Ecosysteem open source roept vragen op

Het gebrek aan ‘maakbaarheid’ van open-sourcecommunities baart allerlei belanghebbenden in toenemende mate zorgen, blijkt in de wandelgangen van de Open Source Business Conference 2006 West, die onlangs in San Francisco voor de derde keer werd gehouden. Amerikaanse venture capitalists richten zich na het dotcom-tijdperk met verve op dit ontluikende segment en hebben zo ongeveer alles gefinancierd waar redelijkerwijs geld in gestopt kon worden. De cijfers liegen er niet om. Volgens OSBC-organisator Matt Asay participeerde VC’s de laatste vijf jaar met 1,38 miljard dollar in open source-gerelateerde activiteiten en de trend is scherp stijgend; de aflopen zes maanden alleen al 150 miljoen dollar. Open source lijkt daarmee primair om shareholder value en ‘cashing in’ te draaien. Het moge duidelijk zijn, klanttevredenheid is daarmee niet gediend. Bovendien toont de softwaresector in de VS een sterke consolidatieslag. Het aantal overnames steeg volgens de laatst beschikbare cijfers in de periode 1 oktober 2003 tot en met 31 september 2004 met 24 procent tot 1.216. Opvallend is dat de gemiddelde, gerapporteerde verkoopprijs zakte van 33 miljoen dollar in het fiscale jaar 2003 tot 23 miljoen in 2004. Ecosystemen Geen wonder dat communities en in breder perspectief ecosystemen van een open-sourceproject prioriteit krijgen want, zoals Sun Microsoystems’ president en COO Jonathan Schwartz opmerkt, bij open-sourcesoftware vindt innovatie ‘ergens anders’ plaats. Buiten de deur. Aan het eigen open besturingssysteem van Sun, OpenSolaris, werken momenteel 11.000 programmeurs. Slechts 1000 daarvan staan bij Sun op de loonlijst. Het merendeel van de ontwikkeling gebeurt volgens Schwartz buiten de muren van eigen research & development centra van Sun, dat inmiddels zwaar op open source-constructies leunt. Sterker nog, Sun, Novell en anderen hebben feitelijk hun toekomst gekoppeld aan de langdurige validiteit van zakelijke modellen rondom ‘open source’, samen met de kwaliteit en acceptatie van bepaalde digitale technologie, die onder deze voorwaarden wordt aangeboden. Mogelijk gloort bij de Sun de dageraad, omdat OpenSolaris in korte tijd vier miljoen maal is gedownload. Schwartz leidt daar uit af dat het besturingsysteem nu al succesvoller is dan HP-UX in haar gehele levenscyclus. Dat de open source-licentienemers tevens vier miljoen onderhouds-overeenkomsten met Sun hebben gesloten lijkt onwaarschijnlijk. Contracten Voor de inhoudelijke kant van open-sourcelicenties lopen vooral juristen warm. Ontwikkelaars bij leveranciers en gebruikersorganisaties kijken doorgaans niet of nauwelijks naar juridische regeltjes. Of ze de inhoud begrijpen, is nog een tweede. Met alle gevolgen van dien. Er ontstaat aansprakelijkheid en overnames gaan last-minute niet door. Een bedrijf voorziet op een originele wijze in de omissie. Black Duck Software Inc. pakt de problematiek met compliance-software op technologische wijze aan. Op abonnementsbasis scant Black Duck, een tool, broncodes en checkt vervolgens regel voor regel of delen van de code uit een open-sourceproject afkomstig zijn, en zo ja, welke project, en op basis van welke licentie. Een andere juridische ontwikkeling betreft het consultatieproces dat onlangs begonnen is ten behoeve van een major upgrade van ’s werelds meest gebruikte broncodelicentie, de GNU General Public License (GPL), geschreven door Free Software Foundation (FSF). Deze Amerikaanse stichting stelt enerzijds dat vernieuwing van de GPL gewenst is om meer duidelijkheid te scheppen. Anderzijds wil zij globaliseren. De juridische voorwaarden moeten namelijk straks in alle rechtsstelsels van de wereld de toets der kritiek kunnen doorstaan, zo luidt het ambitieuze uitgangspunt. Hier begint de waterscheiding tussen juristen over het begin dit jaar geopenbaarde ontwerp voor de GPL versie 3. Sommigen stellen dat het onmogelijk is een wereldwijd-geldig contract te ontwikkelen; door FSF ingeschakelde advocaten geloven daar echter wel in. Ook de discussie over de vraag of de GPL (alleen) een licentie is of (tevens) een overeenkomst, spreekt boekdoelen. Een ander discussiepunt betreft de complexiteit van de licentie. Hoewel de FSF de omvang van wijzigingen publiekelijk bagatelliseert, staat vast dat de huidige versie 2 ingrijpend op de schop is gegaan. Uitbreiding van het aantal clausules en de introductie van allerlei nieuwe begrippen maken de licentie er niet begrijpelijker op. Nog geen twee maanden oud, staat het aantal gemotiveerde commentaren op het ontwerp