Softwareentwickler müssen bei der Verwendung von Open-Source-Software immer auf deren jeweilige Lizenzbedingungen achten. Professor Dr. Rainer Koschke erläutert, wie Softwareanalysewerkzeuge helfen, Lizenzverletzungen zu vermeiden.
Herr Dr. Koschke, welche Lizenz-Fallstricke lauern für Entwickler bei der Nutzung von Open-Source-Software (OSS)?
Die unrechtmäßige Verwendung von OSS stellt ein ernst zu nehmendes Problem dar. Vielen Entwicklern fehlt das Verständnis für die rechtlichen Risiken, und den Organisationen fehlen Grundsätze zum Umgang mit OSS. Es gibt viele Varianten von OSS-Lizenzen. Letztlich ist hier juristischer Rat gefragt. Bevor man also OSS benutzt, prüfe man die Lizenz mit einem Menschen mit juristischem Sachverstand, der aber auch ein technisches Verständnis für Software mitbringen muss. Das gilt insbesondere für solche Fälle, in denen OSS mit verschiedenen Lizenzen integriert werden soll. Hier ist die Verträglichkeit der verschiedenen Lizenzen zu prüfen.
Können Audits hier weiterhelfen?
Ein Audit hat immer eine technische und eine juristische Komponente. Die technische befasst sich mit der Suche nach Code im eigenen System, der aus OSS stammt. Technische Audits werden von Dienstleistern angeboten, können aber mit geeigneten Werkzeugen auch von den Organisationen selbst durchgeführt werden.
Wie lassen sich Copyright-Verletzungen erkennen?
Das Aufspüren von Copyright-Verletzungen ist im Kern ein Suchproblem. Die Informatik kann hier mit vielen unterschiedlichsten Suchalgorithmen weiterhelfen. Diese sind im einfachsten Fall textbasiert. Ganz einfache Verfahren berechnen dazu einen Hash-Code über eine ganze Datei. Sie finden jedoch nur solche Fälle, in denen ganze Dateien unverändert kopiert wurden. Das reicht nicht aus. Daher gibt es weitaus fortschrittlichere Algorithmen, etwa um Manipulationen der Kopie vorwegzusehen und rückgängig zu machen.
Welche Werkzeuge gibt es dafür?
Es gibt interessanterweise nur sehr wenige Werkzeuge auf dem Markt. Eines davon wurde von uns an der Universität Bremen entwickelt und wird nun von unserem Spin-Off Axivion mit professionellem Service zur Verfügung gestellt. Das Verfahren ist ein lexikalischer Vergleich, der auch einzelne Anweisungssequenzen als Kopien erkennen kann. Es ist sehr feingranular und tolerant gegen Reformatierungen, Austausch von Bezeichnernamen und Literalen sowie gegen das Einfügen oder Löschen von Anweisungen.
In welche Richtung forschen Sie weiter?
Wir werden unsere Analysen auf Binärdateien ausdehnen, so dass man auch Verletzungen über die kompilierten Programme entdecken kann, wenn man keinen Zugriff auf den Quellcode hat. Zudem arbeiten wir an Abstraktionstechniken, um noch weitergehende Modifikationen tolerieren zu können. Ein interessantes Forschungsgebiet ist auch die Suche nach Verletzungen, bei denen die Kopie in eine ganz andere Programmiersprache übersetzt wurde. Denn auch die Übersetzung in eine andere Sprache ist eine Verletzung des Copyrights.
Sabine Koll Journalistin in Böblingen
Weitere Informationen www.informatik.uni-bremen.de/st www.axivion.com Für juristische Aspekte: Institut für Rechtsfragen der Freien und Open-Source-Software www.ifross.de
Unsere Webinar-Empfehlung
Erfahren Sie, was sich in der Medizintechnik-Branche derzeit im Bereich 3D-Druck, Digitalisierung & Automatisierung sowie beim Thema Nachhaltigkeit tut.
Teilen:
