Licenser för öppen källkod

Björn Robért

Hej!

Jag är ny i det här forumet och arbetar som IT-arkitekt i Malmö stad till vardags. Just nu har vi en fråga kring licenser för öppen källkod, och jag undrar om någon har en bra överblick över vilka som är de vanligaste licenserna för öppen källkod som "produceras" av offentlig sektor (och, om man vet, varför just den licensformen användes)? Jag har inte sett någon rekommendation hos Digg för just källkod.

Alla tips på vad som har använts, någon som har varit genom frågan osv tas tacksamt emot!

Maria_Dalhage

@Björn-Robért Toppen att du frågar. DIGG har ett pågående arbete med just open source-licenser och den 13 september kommer vi ha en NOSAD workshop som handlar om detta:

Licensval för öppen programvara av offentlig sektor
Under detta digitala möte diskuteras licensiering av offentlig sektors öppna programvara.
Detta är en strategiskt viktig fråga som sträcker sig bortom juridiken och som främst kopplar till vilka effekter man vill uppnå, ex. genom hur samverkan och spridning av den öppna programvaran främjas och möjliggörs.
Vilka licenser är då lämpliga för offentlig sektor, och finns det licenser som är direkt olämpliga? Hur och när? I en paneldiskussion kommer vi bl.a. att diskutera:

• Vilka olika vägval och scenarion som finns?
• Vinsten med rekommenderade öppna programvarulicenser?
• Hur tänker privata aktörer kring licensval?

Det går att anmäla sig via följande länk men texten på GOTO10 är inte uppdataterad ännu. Notera att tiden är kl 10-11 med just nu planerade 30 minuters efterdiskussion. (Dessa sista 30 min spelas inte in) https://www.goto10.se/event/nosad-2/

För att snabbt svara på din fråga och också för att skapa möjlighet för andra åsikter att komma fram kommer här lite resonemang som vi fört i olika grupperingar:

1. I de fall då en myndighet eller en organisation bidrar till eller använder sig av ett befintligt projekt ska myndigheten/organisationen acceptera redan beslutade licensval. Vi förutsätter att man redan licensierat med en licens som finns på opensource.org.

2. Programvara som kan anses utgöra en del av en större sammanhängande plattform samt infrastruktur, ska i första hand publiceras under licensen GPL-3.0 (alternativt AGPL-3.0 ) som stimulerar att vidareutveckling och vidaredistribution av myndigheters investeringar i öppen programvara förblir öppen programvara.

3. För alternativ där myndighet/organisation vill tillåta att myndighetens/organisationens investeringar i öppen programvara kan vidareutvecklas och vidaredistribueras som såväl öppen som sluten programvara rekommenderas en tillåtande licens såsom MIT och Apache Licence 2.0 .

Ytterligare två tips:

1. Tänk patent: MIT-licensen har ingen explicit skrivning om patent. Det har däremot Appache 2.0.

2. Välj nyare licenser före äldre.

Nina_Berlin

@Björn-Robért Välkommen hit!
Vi har planer på att komplettera dataportalen med rekommendationer för öppen källkod. Vi har arbetat under året med att uppdatera DIGG:s policy för öppen källkod och att ta fram riktlinjer för hur vi jobbar med öppen källkod. @Maria_Dalhage har drivit det arbetet. Fler har varit involverade, även infosäk, juridik, forskare och experter inom öppen källkod från andra organisationer.

Björn Robért

@Maria_Dalhage Det är ju toppen! Tack för informationen. Jag anmäler mig till paneldiskussionen.

Jag har varit inne på samma principer som du skriver under dina punkter, och jag tror att för vår del kommer frågan om att "tvinga" öppenhet att variera från fall till fall. Kommer in att resonera något kring huruvida offentliga aktörer KAN tvinga öppenhet eller tillåta att offentligt skapade verk stängs ned (genom t ex en MIT-licens)?

Maria_Dalhage

@Björn-Robért Ja, den centrala frågan är hur vi inom offentlig sektor värderar skattefinansierat resultat; Vill vi säkerställa att det som skattebetalarna finansierat ska förbli öppet i flera utvecklingsled eller resonerar vi som så att det viktigaste är att sprida resultatet.

Ett vanligt argument som jag stött på för att motivera tillåtande licenser (MIT, Appache 2.0 som exempel) är att om man licensierar med copy-left så skrämmer man bort privat sektor.

