:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/80/dc/80dc01258b6dda1e7b216323d5796051/0118518397.jpeg "Allesamt Highlights des Abends: Die Gewinnerinnen und Gewinner der Cloud Native Rockstar Awards 2024 gemeinsam mit den Moderatoren und Jury-Mitgliedern. (Bild: Vogel IT / <u><a target="_blank" href="https://www.cloudnativeconference.de/">Cloud Native Conference</a></u>)")
:quality(80)/p7i.vogel.de/wcms/b5/92/b592b98f6fa8f4d5393e7d1f26a9b1ab/0117932513.jpeg "Die Sicherheit der Software-Lieferkette steht vor vielschichtigen Herausforderungen. (Bild: immimagery - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/af/88/af88b8b06a9613b86559b6999ef4ed8a/0118097195.jpeg "Auf der OCX 2024 will die Eclipse Foundation ihre verschiedenen Open-Source-Communities zusammenbringen, (Bild: Eclipse Foundation)")
:quality(80)/p7i.vogel.de/wcms/8e/b3/8eb34e2abe20465041e396063e8d39b5/0118088468.jpeg "Künstliche Intelligenz kann in Testing und Qualitätssicherung gleich an mehreren Stellen tätig werden. (Bild: sompong_tom - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d8/59/d859a4bcea4e775772b78767789646e7/0117717484.jpeg "Report eines Testdurchlaufs mit dem Robot Framework. (Bild: Lang / Robot Framework)")
:quality(80)/p7i.vogel.de/wcms/4a/3d/4a3d398f19b8fa2044a3a9f0081e46f2/0118416942.jpeg "Die meistverwendeten Datenbank-Plattformen und die Anzahl ihrer Instanzen laut der Redgate-Umfrage. (Bild: Redgate)")
:quality(80)/p7i.vogel.de/wcms/99/39/9939f3b5fdaae42f3bf4ac2465270f2a/0117791750.jpeg "Das Azure-Vision-SDK lädt insbesondere Entwickler und Entwicklerinnen ein, sich mit der Materie zu befassen. (Bild: Drilling / Microsoft)")
:quality(80)/p7i.vogel.de/wcms/f1/9d/f19deb033fc3094112887ccba347e548/0118171860.jpeg "In TypeSpec kommt eine an TypeScript und C# angelehnte Syntax zum Einsatz, ergänzt durch Editor-Tools für Visual Studio und VS Code. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/65/3b/653bccb0f4511868163e35e79ef17efe/0118315737.jpeg "Im Fokus dieses Artikels steht die Verbesserung der Systemsicherheit von Linux und die Optimierung von dessen Security-Funktionen. (Bild: Antonio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/97/dd/97ddc917ccc52db20fcb3cbdebe916f1/0118360337.jpeg "Ablauf des typischen CrashLoopBackOff-Zustands in Kubernetes. (Bild: Groundcover)")
:quality(80)/p7i.vogel.de/wcms/bd/f1/bdf1217cc5885d60e2eac54ad9a69e26/0117073864.jpeg "Die Sicherung der Lieferkette einer „containerisierten“ Anwendung ist ein mehrstufiger Prozess, der sich von der Entwicklung bis hin zur Bereitstellung erstreckt. (Bild: <u><a target="_blank" href=https://pixabay.com/photos/container-ship-cargo-ship-freighter-596083/>46173</a></u>)")
:quality(80)/p7i.vogel.de/wcms/9c/d1/9cd11868f7678b81932032a894bcd81a/0117948576.jpeg "Moderne EdTech-Entwickler und -Designer sollten eine Umgebung schaffen, in der sich alle Lernenden wohlfühlen und einen barrierefreien Zugang zu Wissensinhalten haben. (Bild: <u><a target="_blank" href=https://pixabay.com/users/roszie-6000120/>RosZie</a></u>)")
:quality(80)/p7i.vogel.de/wcms/5b/85/5b853b09ae4f974cb97b58e5cb8e759b/0118249571.jpeg "Je nach „Betätigungsfeld“ muss ein passendes Sprachmodell zum Einsatz kommen, das außerdem gewissen Spielregeln folgt. (© Imagecreator – stock.adobe.com)")
