Autor:in:
Caren Kresse | Open Source Automation Development Lab (OSADL) eG | Germany
Sprache:
deutsch
Zielgruppe:
Der Vortrag richtet sich an alle, die Container-Software im oder als Produkt einsetzen, unabhängig davon, ob sie sich bereits mit Open Source-Compliance auseinandergesetzt haben oder nicht.
Voraussetzungen:
keine
Überblick und Zusammenfassungen:
Der Einsatz von Container-Virtualisierung ist inzwischen auch in der Industrie weit verbreitet. Einer der Gründe dafür ist die Möglichkeit, eine Anwendung mit allen Abhängigkeiten in einem Container isoliert auszuliefern und ablaufen zu lassen. Damit werden Probleme wegen Inkompatibilität von ausgelieferten Softwarekomponenten mit bestehenden auf dem Zielsystem vermieden. Während dies aus technischer Sicht das Leben sicherlich leichter macht, wird es aus rechtlicher Sicht leider komplizierter. Denn obwohl eine große Mehrzahl an Containern Free and Open Source-Software (FOSS) enthält, werden deren rechtliche Anforderungen von der Container-Technologie nicht speziell berücksichtigt. Aber auch hier müssen wie gewohnt die FOSS-Lizenzpflichten aller enthaltener Komponenten erfüllt werden, wenn Software kopiert und weitergegeben wird. Dies wird hauptsächlich durch zwei Faktoren erschwert:
1. Container Images bestehen aus sogenannten „Layers“, die aufeinander aufbauen. Jede Layer verändert den Container, indem sie Software hinzufügt, entfernt oder verändert. Wenn der Container läuft, tritt nur das Abbild aus Sicht der obersten Layer in Erscheinung, aber es müssen auch die Lizenzen der unteren Layers beachtet werden.
2. Container Images werden üblicherweise aus Softwarekomponenten verschiedener öffentlicher oder privater Repositories erstellt. Trotzdem liegt die Pflicht, Lizenzbedingungen zu erfüllen weitgehend beim Lieferanten und nicht beim Betreiber des Repositories. Leider enthalten die meisten öffentlichen Container Repositories aber kein ausreichendes Compliance-Material.
Angesichts der geschilderten Situation untersucht dieser Beitrag die folgenden Fragen beim Einsatz von Container-Software:
- In vielen Fällen wird beim Vertrieb von Containern nicht die Software selbst weitergegeben sondern ein sogenanntes Dockerfile. Dieses enthält Instruktionen, die angeben, welche Softwarekomponenten zur Erstellung des Container Image von welchen Repositories heruntergeladen werden. Müssen bei der Auslieferung von Dockerfiles die Lizenzpflichten der damit beim Empfänger heruntergeladenen FOSS beachtet werden, und wenn ja, von wem?
- Viele Container basieren auf einem sogenannten „Base Image“, das wesentliche Systemkomponenten wie zum Beispiel ein Package Management System, eine C-Library und eine Shell zur Verfügung stellt. Müssen Lizenzpflichten auch für Docker Base Images erfüllt werden oder gelten diese als Systemvoraussetzung? Gibt es eine Möglichkeit, das Open Source-Prinzip, Entwicklung von nicht-differenzierbaren Technologien und Dienstleistungen zu teilen, auf Lizenzpflichten von Container Base Images anzuwenden?
Art der Vermittlung:
Präsentation, Projektbeispiel
Nutzen:
Teilnehmer erfahren, welche lizenzrechtlichen Aspekte beim Einsatz von Container-Software beachtet werden müssen. Außerdem wird ein Open Source-Projekt vorgestellt, welches praktische Unterstützung bei der Erfüllung von Lizenzpflichten für Docker Container bietet.