Fachartikel

Open-Source-Lizenzierung mit OpenChain

Das OpenChain-Projekt hilft dabei, die Einhaltung von Open-Source-Lizenzen zu vereinfachen. Die Spezifikation definiert einen Kernsatz von Anforderungen, die jedes Compliance-Programm erfüllen muss. Eine OpenChain-Zertifizierung ermöglicht es Unternehmen, ihre Einhaltung dieser Anforderungen einfach kenntlich zu machen. Der Artikel macht deutlich, wie das OpenChain-Curriculum diesen Prozess durch umfangreiches Referenzmaterial für ein effektives Open-Source-Management unterstützt.
Letztendliches Ziel des OpenChain-Projekts ist es, die Arbeit mit freier Software noch einfacher zu machen.
Die OpenChain-Initiative wurde bereits 2013 ins Leben gerufen. Auslöser dafür war die Beobachtung, dass es häufig wiederkehrende Muster in den Lieferketten von Open-Source-Software gibt. Bei Unternehmen, die bereits eigene Open-Source-Compliance-Programme ausgearbeitet hatten, wiesen diese große Ähnlichkeiten auf. Auf der anderen Seite gab es aber auch noch viele Unternehmen, die noch keine ausgereiften Compliance-Programme definiert hatten.

Wegen letzterem Aspekt schenkten viele Unternehmen den Compliance-Angaben von Zulieferern kein großes Vertrauen und führten selbst erneute Überprüfungen durch. Dieses Vorgehen war natürlich inneffizient. So lag die Überlegung nahe, einen gemeinsamen Standard zu schaffen, an dem sich alle orientieren und dem alle vertrauen können. Im April 2016 wurde die Arbeitsgemeinschaft dann offiziell als Kooperationsprojekt der Linux Foundation eingerichtet.

Das Ziel von OpenChain ist es, Kern-, beziehungsweise Minimalanforderungen an ein Compliance-Programm für Free and Open Source Software (FOSS) zu definieren. Im Zentrum des Projekts steht deshalb die vom Arbeitskreis ausgearbeitete Spezifikation, die die genauen Anforderungen an ein Compliance-Programm von Unternehmen regelt. Dazu definiert die Spezifikation die folgenden sechs Ziele:
1. Die eigenen Verantwortlichkeiten im Rahmen von FOSS kennen
Im Rahmen dieses Ziels sollte eine verschriftlichte FOSS-Richtlinie im Unternehmen etabliert werden, in der FOSS-Lizenz-Compliance innerhalb der Supplied Software Distribution klar geregelt ist. Diese Richtlinie muss innerhalb des Unternehmens kommuniziert werden und Mitarbeiter müssen auf sie aufmerksam gemacht werden, zum Beispiel im Rahmen von Trainings. Nach den Anforderungen der OpenChain-Spezifikation müssen mindestens 85 Prozent der Software-Mitarbeiter in den letzten 24 Monaten an einer FOSS-Schulung teilgenommen haben.

2. Verantwortung für das Erreichen von Compliance zuweisen
Hierbei geht es darum, sowohl nach innen als auch nach außen Klarheit zu schaffen und einen oder mehrere dezidierte Ansprechpartner zu benennen, die für alle internen und externen Anfragen zu FOSS zuständig sind. Diese Stelle muss auch nach außen publik gemacht werden und für Anfragen erreichbar sein. Das kann durch Veröffentlichen einer E-Mail-Adresse oder die Aufnahme in das Open-Compliance-Verzeichnis der Linux Foundation geschehen. Außerdem müssen Unternehmen sicherstellen, dass ein Prozess zur Lösung von Compliance-Problemen besteht.

3. Überprüfen und Freigeben von FOSS-Content
Es muss einen Prozess im Unternehmen geben, der das Erstellen und Verwalten einer Liste regelt, die alle Komponenten von Supplied Software umfasst. Außerdem muss das FOSS-Programm die üblichen Anwendungsfälle von FOSS-Lizenzen bei Supplied Software abdecken, was auch verschiedene Formen der Verbreitung betrifft.

4. Bereitstellung von FOSS-Inhaltsdokumentation und Artefakten
Dieses Ziel besagt, dass es für jede Version einer Supplied Software einen Prozess zum Erstellen von Compliance-Artefakten gibt. Es muss weiter sichergestellt sein, dass diese Artefakte entsprechend den Anforderungen der betroffenen Lizenzen zusammengestellt und verteilt werden. Außerdem müssen Unternehmen Kopien der Compliance-Artefakte solange sicher verwahren, wie sie die zugehörige Software anbieten.

5. Engagement für die Community
Unternehmen sollten schriftlich fixieren, inwiefern sie sich öffentlich an FOSS-Projekten beteiligen. Das ist allerdings nicht zwingend notwendig, eine solche Richtlinie kann etwa auch besagen, dass sich eine Organisation gar nicht an öffentlichen Projekten beteiligen möchte. In jedem Fall muss die Richtlinie aber im Unternehmen kommuniziert werden. Wenn Beiträge erlaubt sind, muss es dafür ein definiertes Verfahren geben.