![Mithilfe eines anderen Konsensverfahrens, Hashgraph, ließe sich eine Menge CO2 bei der Berechnung von Kryptowährungen sparen. (Bild: Benjamin ['O°] Zweig - stock.adobe.com)](https://cdn1.vogel.de/annR7MKBLjg3UGu-x3l6Nvb7-fI=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/4e/40/4e40e5356b18ebce4656f2a51e65c815/0116079923.jpeg "Mithilfe eines anderen Konsensverfahrens, Hashgraph, ließe sich eine Menge CO2 bei der Berechnung von Kryptowährungen sparen. (Bild: Benjamin ['O°] Zweig - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d0/01d02743d019010886e4fe0d47222d72/0115628204.jpeg "Der Autor Fabian Tröltzsch auf der w3.vision X DMEXCO 2023. (© koelnmesse)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/be/18/be18ae4c02dbf9aa47e97decf9b84ea4/0118091847.jpeg "Die meisten der existierenden Datenbanksysteme verfügen über SQL-Schnittstellen. (Bild: alphaspirit - Fotolia.com)")
:quality(80)/p7i.vogel.de/wcms/af/ba/afba059e1e635289905bc63ce8cc4579/0117149678.jpeg "On-Premise bezeichnet den Betrieb von Software auf selbstverwalteten Hardware-Ressourcen. (Bild: <u><a href=https://unsplash.com/de/@tvick>Taylor Vick</a></u>)")
:quality(80)/p7i.vogel.de/wcms/79/8a/798ac0bb2a4e3a384a3c7634dc919ceb/0117709235.jpeg "APIs ermöglichen es verschiedenen Software-Anwendungen, Daten auszutauschen und miteinander zu interagieren, ohne dass Details zu Implementierung bekannt sein müssen. (Bild: <u><a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a></u>)")
:quality(80)/p7i.vogel.de/wcms/ef/83/ef83b21f59d76ece1f76070d93e9bd6b/0116763715.jpeg "Mit der Verbreitung von generativer KI wird die Bedeutung von Software-Bots weiter zunehmen. (Bild: <u><a href=https://pixabay.com/users/alexandra_koch-621802/>Alexandra Koch</a></u>)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Einsatz von quelloffenen Komponenten Stücklisten von Open-Source-Lizenzen pflegen
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/65/68/656863dbcf3d9/logo-devops-windhoff-group.png "logo-devops-windhoff-group (Windhoff Group)"){kind=logo}
Welche Bedingungen für den Einsatz von Open-Source-Komponenten gelten, hängt von den zugrundeliegenden Lizenzen ab. Deshalb müssen die Verbauenden in Form einer Stückliste aller Open-Source-Komponenten sicherstellen, dass stets klar ist, wo welche Lizenz zum Einsatz kommt und welche Verpflichtungen sich damit ergeben.
Darum sind Lizenz-Stücklisten relevant
Es gibt zahllose unterschiedliche Open-Source-Lizenzen. Sie sollen die Prinzipien von quelloffener Software auf ein rechtliches Fundament setzen. Obwohl die Gemeinsamkeiten zwischen den Lizenzen groß sind, gibt es dennoch Unterschiede – mitunter nur Nuancen, die allerdings erhebliche Folgen haben können.
Um zwei Beispiele zu nennen: Kommt die Apache-Lizenz 2.0 zum Einsatz, dann müssen Änderungen am Quellcode dokumentiert und die Änderungen in Form einer NOTICE-Datei mitgeliefert werden. Die GPL v3 kann wiederum dazu führen, dass auch das neue Werk unter GPL veröffentlicht werden muss.
Das Problem ist dabei, dass es eine Open-Source-Komponente quasi im Vorbeigehen in ein Produkt schaffen kann. Der Entwickler benötigte eine schnelle Lösung für ein spezifisches Problem? Eine kurze Suche, die Lizenzbedingungen ignoriert, ein einzelner Kommandozeilenbefehl später und schon ist die Open-Source-Komponente integriert. Die transitiven Abhängigkeiten dieser Komponenten führen wiederum dazu, dass zahlreiche Open-Source-Komponenten im Projekt landen, die der Entwickler gar nicht berücksichtigt hat.
Wohl dem, der hier verantwortungsvolle Entwickler beschäftigt, die diesen Schritt absprechen und kommunizieren. Eine Stückliste der verwendeten Komponenten mitsamt den Lizenzen stellt dann die Ausgangsbasis dar, um diesen Umstand aufzudecken, Probleme zu erkennen und Lösungsmaßnahmen zu ergreifen.
