Open source niet gratis

13 juni 2008
Het gebruik van open-sourcesoftware is populair. Steeds meer bedrijven maken er gebruik van of brengen closed software naar de open-sourcewereld. Het gebruik van open source is in een groot aantal gevallen een bewuste keuze, maar het komt ook vaak voor dat dit onbewust gebeurt. Uit een onderzoek uitgevoerd onder 955 lokale overheden uit dertien Europese landen blijkt dat 79 procent van hen gebruikmaakt van enige vorm van open-sourcesoftware (Ghosh & Glott, 2005). In Nederland is dit 55 procent van de 141 ondervraagden.

Ondanks de populariteit en het veelvuldig gebruik van open-sourcesoftware zijn er ook aspecten die een bedreiging vormen. Een belangrijke bedreiging is het juridisch aspect. Computersoftware is een vorm van intellectueel eigendom die onder dezelfde copyrightwet valt die bescherming biedt tegen misbruik van media zoals muziek, boeken en films. Net zoals bij andere media staat tegenover misbruik van computersoftware een behoorlijke (geld)straf. Daarnaast brengt oneigenlijk gebruik van (open-source)software andere bedrijfsrisico’s met zich mee zoals het verlies van intellectueel eigendom, gezichtsverlies in de markt en hoge kosten ten behoeve van terugroepacties, codereviews en herontwikkeling.

Open-sourcesoftware wordt vaak gezien als gratis software en daarom ingezet zonder inzicht te hebben in de bijhorende licenties en de consequenties van deze licenties. Op dit moment bestaan er meer dan twaalfhonderd verschillende open-sourcelicenties en zijn meer dan honderdzestigduizend open-sourceprojecten geregistreerd bij een groot aantal sites. Ieder open-sourceproduct heeft een of meer licentievormen, maar het desbetreffende product kan zelf ook weer gebruikmaken van open-sourceproducten, met ieder een eigen licentie. Daarnaast wordt in commerciële software ook vaak gebruikgemaakt van open-sourcecomponenten. Wanneer software uit meerdere van deze componenten bestaat, is het complex en tijdrovend, zo niet onmogelijk, om alle licenties op elkaar af te stemmen zonder gebruik te maken van hulpmiddelen zoals ‘software compliance management tooling’.

Met behulp van deze hulpmiddelen kunnen licentieanalyses worden uitgevoerd. Deze analyses geven inzicht in de gebruikte open-sourcecomponenten, de licentieverplichtingen en eventuele licentieconflicten die ontstaan door het inzetten van (combinaties van) open-source- en commerciële producten. Het inzetten van ‘software compliance management tooling’ voorkomt misbruik van open-sourceproducten en ondersteunt hiermee het beveiligen van het intellectueel eigendom.

Op dit moment zijn twee producten verkrijgbaar op het gebied van software-compliancemanagement. Het product protexIP van Black Duck Software is momenteel de beste keuze. De functionaliteit van protexIP is zeer compleet waardoor een goed inzicht wordt gegeven in het gebruik van open-sourcesoftware en de licentieverplichtingen die dat met zich meebrengt. De functionaliteit van het open-sourceproduct FOSSology is nog niet op het niveau van protexIP, maar de groeiende community belooft veel voor de toekomst. Daar komt nog bij dat FOSSology gratis gebruikt mag worden en dat protexIP een commercieel product is met een licentieprijs. In de toekomst kan FOSSology daarom een geduchte concurrent worden van protexIP.

Dirk-Jan van der Pol is als businessconsultant/enterprise architect – Open Source & Integratie werkzaam bij Getronics PinkRoccade, departement Business Application Services (dirk-jan.vanderpol@getronics.com).

Commercieel product
Black Duck Software is een bedrijf dat is opgericht in 2002 in Waltham USA. Het bedrijf is gefinancierd door een aantal leiders uit de ICT-industrie, zoals Intel, SAP en RedHat. Black Duck levert producten en diensten rond het thema software-compliancemanagement. Het vlaggenschip van Black Duck is pro­texIP. Deze tool helpt organisaties bij het beheersbaar maken van licentieverplichtingen in een steeds complexere open-sourceomgeving. Door protexIP vroegtijdig op te nemen in het ontwikkelproces, worden bedrijfsrisico’s verlaagd.

De tool identificeert software en de bijbehorende licenties van open source, proprietary en third party-software en geeft hierbij aan wat de verplichtingen en restricties zijn van de verschillende licenties en welke conflicten ontstaan door gecombineerd gebruik van deze software. Wanneer een licentieconflict wordt geconstateerd, is protexIP in staat een alternatief product met vergelijkbare functionaliteit voor te stellen dat wel aan de gewenste licentievorm voldoet.
ProtexIP werkt op basis van zogenaamde codeprints en is programmeertaalonafhankelijk.

