Open Source im professionellen Einsatz

OSI-Lizenzen automatisch auswerten

01.06.2016

Ist das wirklich Open Source? Diese Frage stellen sich Entwickler und ihre Chefs häufig, bevor sie ein Produkt auf den Markt bringen. Die Open-Source-Initiative bietet nun ein API an, um das maschinell zu prüfen.

215

Die Open Source Initiative (OSI) existiert seit rund 19 Jahren. Sie gilt als vertrauenswürdig, wenn es darum geht, festzulegen, welche Lizenz eine echte Open-Source-Lizenz ist und welche nicht. Bruce Perens, ehemaliger Debian-Projektleiter, hatte einst für Debian die Open Source Definition (OSD) formuliert, eine angepasste Version davon dient der OSI nun als Entscheidungsgrundlage für die Frage, ob eine Lizenz in die Kategorie Open-Source-Lizenz fällt.

Warum das wichtig ist, zeigte sich immer mal wieder, wenn eine Firma versuchte, eine hauseigene Lizenz unter dem Open-Source-Label zu vermarkten. Mittlerweile verwaltet OSI 78 Open-Source-Lizenzen, gerade in großen Projekten kommen dabei häufig ganz verschiedene Lizenzen zum Einsatz.

Das ist zwar schön, aber auch ein Problem. Wenn eine große Firma ein Projekt absegnet, muss sie sicher sein, dass sämtliche darin verwendeten Lizenzen der OSD entsprechen. Das zu überprüfen, wird bei tausenden von Dateien ein Problem. Mit einem neuen API unter "api.opensource.org" lässt sich das jetzt maschinell testen. Die maschinenlesbaren Informationen zu den Lizenzen verwaltet Github.

Als Proof-of-concept wurden SPDX-Identifier ergänzt, die Auswertungen von SPDX-Datasets erlauben. Entwickler können mit Hilfe einer SPDX-License-ID bestimmen, ob eine Lizenz vom OSI gebilligt wird. Es gibt auch schon API-Wrapper für Python, Go und Ruby. Die OSI bittet um Patches und Bugreports.

Ähnliche Artikel

  • Triplecheck will mit SPDX Lizenzen checken

    Triplecheck ist eine freie Software mit grafischer Oberfläche, die zukünftig der Analyse von Software Compliance dienen soll. Sie liest und erstellt SPDX-Dokumente, und ihr Entwickler will sie auf der Fosdem vorstellen.

  • Linux Foundation veröffentlicht SPDX 2.0

    Die Spezifikation des Formats Software Package Data Exchange (SPDX) hat die Version 2.0 erreicht. Die Linux Foundation und die SPDX-Workgroup wollen mit dieser Spezifikation ein Format anbieten, das alle Informationen zu Software-Paketen vereint.

  • Github ermittelt Lizenzen

    Die MIT-Lizenz dominiert auf Github, die GPL liegt deutlich dahinter, zeigt eine neue Statistik des Anbieters. Ohnehin bieten nur wenige Projekte überhaupt eine Lizenz an. Ein API soll den Umgang mit Lizenzen vereinfachen.

  • Linuxcon Europe: Softwarelizenzen mit SPDX verwalten

    Die SPDX-Arbeitsgruppe der Linux Foundation hat ihre Spezifikation für Lizenzinformationen in Version 1.2 veröffentlicht. Danben ist SPDX Thema auf der Linuxcon Europe.

  • Quebec führt drei Open-Source-Lizenzen ein

    Die Regierung der kanadischen Provinz Quebec hat drei Open-Source-Lizenzen veröffentlicht, die es den Provinzverwaltungen einfacher machen soll, Softwarelösungen zu teilen.

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.