OpenSSL wechselt die Lizenz und verärgert Beteiligte
Die Kryptobibliothek OpenSSL soll eine moderne Open-Source-Lizenz erhalten und bittet die Entwickler um Zustimmung. Die fühlen sich jedoch überrumpelt und sehen in dem Wechsel nicht nur Vorteile.
Das OpenSSL-Projekt – eine freie Softwaresammlung mit kryptografischen Funktionen für verschlüsselten Internetverkehr, die in zahlreichen Produkten enthalten ist – macht Ernst mit seinem vor geraumer Zeit angekündigten Wechsel zur Apache License 2.0 (ASLv2). Damit soll eine fast 20 Jahre alte, selbst geschriebene Lizenz abgelöst und das Einbinden der Krypto-Bibliothek in andere Open-Source-Projekte vereinfacht werden. Das Entwicklerteam wendet sich in einer E-Mail an alle Personen, die Code zum Projekt beigetragen haben, und bittet sie um ihre Zustimmung zum Lizenzwechsel, will allerdings auch Schweigen als Zustimmung werten.
Schweigen gilt als Zustimmung
In einem Blogbeitrag erläutert Projektmitglied Rich Salz das Vorgehen und verweist außerdem auf eine ausführliche Pressemitteilung der Common Infrastructure Initiative (CII), von der das Projekt (ebenso wie von der Linux Foundation) finanzielle Unterstützung erhält. Die Äußerungen legen nahe, dass diese im Open-Source-Umfeld ungewöhnliche Vorgehensweise mit juristischem Beistand des Software Freedom Law Center (SFLC) entstanden ist und in Übereinstimmung mit den Geldgebern sowie mit Branchengrößen wie Oracle und Intel getroffen wurde, die ihren Beitrag zu OpenSSL bereits umlizenziert haben.
Community fühlt sich überrumpelt
Zwar stammt die Ankündigung, zur Apache License 2.0 zu wechseln, aus dem Jahr 2015 – aus einer Zeit, als das OpenSSL-Projekt nach dem Debakel mit der Heartbleed-Lücke finanzielle und logistische Unterstützung erhielt und einen Sanierungsplan vorlegte. Dennoch ruft das jetzige Vorgehen Unmut unter einigen externen Entwicklern hervor, insbesondere wegen der juristisch nicht unumstrittenen Klausel, die Schweigen als Zustimmung wertet. Eine von OpenBSD-Chefentwickler Theo de Raadt eröffnete Debatte in einer OpenBSD-Mailingliste kritisiert, dass die Entscheidung an der Entwickler-Community vorbei getroffen und offenkundig von den beteiligten Organisationen und Firmen zuvor im Stillen verabredet worden ist.
Inkompatible Lizenzen, abgehängte Forks
ASLv2 ist inkompatibel zur GPL vor Version 3 und wird durch die OpenBSD-Community abgelehnt. Dadurch dürfte es in Zukunft Schwierigkeiten geben, wenn OpenSSL-Code in Softwareprojekte unter GPLv2 oder in den OpenBSD-Fork LibreSSL übernommen werden soll. Derzeit ist auch unklar, wie das OpenSSL-Projekt mit Code umgehen wird, dessen Autoren den Lizenzwechsel abgelehnt haben. (tiw)