op 600. Vier commissies - voor leveranciers, gebruikers en twee voor ontwikkelaars - gaan een jaar lang de reacties verzamelen, analyseren en bespreken. Er is overigens geen stemproces. In 2007 stelt de FSF de definitieve versie vast, die mogelijk voor alle Linux-gebruikers relevant wordt. Eén juridische case bleef in San Francisco opvallend onbesproken; Ingres, de voormalige relationele database van Computer Associates. Even terug in de tijd. Met veel tamtam kondigde CA in 2004 de vrijgave van de broncode aan. Ingres werd ‘open source’, en wel op basis van een unieke licentie, de Trusted Open Source License (CA-TOSL). CA deed iets wat de andere, pakweg 200 open-broncodelicenties voor computerprogramma’s niet doen: het vrijwaren van de licentienemer tegen intellectuele eigendomsclaims van derden. Inderdaad een novum in open source-land; vandaar het woord ‘vertrouwen’ in de naam. Maar de softwareleverancier sprak voor haar beurt, want de eindelijk door de stichting Open Source Initiative gecertificeerde licentie, de CA-TOSL 1.1, zwijgt over vrijwaring. Ingres Vervolgens werd de programmatuur maanden later plotseling aan een nieuw opgerichte onderneming overgedragen. Ingres Corporation gaat de database nu commercialiseren. En nauwelijks drie weken terug blijkt dat Ingres Corp. de software zonder enige vooraankondiging onder de eerder genoemde GPL ter beschikking stelt en tevens onder een ‘commerciële’ licentie. Anders gezegd, het bedrijf wisselt niet alleen van open-sourcelicentie, maar voert daarnaast een duaal licentiebelid in. Inmiddels vallen verschillende of mogelijk zelfs identieke versies van de programmatuur onder het regiem van verschillende licentievoorwaarden. Zo is Ingres welke voorafgaand aan de bekendmaking van juni 2004 tegen betaling aan de klant werd geleverd, juridisch genormeerd door de traditionele CA-voorwaarden met een escrow-voorziening. Vervolgens kwam Ingres in het najaar van 2004 roalty-free ter beschikking op basis van de CA-TOSL 1.1, zoals gezegd, zonder garantie en met uitsluiting van alle aansprakelijkheid. Verwarring Nu wordt het product weliswaar nog steeds gratis aangeboden, maar onder de GPL, de meest rigide en fundamentele free-softwarelicentie, die een virale werking kent. Dat betekent dat bij ‘copy paste’ en statisch en dynamisch linken van GPL-code met niet GPL-code, de totale software onder de werking van GPL valt. Tegelijkertijd kiest Ingres Corp. voor een nieuwe ‘gesloten’ broncodelicentie, tegen betaling en met waarborgen en zekerheid. Verwarrend? Zeker. Veranderen van licentiebeleid is sowieso geen sinecure en dat geldt in het bijzonder voor het introduceren van twee licenties voor een en hetzelfde softwarepakket. Open source software is uit de beslotenheid van hackers getreden en in de handen van het commerciële bedrijfsleven gekomen. Venture capitalists zien open source software, na het dotcom-tijdperk, als de ‘next big thing’. Start-ups in dit segment verwachten niet naar de beurs te gaan, maar bij overname te cashen. Cisco, IBM, Oracle en anderen kopen inderdaad open source-bedrijven, maar bijvoorkeur degenen die 100 procent eigenaar van hun softwarecode zijn. De reden voor dit soort overnames is vaak tweeërlei: verwerving van technologie en installed base. Vraagtekens over de duurzaamheid van een open source community en het bijbehorende ecosysteem (ICT-bedrijven er om heen) veroorzaken onzekerheid bij vendors en gebruikersorganisaties ten aanzien van de continuïteit van de programmatuur. Onkunde over en complexiteit van open source-licenties sluimeren als het zwaard van Damocles boven de rechtspositie alle betrokkenen. Technologie-multinationals, zoals Cisco, Microsoft, Motorola en Philips, hebben aan ‘inkoopzijde’ (inbound licensing en merger & aquisition) open source software inmiddels juridisch goed geregeld. Anderen hebben terzake doorgaans geen beleid ontwikkeld. Juristen sluiten de rijen niet voor wat betreft de interpretatie van open source-licenties: wat mag wel en wat niet? Complexiteit van licenties en onderlinge compatibiliteitsvraagstukken zorgen voor onzekerheid. Dual licensing (doorgaans: het onder twee licenties uitbrengen van een softwarepakket, te weten een open source en een commerciële licentie) neemt toe omdat vendors hiermee (meer) geld kunnen verdienen, terwijl zij tegelijkertijd van een ‘open image’ profiteren. Last but not least, open ICT-standaarden blijven in het perspectief van open source software nog altijd onderbelicht, terwijl er merkwaardig genoeg wel brede consensus over het belang ervan bestaat.