Gepubliceerd op woensdag 27 juli 2011
IT 452
De weergave van dit artikel is misschien niet optimaal, omdat deze is overgenomen uit onze oudere databank.

Verslag Workshop over Open Source 12 juli 2011

Dinsdagmiddag 12 juli verzamelde zich een groep advocaten en bedrijfsjuristen om de workshop van Arnoud Engelfriet en Armijn Hemel bij te wonen (ICTRecht 6 juni, IT 421 en IEF 9844). Open source is niet meer weg te denken in bedrijven en producten. Maar aan de naleving van de betreffende licenties schort het vaak helaas nog. Diverse rechtszaken hebben laten zien dat GPL en collega’s wel degelijk tanden hebben. Hoe kunt u nu uw cliënten het beste adviseren over hoe te handelen?

1. Arnoud Engelfriet; Vier typen uiteengezet
2. Armijn Hemel; Consumentenelektronica en overtredingen opsporen en
3. Stellingen

1. Arnoud Engelfriet, ICTRecht

De voordelen van OS opgesomd zijn o.m. kostenbesparingen, directe beschikbaarheid en de ontwikkelingsmogelijkheden, iedereen kan namelijk de broncode verbeteren en men is niet afhankelijk van de oorspronkelijke auteur. OS valt niet onder het publieke domein, er zit auteursrecht op. Dat het vrij beschikbaar is, houdt niet in dat alles mag. Bij OS horen ook licenties die de voorwaarden voor het gebruik van OS definiëren (bekende voorbeelden zijn de GPL V.2 en V.3).

Drie categoriën licenties

1. Academic naam auteurs en verder geen verplichtingen. Bijv. BSD, MIT/X11. 
2. Zwakke copyleft broncode en wijzigingen moeten OS zijn en blijven. Bijv. Artistic licenses, Eclipse Public license, Mozilla Public license, Library/Lesser GPL.
3. Sterke copyleft broncode, wijzigingen en verbeteringen/uitbreidingen moeten OS zijn en blijven. Bijv. GPL

Vier typen uiteengezet

De Library GPL
Ook wel Lesser GPL genoemd, noemt met name twee mogelijkheden wanneer sprake is van een ‘wijziging’:
1. Static linking: pakt code bij elkaar in één groot bestand en dan wordt de hele applicatie in LGPL.
2. Dynamic linking: verschillende losse bestanden die compatibel zijn en dan hoef je je eigen code niet OS te maken.

GPL
Ongeveer de helft van de Open Source wordt onder GPL uitgegeven. GPL V2 werd in 1991 gelanceerd en in 2006 kwam versie 3 uit. De belangrijkste wijzigingen in GPL V.3:
1. Digital rights management: geen GPL software stoppen in apparaat dat kopieerbeveiliging heeft.
2. Broncode en de sleutel beschikbaar stellen.
3. Patenttrollen tegenwerken: zij kunnen OS blokkeren.

Affero GPL
Deze GPL wordt gebruikt bij interactie met software via een netwerk, bijvoorbeeld bij z.g. clouddiensten. Het is een uitbreiding op de gewone GPL in die zin dat er toegang tot de broncode wordt verschaft. Normaliter eist GPL dat de broncode ter beschikking staat aan zij die een kopie van de software in hun bezit hebben.

Interne OS
Binnen een bedrijf kan men ook “Open Source” software creëren, deze wordt niet naar buiten toe verspreidt.

 

2. Armijn Hemel, Tjaldur Software Governance Solutions

Vervolgens over de praktijk en de handhaving van licenties. Hemel maakt sinds 2005 onderdeel uit van het kernteam van www.gpl-violations.org. Gpl-violations.org is in 2004 opgericht door Harald Welte met als doel: educatie, documentatie, juridische actie.

Een melding komt binnen via mail, SMS of andere kanalen en een testaankoop volgt. Veel meldingen worden door particulieren gedaan. Vaak zijn er valse meldingen, omdat mensen de licenties niet volledig begrijpen. Als er een overtreding wordt vastgesteld, wordt er een “cease and desist”(-sommatie) verstuurd. Niet altijd zijn de reacties van bedrijven positief. Onbegrip zorgt er vaak voor dat men (onterecht) meent dat OS gratis is dus geen verplichtingen met zich meebrengt, vaak wordt er gehandeld ‘te goeder trouw’ en dus niet aansprakelijk, aldus de aangesprokenen. Er is nog onbegrip over de eigen verantwoordelijkheid, maar onwetendheid is geen excuus. Uiteindelijk moeten de inbreuken op de OS licenties begrepen, onderkent, verholpen en voorkomen worden.

Consumentenelektronica
Veel inbreuken komen voor in consumentenelektronica, omdat vrijwel alles wordt ´ingekocht´ is er sprake van extreem kleine marges, felle concurrentie, lage kwaliteitseisen en “cowboys”. De bron van problemen ligt bij de toeleveranciers, maar de labelplakkers worden juridisch aansprakelijk gesteld. Veel van deze producten kwamen uit Taiwan, nu inmiddels China en waarschijnlijk Vietnam en Cambodja in de nabije toekomst. De duurdere soorten komen uit Japan en Korea.

Auteursrechten werken anders in Azië, dit komt door de culturele verschillen. Ook begrijpen ze de switch van het Westen nog niet helemaal. Jarenlang werd er gehamerd op non-disclosure en nu is er OS, dit leidt tot onbegrip. Ook is GPLv2 in het Engels, wat niet iedereen in Azië kan lezen.

