Software Package Data Exchange (SPDX)

Wie SPDX bei der Compliance-Prüfung von OSS-Lizenzen hilft

Stefan Haßdenteufel ist Rechtsanwalt und Partner der unter anderem auf IT-Recht und Datenschutz spezialisierten Kanzlei Witzel Erb Backu & Partner Rechtsanwälte in München. Er berät national wie international tätige Unternehmen, darunter auch Start-Ups, in allen Belangen des IT-Rechts. Dabei stehen vor allem die Themen IT-Compliance und IT-Sicherheit regelmäßig im Fokus. Neben seinen juristischen Fachkenntnissen verfügt der Autor über umfassendes technisches Spezialwissen im IT-Bereich und ist als IT-Berater tätig.
Am Anfang jeder Compliance-Maßnahme steht die Identifizierung der Problempunkte.
Am Anfang jeder Compliance-Maßnahme steht die Identifizierung der Problempunkte.
Foto: EtiAmmos - shutterstock.com

Dateiformat SPDX zur Dokumentation von Software-Lizenzen

Neben den OSS-Scannern haben sich in letzter Zeit auch technische Dateiformate weiter herausgebildet, mit deren Hilfe ein einfacheres Handling der OSS-Lizenzinformationen ermöglicht werden soll. Ein oft genanntes Beispiel ist das Format des "Software Package Data Exchange" (SPDX), das von der Linux Foundation vorgestellt wurde und mittlerweile in der Version 2.1 vorliegt (abrufbar über https://spdx.org/). Es handelt sich um die Spezifikation eines Dateiformats für die Dokumentation von Lizenzinformationen unter der freien "Creative Commons Attribution 3.0 Unported"-Lizenz, mit der der Urheber einer OSS-Komponente die dazugehörigen relevanten lizenzrechtlichen Informationen (Komponentenname, Komponentenversionsnummer, Lizenztext, Lizenzlink, Copyright-Vermerke) bekanntgeben kann.

Diese Informationen – das heißt deren klare Identifikation und Zuordnung (siehe oben, Stufe 1 und 2) – sind unerlässlich, um eine urheberrechtlich einwandfreie Verwendung von OSS-Komponenten zu ermöglichen.

Mithilfe des SPDX-Formats kann eine gebündelte Wiedergabe der erforderlichen lizenzrechtlichen Informationen erfolgen, die bei Verbreitung von OSS regelmäßig relevant sind. Eine Vielzahl von Lizenztypen ist standardmäßig innerhalb der SPDX-Systems vordefiniert, weitere sind manuell ergänzbar. Auch Dual- und Multi-Licensing ist abbildbar.

Besonders nützlich sind Zusatzfunktionalitäten wie etwa ein summarischer Kontrollabgleich, ob die gespeicherten SPDX-Informationen tatsächlich zu der betrachtete Softwarekomponente gehören (Feld "package checksum"). Zudem kann zwischen der vom Urheber deklarierten Lizenz ("declared license") und der vom Ersteller der SPDX-Datei festgestellten Lizenz ("concluded license") differenziert werden. Das SPDX-System kann in der Gesamtschau auch auf erste lizenzrechtliche Probleme oder Unwägbarkeiten aufmerksam machen. Eine weitergehende, oft manuelle Überprüfung wird jedoch in der Regel unerlässlich sein, um die mittels SPDX gefundenen (und gegebenenfalls auch nicht gefundenen) lizenzrechtlichen Probleme zu verifizieren beziehungsweise auszuschließen und gegebenenfalls Lösungen hierfür zu finden.

Korrektheit und Authentizität von OSS-Lizenzinformationen nachprüfen

Inwieweit die (zum Beispiel im SPDX-Format) bereitgestellten Lizenzinformationen zu OSS-Komponenten tatsächlich als verlässlich, authentisch und vollumfänglich korrekt eingestuft werden können, ist eine Frage, die mit der Integrität des Ausstellers der spezifischen SPDX-Datei zusammenhängt. Die in der SPDX-Datei gemachten Angaben können sich als falsch, fehlerhaft oder unvollständig erweisen.

Zur Startseite