Jag undrar om det verkligen stämmer. Hoppas att flera aktörer från privata näringslivet dyker upp den 13:e september, och ger klarhet i denna fråga.

Ainali

Det kan ju vara värt att nämna en relativt ny licens som specifikt tagits fram med användning av offentlig sektor i åtanke, European Public License (EUPL). En av fördelarna med den, förutom att den förordas av EU och ska vara kompatibel med alla medlemsstaters lagstiftning, är att den finns (i juridiskt bindande version) på svenska.

Stefan Wallin

@Maria_Dalhage Jag tycker att skrivningen du hade om ihophängande plattform är bra, men jag vill tillägga att all kod som är att betrakta som bibliotekskod som genomför grundläggande datariktigthetsvalidering eller löser komplexa problem. Alltså kod som skulle kunna och kanske borde publiceras som fristående bibliotek använder en licens som tillåter vidareanvändning även i stängda plattformar som ex.vis MIT-licensen.

En rekommendation skulle kunna vara att dubbellicensiera sammanhängande applikationer så att all kod i lib-kataloger licensieras med ex.vis MIT medans övriga delar av plattformen licensieras med ex.vis AGPL/EUPL.

För att exemplifiera så kan man ta ett bibliotek som validerar personnummer, bankgiro, konverterar SWEREF eller liknande logik bör licensieras som (ex.vis) MIT just för att inte hämma innovation eller tvinga till att uppfinna hjulet på nytt. Dessa saker är ju dessutom algoritmer som borde vara oönskat att licensiera stängt eftersom det är en algoritm som ska delas mellan en mängd aktörer för att vara nyttosam.

Maria_Dalhage

@Stefan-Wallin Bra kommentar om att det faktisk går att dubbellicensiera.

Men jag undrar över påståendet att använda tillåtande licenser för att inte hämma innovation, eller tvinga till att uppfinna hjulet på nytt. Tanken med copy-left är ju att säkerställa att programvaran fortsatt kommer hållas öppen just för att maximera möjlighet till vidareutveckling. Särskilt algoritmer borde väl vara copy-left med skälet att undvika inlåsningar och säkerställa att e kan delas? Du representerar ju privat sektor och utvecklingsföretag. Ser du hinder i att medverka till projekt som har copyleft-licenser? Finns det någon av dessa som du upplever "skonsammare"?

jonass

@Stefan-Wallin Arbetsförmedlingens öppna projekt (https://gitlab.com/arbetsformedlingen/) använder mestadels Apache 2.0. Vi har resonerat utifrån att den licensen verkligen underlättar att källkoden kommer i användning. En uppenbar risk är såklart att det inte går att garantera fortsatt öppenhet. Finns även de som tycker LGPL är bra för bibliotek.

Stefan Wallin

@Maria_Dalhage sa i Licenser för öppen källkod:

jag undrar över påståendet att använda tillåtande licenser för att inte hämma innovation, eller tvinga till att uppfinna hjulet på nytt. Tanken med copy-left är ju att säkerställa att programvaran fortsatt kommer hållas öppen just för att maximera möjlighet till vidareutveckling. Särskilt algoritmer borde väl vara copy-left med skälet att undvika inlåsningar och säkerställa att e kan delas? Du representerar ju privat sektor och utvecklingsföretag.

Jag är ingen jurst, men som jag förstår det så är det problematiskt för privat sektor i de fall det skapas företag med affärsmodeller som bygger på att källkoden för det privata företagets system fortsätter vara icke-öppen.

Låt säga att off. sektor skapar en specifikation för data som ska utbytas mellan system och även gör en referensimplementation. T.ex. en specifikation och implementation för budget-utbyte, reskontra, eller SWEREF->WGS84. Om implementationen är licensierad med GPL är det då bara fullständigt öppna system(som jag förstår det) som kan använda själva implementationen. Vill man följa samma standard så måste man då skriva en annan implementation istället för att om den var MIT(ex.vis)-licensierad så hade företaget kunna plocka in implementationen i sin helhet och potentiellt sparat mycket utvecklingstid.

@Maria_Dalhage sa i Licenser för öppen källkod:

Ser du hinder i att medverka till projekt som har copyleft-licenser? Finns det någon av dessa som du upplever "skonsammare"?

Att medverka i projekten av egen god vilja ser jag inga problem med.