Lizenz-Stücklisten erstellen
Die Lizenz-Stückliste lässt sich sowohl manuell als auch automatisiert erstellen. Schlussendlich bleibt allerdings nur eine Kombination aus beiden Maßnahmen übrig. Denn egal wie ausgefeilt der zum Einsatz kommende Automatismus ist: Es existieren einfach zu viele exotische Lizenzen und Sonderfälle, deren Konsequenzen nicht bekannt oder eindeutig sind. Eine gute Strategie besteht deshalb aus einem hohen automatisierten Anteil kombiniert mit den richtigen, manuellen Maßnahmen.
Automatisierte Maßnahmen
Automatisieren lassen sich sämtliche quantitativen Aufgaben. Zu denen gehört es, alle verbauten oder referenzierten Pakete, Quellen und Abhängigkeiten nach Lizenzen zu durchsuchen. Entsprechende Tools existieren bereits in großer Anzahl, etwa Scancode Toolkit.
Wichtig ist, dieses Tool nicht einmal auszuführen, sondern regelmäßig, spätestens vor jeder Auslieferung, idealerweise aber mit jedem erstellten Build oder Deployment. Das Ergebnis einer solchen Prüfung ist in der Regel eine Liste, die eine Übersicht aller Komponenten und Lizenzen bildet. Die verbreitetsten Open-Source-Lizenzen schreiben vor, dass die ursprüngliche Lizenz in abgeleiteten Werken mitgegeben werden muss.
Im nächsten Schritt muss die Liste paketiert und in das abgeleitete Werk integriert werden. Entweder alle Lizenztexte werden im Original beigefügt oder – einfacher und auch bei großen Projekten wie Chrome üblich – als Liste mit Verlinkungen, unter denen sich der Lizenztext nachlesen lässt und das Projekt finden lässt. Die Liste sollte dann alphabetisch nach Komponente sortiert sein.
Manuelle Maßnahmen
Nicht-automatisieren lassen sich hingegen die qualitativen Arbeiten. Hierzu gehört es, die Liste der gefundenen Lizenzen auf Ausreißer oder Exoten zu durchsuchen. Gibt es Exoten, dann müssen diese eingehend fachlich respektive juristisch geprüft werden. Exoten können dabei veraltete oder ungültige Lizenzen sein. Es können auch abgewandelte Lizenzen sein, die eine ganz spezifische Nutzung untersagen oder vorschreiben. Fehlt gar eine Lizenz, dann greift unter Umständen das Urhebergesetz, das je nach Land unterschiedlich geregelt ist.
Spätestens bei solchen Lizenzen sollte die gesamte Komponenten-Architektur überprüft werden. Aus diesem Audit muss klar hervorgehen, ob die Komponente direkt in das erstellte Produkt integriert und somit Bestandteil ist. Oder ob die Komponente lediglich aufgerufen wird. Bei einem bloßen Aufruf entfallen nämlich fast alle Restriktionen, die eine Open-Source-Lizenz normalerweise vorgibt.
Im Zuge des Audits – aber auch unabhängig davon – lassen sich verbaute Komponenten selbstverständlich auch durch solche ersetzen, die eine Lizenz nutzen, die einfacher einzuhalten ist. Das erfordert dann aber wiederum einen Umbau im Projekt, der wiederum zahlreiche weitere Maßnahmen notwendig machen kann.
Eine Frage der Pflege
Kurzum: Lizenz-Stücklisten sind eine Frage der Pflege, bestehend aus automatischen und manuellen Maßnahmen. Die Stückliste der Open-Source-Lizenzen ist kein optionales Element, es ist ein Pflichtbestandteil heutiger Software- und Hardware-Produkte. Denn in nahezu allen Produkten kommen Open-Source-Komponenten zum Einsatz. Nur wer einen klaren Überblick über die Lizenzen hat und sämtliche Konsequenzen kennt, kann guten Gewissens Produkte ausliefern.
* Mark Lubkowitz ist Lead IT Consultant bei msg. Er ist Software-Entwickler sowie Journalist und ausgewiesener Experte für die Themen Digitale Souveränität, Open Source, Webtechnologien und Digitale Transformation.
(ID:48287065)
:quality(80)/p7i.vogel.de/wcms/b1/e3/b1e3098b0b52ddd8001f939f8ad829ca/0113676942.jpeg "Mit einer SBOM kann die Branche dafür sorgen, dass Hacker keine bösartigen Artefakte in der Software-Supply-Chain platzieren. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/0e/ec/0eec48c4583b4150d5928fcf71027e4a/0115992625.jpeg "Das Inventarisieren von Open-Source-Komponten und ihre korrekte Nutzung im Zuge der Lizenzierung sind zwei Dinge, die es zu beachten gilt. (© ipuwadol - stock.adobe.com)")