmen den Compliance-Angaben von Zulieferern kein großes Vertrauen und führten selbst erneute Überprüfungen durch. Dieses Vorgehen war natürlich inneffizient. So lag die Überlegung nahe, einen gemeinsamen Standard zu schaffen, an dem sich alle orientieren und dem alle vertrauen können. Im April 2016 wurde die Arbeitsgemeinschaft dann offiziell als Kooperationsprojekt der Linux Foundation eingerichtet.

Das Ziel von OpenChain ist es, Kern-, beziehungsweise Minimalanforderungen an ein Compliance-Programm für Free and Open Source Software (FOSS) zu definieren. Im Zentrum des Projekts steht deshalb die vom Arbeitskreis ausgearbeitete Spezifikation, die die genauen Anforderungen an ein Compliance-Programm von Unternehmen regelt. Dazu definiert die Spezifikation die folgenden sechs Ziele:
1. Die eigenen Verantwortlichkeiten im Rahmen von FOSS kennen
Im Rahmen dieses Ziels sollte eine verschriftlichte FOSS-Richtlinie im Unternehmen etabliert werden, in der FOSS-Lizenz-Compliance innerhalb der Supplied Software Distribution klar geregelt ist. Diese Richtlinie muss innerhalb des Unternehmens kommuniziert werden und Mitarbeiter müssen auf sie aufmerksam gemacht werden, zum Beispiel im Rahmen von Trainings. Nach den Anforderungen der OpenChain-Spezifikation müssen mindestens 85 Prozent der Software-Mitarbeiter in den letzten 24 Monaten an einer FOSS-Schulung teilgenommen haben.

2. Verantwortung für das Erreichen von Compliance zuweisen
Hierbei geht es darum, sowohl nach innen als auch nach außen Klarheit zu schaffen und einen oder mehrere dezidierte Ansprechpartner zu benennen, die für alle internen und externen Anfragen zu FOSS zuständig sind. Diese Stelle muss auch nach außen publik gemacht werden und für Anfragen erreichbar sein. Das kann durch Veröffentlichen einer E-Mail-Adresse oder die Aufnahme in das Open-Compliance-Verzeichnis der Linux Foundation geschehen. Außerdem müssen Unternehmen sicherstellen, dass ein Prozess zur Lösung von Compliance-Problemen besteht.

3. Überprüfen und Freigeben von FOSS-Content
Es muss einen Prozess im Unternehmen geben, der das Erstellen und Verwalten einer Liste regelt, die alle Komponenten von Supplied Software umfasst. Außerdem muss das FOSS-Programm die üblichen Anwendungsfälle von FOSS-Lizenzen bei Supplied Software abdecken, was auch verschiedene Formen der Verbreitung betrifft.

4. Bereitstellung von FOSS-Inhaltsdokumentation und Artefakten
Dieses Ziel besagt, dass es für jede Version einer Supplied Software einen Prozess zum Erstellen von Compliance-Artefakten gibt. Es muss weiter sichergestellt sein, dass diese Artefakte entsprechend den Anforderungen der betroffenen Lizenzen zusammengestellt und verteilt werden. Außerdem müssen Unternehmen Kopien der Compliance-Artefakte solange sicher verwahren, wie sie die zugehörige Software anbieten.

5. Engagement für die Community
Unternehmen sollten schriftlich fixieren, inwiefern sie sich öffentlich an FOSS-Projekten beteiligen. Das ist allerdings nicht zwingend notwendig, eine solche Richtlinie kann etwa auch besagen, dass sich eine Organisation gar nicht an öffentlichen Projekten beteiligen möchte. In jedem Fall muss die Richtlinie aber im Unternehmen kommuniziert werden. Wenn Beiträge erlaubt sind, muss es dafür ein definiertes Verfahren geben.

6. Zertifizieren der OpenChain-Anforderungen
Um den Status "OpenChain Certified" zu erhalten, müssen Unternehmen bestätigen, dass sie ein FOSS-Programm etabliert haben, das allen in der OpenChain-Spezifikation genannten Anforderungen entspricht. Von dem Zeitpunkt an, an dem die Übereinstimmung mit der Spezifikation bestätigt wurde, ist diese Bestätigung für 18 Monate gültig.

