Milliarden-Verluste durch unklare Open Source Lizenzen
Der Einsatz von Open-Source-Projekten kann wirtschaftlich sinnvoll sein. Allerdings müssen sich Unternehmen, die eine Technologie einsetzen, auch darauf verlassen können, dass sie diese quelloffenen Technologien rechtssicher einsetzen können und das ist, wie eine Untersuchung von BlackDuck Software zeigt, relativ selten der Fall.
Weltweit sollen IT-Anwender Technologien im Wert von 59 Milliarden Dollar nicht nutzen können, weil die entsprechenden Projekte unklar lizenziert sind, so der Code-Analyse-Spezialit BlackDuck Software in einer zusammen mit dem Marktforschungsunternehmen Gartner durgeführten Studie.
Diese Summe entstammt der Annahme, dass 30 Prozent der in Unternehmen eingesetzten Software inzwischen Open Source ist.
Mit der zunehmenden Durchdringung von Open Source in Unternehmen gewinnt die Sichtbarkeit der Lizenzlage an Bedeutung, heißt es von Gartner zu der Untersuchung.
Häufig sei Unternehmen nicht klar, welche Verpflichtungen sie im Zuge einer Open Source Lizenz eingehen.
In einer Analyse von einer Million Open Source Projekten kamen die Forscher zum Ergebnis, dass in 60 Prozent der Fälle Lizenzen offen gelegt wurden. Bei 40 Prozent der Projekte sei dies aber nicht klar gewesen, oder ein Lizenz ließ sich nicht identifizieren. Für viele Unternehmen scheitere daher der Einsatz quelloffener Technologien an unklaren Bestimmungen.
“Wenn es keine offen gelegte Lizenz bei einem Open Source gibt, kann das Unternehmen dazu veranlassen, diese nicht in Betracht zu ziehen”, erklärt Mark Driver, Vice President and Research Director, Gartner. Damit begrenze sich aber auch die Auswahl an zur Verfügung stehender Projekte.
Besonders problematisch sind laut Black Duck Projekte auf GitHub, wo es in 77 Prozent der Fälle keine deklarierten Lizenzen gibt. GitHub ist zudem derzeit in der Open Source Welt darüber hianaus das wichtigste Repository.
Die Daten aus Black Ducks Deep License Data zeigen darüber hinaus auf, dass 42 Prozent der GitHub-Projekte eingebettete Lizenzen haben, die spezielle Verpflichtungen nach sich ziehen.
“Es reicht einfach nicht mehr, die Lizenz zu kennen, die mit einer Komponente verbunden ist, ekrlärt John Generelli, Sr. Director Compliance bei ADP. “Deep License Data, die zeigen, welche Lizenzen mit Snippets, Dateien oder Strings zusammenhängen, können darüber entscheiden, ob wir eine bestimmte Komponente verwenden oder nicht.”
Zu dieser Studie sei noch angemerkt, dass die neue Lösung, Black Duck Suite 6.5 diese Fähigkeit, zur Deep License Analyse liefert. Unternehmen sollen damit bereits vor der Evaluierung eines Codes über ‘eingebettete Lizenzen’ informiert werden.
Tipp: Wie gut kennen Sie sich mit Open-Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de