6. Zertifizieren der OpenChain-Anforderungen
Um den Status "OpenChain Certified" zu erhalten, müssen Unternehmen bestätigen, dass sie ein FOSS-Programm etabliert haben, das allen in der OpenChain-Spezifikation genannten Anforderungen entspricht. Von dem Zeitpunkt an, an dem die Übereinstimmung mit der Spezifikation bestätigt wurde, ist diese Bestätigung für 18 Monate gültig.

Gemeinsame Standards: positiv für alle Beteiligten
Durch die klare Definition von Prozessen im Rahmen eines OpenChain-Programms verstehen Unternehmen besser, wie ihnen FOSS nutzt und wie die Software die eigene Organisation beeinflusst. Auch Kosten und eventuelle Risiken werden so offensichtlicher. Außerdem wird im Unternehmen bekannter gemacht, welche FOSS-Lösungen es überhaupt gibt. Die Wahrscheinlichkeit von Lizenzverletzungen wird geringer und die Entwickler von FOSS-Lösungen haben ein besseres Verständnis von den ihnen zur Verfügung stehenden Lizenzierungsoptionen.

Unternehmen, die wie SUSE mit Partnern zusammenarbeiten um ihren Kunden Komplettlösungen bieten zu können, profitieren von gemeinsamen Compliance-Standards, wie sie OpenChain bietet. Das schafft die Sicherheit, dass externe Komponenten Lizenzanforderungen erfüllen, ohne dass eine eigene Prüfung durchgeführt werden muss. Dies wiederum bedeutet einen Effizienzgewinn, von dem alle Seiten profitieren. Partner und Kunden erhalten so auch transparente Einblicke in die Arbeitsweise des Unternehmens.

Fazit
OpenChain ist ein Projekt mit der Vision, über die gesamte Supply Chain von FOSS konsistente Compliance-Informationen bereitzustellen. Das sorgt für mehr Sicherheit und Effizienz bei allen Beteiligten. Es bleibt zu hoffen, dass sich in Zukunft noch viele weitere Unternehmen anschließen werden, um die Arbeit mit Open-Source-Software noch einfacher zu machen und das Vertrauen zwischen Entwicklern und Nutzern zu stärken.
29.05.2019/ln/Alan Clark, Director, Industry Initiatives, Emerging Standards and Open Source bei SUSE.

Nachrichten

Fedora 31 gibt Gas [5.12.2019]

Fedora ist in Version 31 verfügbar. Diese beinhaltet zahlreiche neue Features für den Aufbau und Betrieb cloudnativer Applikationen. Fedora 31 ist weiterhin in mehreren Editionen erhältlich: Neben Fedora Workstation und Fedora Server enthalten auch die Editionen Fedora CoreOS, Fedora IoT und Fedora Silverblue zahlreiche Optimierungen und neue Leistungsmerkmale. [mehr]

Bayerisches Blockchain-Linux [3.12.2019]

Ein neues Open-Source-Betriebssystem namens LibertyOS richtet sich an Blockchain-Nutzer. Das Linux-basierte System ging Ende Oktober als Betaversion an den Start und verfügt über einige Besonderheiten. So befinden sich verschiedene Wallet-Anwendungen an Bord, in denen Nutzer ihre Token aufbewahren können. [mehr]

Tipps & Tools

Multifunktionstool für das Büro [14.12.2019]

Wenn der Admin mal kurz das PC-Gehäuse öffnen muss oder der Arbeitskollege ein Regal aufstellen will, kann ein Multifunktionswerkzeug nicht schaden. Umso besser, wenn es dann auch noch gut aussieht und damit nicht in der Schublade verschwinden muss. Das schicke "Krabben-Multiwerkzeug" integriert alle wichtigen Funktionen wie Schraubenzieher, Messer, Schere und Säge in einem edlen Buchenholzgehäuse. [mehr]

Aufgaben besser verwalten [13.12.2019]

Organisiert zu arbeiten hilft dem Admin, den Überblick bei den vielen täglichen Aufgaben nicht zu verlieren. Der kostenfreie Dienst von "todo.ly" stellt eine vielseitige Plattform zur Verfügung, um To-Do-Listen online zu erstellen und zu verwalten. Das Tool kombiniert die Funktionen eines Notizenprogrammms und eines Terminkalenders unter einer Haube. Die Einträge lassen sich verschiedenen Projekten zuordnen und mit einem Fälligkeitsdatum versehen. [mehr]

Kiosk-Konto einrichten [12.12.2019]

Linux einfach bedienen [11.12.2019]

Buchbesprechung

Handbuch Online-Shop

von Alexander Steireif, Rouven Rieker, Markus Bückle

Anzeigen