Open Source ist nicht zwangsweise Open SourceSo lässt sich „Fake Open Source“ erkennen
22. Mai 2023Open Source ist inzwischen zum Herzstück nahezu aller Software-Lösungen avanciert. Ganze 96 Prozent der Anwendungen beinhalten Open-Source Code, und 90 Prozent aller Unternehmen nutzen diese Ressource.
Es überrascht kaum, dass die Akzeptanz von Open Source weiter zunimmt. Mit ihr können Anwender ihre Innovationen schneller entwickeln und anbieten, agiler und flexibler agieren – und dabei Kosten sparen. Vor allem können sie eigenständiger handeln und so ihre Wettbewerbsfähigkeit sichern.
Aber leider gilt auch: Open Source ist nicht zwangsweise Open Source. Will heißen: Es gibt zahlreiche Blender im Markt, bei denen das „Open” einer Täuschung gleichkommt. Doch wie kann man sie erkennen?
Was ist eigentlich „Fake Open Source“?
Fake Open Source (auch als „Captive Open Source” bezeichnet) ist Software, die lizensiert zur Verfügung steht, dabei aber alles andere als „offen” ist. Lizenzen, die zu echten Open Source-Angeboten gehören, müssen unter der Open Source Initiative (OSI) gelistet sein. Nur diese Listung gewährleistet, dass die Software kostenfrei genutzt, modifiziert und geteilt werden kann.
Ein typisches Beispiel falscher Open Source ist der Wechsel von Mongo von einer GNU Affero General Public License (AGPL) zu einer Server Side Public License (SSPL). Letztere ist nicht OSI-zertifiziert und bedeutet für den Nutzer einige handfeste Nachteile. Auch Cockroach ging von einer offiziellen Open Source-Lizenz (Apache) zu einer Business Source License (BSL) über – und hat damit ebenfalls keine OSI-Referenz mehr.
Dass auch solche Software-Angebote als Open Source vermarktet werden, liegt daran, dass der Code inspiziert werden kann und dass eigene Beiträge möglich sind. Dennoch hält ein einzelnes Unternehmen die Lizenz, sodass trotz kleinerer Zugeständnisse an die Nutzer insgesamt nicht von einer wirklichen Offenheit gesprochen werden kann – schon gar nicht im Vergleich zu „echten“ Open Source-Anbietern.
Entscheidet sich ein Unternehmen für „Open Source“-Angebote wie die beschriebenen, sitzt es nicht selten in der Falle, denn es macht sich von einem einzigen Anbieter abhängig. Verändert der sein Preisgefüge oder den Zugang zu bestimmten Features oder sollte er gar Pleite gehen, sieht es für die Nutzer düster aus.
Ein anderer manifester Nachteil ist der fehlende Support einer breiten Community. Das bedeutet: Anwender könnten sich dadurch schwerer mit der erfolgreichen Suche nach geeigneten Mitarbeitern tun, denn die Möglichkeiten für eigene Beiträge sind streng limitiert oder gar nicht erst vorhanden.
Echte Open Source-Anbieter wie Linux oder PostgreSQL („Postgres“) haben sich hingegen geradezu als Mitarbeitermagnet erwiesen, weil sie wirklich offen für Beiträge und Inspektionen sind und zudem eine beträchtliche Community vorweisen können. So zählen zum Mitwirkenden-Kreis der aktuellen Postgres-Version über 140 Unternehmen. Alles, was des Nutzers Herz bewegt, kann er sofort in diese Community geben und dort diskutieren.
Entwickler sind der Garant für Innovationen. Sie wollen immer dort sein, wo sich am meisten tut. Und genau das tut sich eben im Open Source-Bereich. Anders als bei Projekten mit Fake Open Source-Angeboten besteht hier tatsächlich eine umfassende Unabhängigkeit von einzelnen Anbietern, sodass deren Aktivitäten oder gar ihr geschäftliches Schicksal keine weiteren Auswirkungen auf die Nutzer von Postgres haben.
Für die Anwender gibt es viel zu gewinnen. Sie können ihre Innovationsprojekte schneller umsetzen, haben mehr Talente zur Auswahl, profitieren vom Support der Community sowie von geringeren Kosten – und natürlich der gebannten Gefahr eines Vendor Lock-ins. Für die Unternehmen kommt es daher mehr denn je darauf an, echte von falschen Angeboten unterscheiden zu können.
Die Unterschiede erkennen: eine Checkliste
Die Identifizierung von Fake Open Source kann schwierig sein – hier einige Hinweise, wie es dennoch gelingen kann:
- Ist die Softwarelizenz OSI-zertifiziert? Eine der einfachsten Methoden ist ein Blick auf die Lizenz. Entspricht sie nicht den OSI-Standards, ist Skepsis angebracht.
- Basiert das Projekt auf Beiträgen aus der Community? In jedem Fall sollte eine Software gewählt werden, die auf eine robuste Community zurückgreifen kann – und nicht nur auf die Ressourcen eines einzigen Anbieters. Jetzt ist Sorgfalt geboten: Es gibt tatsächlich einige Postgres-Lookalikes. Aber die können nicht, was das Original kann – vor allem weil eben nur ein einziges Unternehmen dahintersteht.
- Was verbirgt sich hinter den Release Notes des Projekts? Hier sollten möglichst viele Beteiligte aufgeführt sein. Das weist darauf hin, dass eine engagierte Gemeinschaft hinter dem Projekt steht. Sind darunter bekannte Namen? Wenn ja – sind sie glaubwürdig? Hier sollte man sich ganz sicher sein, denn die gesamte geschäftliche Zukunft kann davon abhängen. Im Zweifelsfall sollte die Entscheidung dann immer für das größte Open Source-Projekt fallen, keinesfalls aber für ein unbedeutende(re)s.
- Wie hoch ist die Innovationsrate? Wie oft werden neue Releases und Features publiziert? Regelmäßige Updates sind ein guter Indikator für ein innovatives Projekt, das immer besser gemacht wird. So beinhalten Postgres Releases bis zu 180 neue Features, hinzu kommen weitere Releases mit kleineren Optimierungen im Vierteljahresabstand.
Open Source hat die Software-Entwicklung nachhaltig verändert und neue Potenziale erschlossen. Wenn Unternehmen in der Lage sind, Fake-Angebote zu erkennen, können sie bewusst zu geeigneten Optionen greifen und damit ihre Zukunftsfähigkeit sichern.
Marc Linster ist Chief Technology Officer bei EnterpriseDB.