Was kann im schlimmsten Fall passieren, wenn sie nicht auf ihre OSS–Lizenzen achten?
Sie können mit einem Verkaufsstopp belegt werden, heftige Bußgelder zahlen oder werden gar gezwungen, ihren eigenen Source Code für ihr Produkt freizugeben und damit ihre Geistiges Eigentum verlieren.
Kommerzielle Software besteht üblicherweise aus selbstgeschriebenem Code des Software-Produzenten und aus Hunderten von freien Open-Source Komponenten (OSS). Jede dieser Komponenten steht unter irgendeiner Lizenz, die mit allen ihren Bedingungen vom Software-Produzenten erfüllt werden müssen. Einige Bedingungen sind einfach – andere können ihr Business-Modell zerstören (z.B. strenges Copyleft und manche schwachen Copyleft-Lizenzen), wieder andere Lizenzen bekämpfen sich – womit die gesamte Software incompliant wird.
Vor nicht allzu langer Zeit sollte ich neben den Application Security Risken auch die Verantwortung für Software License Risken übernehmen. Ich fragte die Entwicklern nach dem Compliance Paket für die OSS. Ich bekam eine Liste mit 30 Lizenznamen geliefert.
Der erste Schock: Die „Compliance-Liste“ für unsere Software-Kunden sollte nicht nur die Lizenzen aufzählen, sondern auch ihre Bedingungen erfüllen. Also z.B., die Namen der Autoren der OSS-Komponenten nennen, einen Haftungsausschluss für eine Komponente beinhalten und die einzelnen OSS-Komponenten in Source Code (!) Form bereitstellen. Hier war noch nicht einmal genannt, auf welche Komponente sich welche Lizenz bezog.
Im zweiten Schritt erzeugte ich mir eine detaillierte „Stückliste“ (SBOM) der Software. Statt 30 Lizenzen fand ich 1.200 OSS-Komponenten! Ich verrate nicht, wie viele böse Lizenzen ich fand – jetzt sind keine mehr drin.
Die dritte Überraschung entdeckte ich, als wir im Code einer unter harmlosen Lizenz stehende OSS-Komponente GPL-Code versteckt fanden. Damit war die harmlose Komponente plötzlich auch nicht mehr kommerziell tragbar. Durch die Kenntnis dieser Fallstricke konnte Schlimmeres verhütet werden und die Software-Auslieferung abgesichert werden. Aber das benötigt Expertenwissen!
Wenn sie mehr wissen wollen oder Hilfe brauchen, schauen sie hier: https://wobeecon.com.