Codeprints zijn vergelijkbaar met vingerafdrukken. Alle code heeft een unieke vingerafdruk. Codeprints worden zowel gemaakt van hele bestanden als van codesnippets (kleine stukjes code). Hierdoor wordt het mogelijk om te bepalen of stukken code die bijvoorbeeld van het internet zijn gekopieerd of afkomstig zijn uit een boek met codevoorbeelden, onder een bepaalde licentie vallen. ProtexIP maakt gebruik van fuzzy matching waardoor codeprints zelfs gematcht worden wanneer de originele code is aangepast. Daarnaast heeft protexIP de mogelijkheid om import- en include-analyses uit te voeren waardoor alle afhankelijkheden van code worden meegenomen in de rapportage. Naast het analyseren van sourcecode is protexIP ook in staat om analyses uit te voeren op binary files, zoals libraries, class files en executables. Het gaat hierbij om exacte matches. Dit betekent dat een eventuele verandering in een binary file geen match oplevert. Net zoals bij sourcecodeanalyses is protexIP in staat om bij binary files naar afhankelijkheden te zoeken zodat tijdens een analyse alle afhankelijke bestanden worden meegenomen.

ProtexIP heeft een webbased user interface. Toegang tot de applicatie is role-based en ondersteunt diverse rollen binnen een organisatie. De tool levert diverse overzichten en rapporten zoals een bill of material en een overzicht van codematches. Naast toegang via de webinterface biedt protexIP ook ondersteuning voor gangbare third party tools, zoals Eclipse en Maven. Op deze manier ontstaat de mogelijkheid het open-sourceanalyseproces onderdeel te maken van het ontwikkelproces.

ProtexIP is een commercieel product. Black Duck hanteert een abonnementsmodel, wat betekent dat het licentiebedrag jaarlijks betaald moet worden. Voor het vaststellen van dit licentiebedrag wordt gekeken naar het aantal megabytes van de te beheren sourcecode of het aantal gewenste gebruikersaccounts.

Gratis gereedschap
Het open-sourceproduct FOSSology is een open-sourceanalysetool die ontstaan is als initiatief binnen Hewlett Packard (HP). HP zocht een tool die ondersteuning kon bieden bij het governanceproces. Deze tool moest in staat zijn om snel een accuraat beeld te geven van de licentiëring van een bepaald product. Hierbij wilde HP niet uitgaan van de licentieteksten die op de websites van de open-sourceproducten staan, maar van een tool die in de sourcecode naar licenties kon zoeken. Dit was het begin van het FOSSology-project. HP heeft de keuze gemaakt om FOSSology open source te maken en een levendige open community van gebruikers en medewerkers te creëren met als doel om FOSSology nog waardevoller te maken voor de markt door het realiseren en leveren van een complete licentieanalysestack. De FOSSology-community is een jonge maar snelgroeiende community.

Met de huidige FOSSology-versie is het mogelijk om in sourcecode en overige tekstbestanden binnen een project te zoeken naar open-sourcelicenties. FOSSology gaat hierbij uit van het vertrouwen dat licentieteksten zijn opgenomen in de code of in aparte files. Wanneer een licentietekst niet is opgenomen, zal FOSSology de licentie niet herkennen.
De huidige versie van FOSSology is alleen in staat om naar licenties te zoeken op basis van hele files. Codesnippets worden vanaf de volgende versie ondersteund. Door het gebruik van fuzzy-matchingtechnologie is FOSSology in staat om licenties te vinden zelfs wanneer de teksten zijn aangepast.
Bovendien is FOSSology programmeertaalonafhankelijk. Het scannen van binary files is op dit moment niet mogelijk. FOSSology is in de huidige versie niet in staat om licentieconflicten te signaleren, maar geeft alleen een overzicht van de gebruikte open-sourcecomponenten en de bijhorende licenties.

FOSSology bestaat uit een webbased analysetool, een software repository en zogenaamde agents. Deze agents vormen het hart van FOSSology en zijn verantwoordelijk voor het uitvoeren van de daadwerkelijke analyse. Op dit moment zijn alleen agents beschikbaar die gericht zijn op het analyseren en zoeken van licenties binnen tekstbestanden, zoals sourcecode. In de toekomst worden ook andere agents verwacht die bijvoorbeeld binary files kunnen scannen of in staat zijn om licenties te herkennen op basis van codeprints in plaats van op licentieteksten.
FOSSology valt onder de GNU General Public License Version 2 (GPLv2). Een van de verschijnselen van de GPLv2-licentie is dat de producten die onder deze licentievorm vallen gratis gebruikt mogen worden.

Verschillen tussen protexIP en FOSSology

tools


 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!