Hoe kan de situatie in Azië verbeterd worden? 
1. Educatie lezingen en artikelen, ook in lokale taal. Lokale organisaties en trainen van compliance engineers.
2. Economische druk meer juridische zaken, via contracten verantwoordelijkheid verleggen.
3. Hulpmiddelen bedrijven zelf controles laten uitvoeren. Bijv. d.m.v. Binary Analysis Tool en integratie van licentie-scanners. Op termijn zal er meer tooling beschikbaar zijn.
4. Academisch onderzoek nog veel onduidelijkheid over licenties, onderzoek hiernaar kan helpen duidelijkheid te verschaffen.

De resultaten laten een langzame verbetering zien. Steeds meer bedrijven nemen maatregelen, hoewel het soms sneller zou kunnen. Ook in Azië is steeds meer belangstelling voor naleving van OS licenties.

Vragen
Een van de deelnemers vraagt wat gpl-violations.org nu precies claimt. Armijn Hemel antwoordt dat ze willen dat gebruikers van de broncode aan de OS licentie voldoen en eisen schadevergoeding in naam van Harald Welte. Hij heeft het auteursrecht op verschillende broncodes. Dit wordt in zijn geval nooit betwist, er is 15 jaar aan bewijs.

Een andere vraag is of er nog onduidelijkheid is over wat de grenzen zijn van GPL. Armijn Hemel antwoordt dat er wel een paar uitspraken staan op gpl-violations.org maar dit meestal kant-en-klare uitspraken zijn in de zin dat er sprake was van een inbreuk en schadevergoeding is toegewezen.

Overtredingen
Ontdekking van overtredingen vind plaats in twee stappen: Documentatie-analyse en technische analyse.

1. analyse van documentatie (juridische analyse):
   Bijvoorbeeld bij GPL V.2 licentie zijn de vereisten:
   - kopie licentietekst
   - complete en overeenkomstige broncode voor programma’s onder GPLv.2
   - geschreven aanbod voor de broncode, geldig voor iedereen.

2.  technische analyse: houdt in dat de aanwezigheid van GPL/ LGPL software in binaire bestanden bepaald wordt en de broncode gecontroleerd wordt om te zien of deze overeenkomt.

Een technische analyse wordt gesimuleerd, hiervoor wordt firmware van een router gebruikt en wordt gezocht in de binaire systemen naar broncodes van Red Boot, Linux Kernel en BusyBox.

Dit zoekwerk is tijdrovend, gelimiteerd door de kennis van de engineer en er worden makkelijk dingen over het hoofd gezien. Daarom bestaan er ook enkele geautomatiseerde zoeksystemen. Een voorbeeld is de door Armijn ontworpen Binary Analysis Tool. De compliance engineering kan in een code vast gelegd worden. Voordeel is de snelheid t.o.v. handmatig onderzoek. Nadelen:  er is een gelimiteerde functionaliteit, het is niet altijd het meest efficiënte middel en soms is er sprake van ‘false positives’.

Voorts laat Armijn een demo zien over hoe een apparaat benaderd kan worden via de seriële poort. Dit gebeurt als de firmware niet op site staat of niet achterhaald kan worden.

Vraag
Wordt bij deze onderzoeken geen computervredebreuk gepleegd? Armijn Hemel geeft aan dat dit in Europa in ieder geval niet zo is. Tevens vertelt hij dat als de producent van de software niet meer achterhaald kan worden, het product uit de markt gehaald moet worden.

Tips van Hemel om een overtreding te verhelpen

Allereerst moeten ze de broncode beschikbaar stellen, klanten informeren over hun rechten en maatregelen treffen ter voorkoming van verdere inbreuk. Mocht dit niet lukken dan moet de distributie van het product gestaakt worden en overige maatregelen genomen worden om inbreuk tegen te gaan.

Afsluitend geeft Armijn Hemel aan dat handhavers in de toekomst op Consumer electronics zullen concentreden, maar dit zullen uitbreiden naar speelgoed (embedded software/ apparatuur zoals Android). Een zakelijke testaankoop blijft altijd lastig, denk bijvoorbeeld aan een trein of vliegtuig waarin broncodes worden gebruikt.

3. Stellingen

Stelling 1. Tot er (hogere) jurisprudentie is, kun je GPL maar beter vermijden.

Antwoorden van deelnemers:
- je moet er wel voorzichtig mee zijn
- er is nauwelijks alternatief
- je moet consequenties goed doorzien
- nee, niet nodig om GPL te vermijden
- het is een grijs gebied: afgeleid werk – linking. Stel: GPL bron en eigen bron maar eigen bron geheim. Wat doe je dan?

Stelling 2. GPL schendingen zijn een fact of life
Bijv. als je chips in Azië koopt dan is er waarschijnlijk sprake van GPL schending. Hoe ga je daar mee om?
Antwoorden deelnemers:

- het hangt er vanaf in welke fase het bedrijf zit qua volume, ingewikkeldheid, etc.
- oplossing van Busybox in de VS bij inbreuk: geen licentie meer voor alle apparaten van inbreukmaker, ook degenen die wel voldoen aan GPL.

Stelling 3. Met goede contracten en garanties zijn GPL risico’s afdoende in te dekken
Antwoorden deelnemers:

- elk contract heeft risicoprofiel
- aanvaarding onbeperkte aansprakelijkheid
- aparte clausules OS: reparatieplicht, geen garantie

Stelling 4. Handhavers van GPL-licenties zijn te lief voor inbreukmakers
Antwoorden deelnemers:

- ze zijn niet te lief bij Amerikanen
- kan alleen eigen auteursrecht eisen
- meer auteursrechthouders bij betrekken, bijv. centraal
- overdragen auteursrecht bij OS is gecompliceerd
- niet te lief, maar overwerkt door lange zaken

Verslag van Iris Koetsenruijter, met toestemming van Arnoud Engelfriet en Armijn Hemel gepubliceerd