Gemeinsame Standards: positiv für alle Beteiligten
Durch die klare Definition von Prozessen im Rahmen eines OpenChain-Programms verstehen Unternehmen besser, wie ihnen FOSS nutzt und wie die Software die eigene Organisation beeinflusst. Auch Kosten und eventuelle Risiken werden so offensichtlicher. Außerdem wird im Unternehmen bekannter gemacht, welche FOSS-Lösungen es überhaupt gibt. Die Wahrscheinlichkeit von Lizenzverletzungen wird geringer und die Entwickler von FOSS-Lösungen haben ein besseres Verständnis von den ihnen zur Verfügung stehenden Lizenzierungsoptionen.

Unternehmen, die wie SUSE mit Partnern zusammenarbeiten um ihren Kunden Komplettlösungen bieten zu können, profitieren von gemeinsamen Compliance-Standards, wie sie OpenChain bietet. Das schafft die Sicherheit, dass externe Komponenten Lizenzanforderungen erfüllen, ohne dass eine eigene Prüfung durchgeführt werden muss. Dies wiederum bedeutet einen Effizienzgewinn, von dem alle Seiten profitieren. Partner und Kunden erhalten so auch transparente Einblicke in die Arbeitsweise des Unternehmens.

Fazit
OpenChain ist ein Projekt mit der Vision, über die gesamte Supply Chain von FOSS konsistente Compliance-Informationen bereitzustellen. Das sorgt für mehr Sicherheit und Effizienz bei allen Beteiligten. Es bleibt zu hoffen, dass sich in Zukunft noch viele weitere Unternehmen anschließen werden, um die Arbeit mit Open-Source-Software noch einfacher zu machen und das Vertrauen zwischen Entwicklern und Nutzern zu stärken.
29.05.2019/ln/Alan Clark, Director, Industry Initiatives, Emerging Standards and Open Source bei SUSE.

Nachrichten

Vertrauliche Dienstgespräche mit dem iPhone [16.09.2019]

Das Bundesamt für Sicherheit in der Informationstechnik ermöglicht Behörden zum ersten Mal vertrauliche Telefonate mit dem iPhone. Das Amt gibt die Mobile Encryption App für Ende-zu-Ende verschlüsseltes Telefonieren frei. Die Anwendung ist für Gespräche der Geheimhaltungsstufe "Nur für den Dienstgebrauch" freigegeben. Aktuell nutzen Behörden vorwiegend Spezialgeräte für vertrauliche Gespräche. [mehr]

Runderneuerte Groupware-Lösung [6.08.2019]

Mit Version 19.1 steht die jüngste Ausgabe der Kollaborationslösung "EGroupware" in den Startlöchern. Zu den Neuerungen zählen ein Messenger, Funktionen zur Erfüllung der DSGVO, eine verbesserte Sicherheit durch Zwei-Faktor-Authentifizierung und eine überarbeitete GUI-Gestaltung. [mehr]

Tipps & Tools

Klänge für jede Lebenslage [21.09.2019]

Viele IT-Profis haben unterschiedliche Vorlieben für das Arbeiten am Rechner. Manche benötigen unbedingt eine Geräuschkulisse, um sich zu konzentrieren und andere wiederum hoffen auf möglichst viel Ruhe beim Management der Systemumgebung. Je nach Gusto sollten Sie sich das Angebot der Webseite "Simplenoise.com" genauer ansehen. Von Sound-Designern entwickelt, finden Sie hier unterschiedliche Klangkulissen vor. [mehr]

Datenspuren in Word entfernen [19.09.2019]

Grundsätzlich ist die Kommentarfunktion in Microsoft Word für Arbeitsgruppen sinnvoll. Mehrere Personen können damit besser an einem Dokument arbeiten. Allerdings vergessen viele Anwender vor dem Teilen der finalen Fassung mit Externen das Entfernen von Kommentaren und anderer Datenspuren. Mit der weniger bekannten Zusatzfunktion "Document Inspector" oder zu Deutsch "Dokumentprüfung" löschen Sie in Word die nicht mehr gewünschten Daten. [mehr]

Sweet 15 [2.09.2019]

Buchbesprechung

Windows Server 2019

von Peter Kloep, Karsten Weigel, Kevin Momber, Raphael Rojas und Annette Frankl

Anzeigen