Josef_Andersson

@Ainali Instämmer med att EUPL löser en del ständigt återkommande frågor, som du nämner (Europeisk lagstiftning, finns officiellt på svenska och flera andra språk, explicit lista med kompatibilitet), till skillnad mot AGPL kompatibel med GPLv3 osv. Man har också varit tydlig med vad som gäller vid länkning vid "derivat" (där om man använder t.ex. GPL så kan det var lite luddigare). EUPL gör det och annat väldigt klart. Dess största nackdel är väl? helt enkelt att de inte är lika känd och inarbetad som de övriga. Annars har den väldigt mycket fördelar IMHO. Känner du till några nackdelar kring den förutom det man borde känna till.

Josef_Andersson

@Stefan-Wallin sa i Licenser för öppen källkod:

Jag är ingen jurst, men som jag förstår det så är det problematiskt för privat sektor i de fall det skapas företag med affärsmodeller som bygger på att källkoden för det privata företagets system fortsätter vara icke-öppen.

Jag undrar ibland om inte copyleft från GPL fått lite oförtjänt dålig rykte när det gäller dess användning i privat sektor för kommersiella behov. Nog för att det finns en del att tänka på vid användning av copyleft i dessa sammanhang, och att den inte passar alla tänkta affärsmodeller som du nämner, men att det också finns väldigt lyckade exempel där företag bygger kring denna modell. Tipsar om den här presentationen "Why GPL is great for Business" https://archive.fosdem.org/2020/schedule/event/gpl_and_business/ för en intressant vinkel där man tar upp flera exempel ur startup-perspektiv.

Peter_Bengtsson

@Stefan-Wallin

Kodbibliotek kan med fördel licensieras under LGPL eller motsvarande licens istället för MIT/Apache. Detta ger fördelarna med en GPL/AGPL/EUPL licens men ger ändå möjligheten att använda dem i proprietär programvara.

MIT/Apache ser jag snarare som primärt lämpligt för saker som:

• Exempelkod (vilken kan inkorporeras i andra kodbaser)
• Mallar
• Övriga fall där kod är avsedd att direkt införlivas (e.g. inline-funktioner i C/C++)

Det finns sannolikt fler fall om man letar lite.

De långsiktiga vinsterna för myndigheter ligger sannolikt med copyleft-licenserna - EUPL, AGPL m.fl. Dessa ger som Maria skriver en garanti för att utvecklingen förblir tillgänglig och därmed att maximal nytta potentiellt kan uppnås.

Maximal nytta i det här fallet handlar såklart inte bara om vidareutvecklingen i sig, utan även tillgänglighet - exempelvis om en annan myndighet (eller företag) har ett liknande behov.

Så ur ett brett perspektiv skulle jag föreslå

• EUPL/AGPL i första hand
• LGPL för bibliotek (alt. EUPL här också)
• MIT/Apache 2.0 om det finns en anledning

Maria_Dalhage

@Peter_Bengtsson Gillar ditt resonemang. Mitt intryck är av offentlig sektor inte använder LGPL i särskilt stor omfattning. Vilka är utmaningarna med LGPL?

Stefan Wallin

@Maria_Dalhage @Peter_Bengtsson & @Josef_Andersson :

Här är en bra genomgång av licenserna.
https://github.com/readme/guides/open-source-licensing

Det jag pratar om är den egenskapen som kallas ”viral” i genomgången ovan. Alltså att den smittar ned hela systemet att också måste använda en viral licens. Vill man vara näringslivsvänlig så har jag förstått att man bör undvika den typen av licenser.

Peter_Bengtsson

@Maria_Dalhage

Utmaningen med LGPL är väl snarast att den är mindre vanlig - oftast väljs GPL/AGPL istället och därför är LGPL mindre känd. Syftet är däremot relativt enkelt, nämligen att tillåta användning av ett bibliotek i proprietära system utan att ställa krav mer än på bibliotekets kodbas och distribution.

@Stefan-Wallin

Sedan är det till stor del en fråga om vad man vill signalera - licenser är inte "virala" i EU enligt flera analyser.

• https://joinup.ec.europa.eu/collection/eupl/news/why-viral-licensing-ghost
• https://joinup.ec.europa.eu/collection/eupl/news/why-eupl-not-viral-l

Detta är rätt gamla texter, men verkar fortfarande relevanta. Nu verkar det visserligen finnas fall där GPL har upprätthållits, men det påverkar sannolikt inte användningen av EUPL eller LGPL som båda uttrycker att proprietära system får använda mjukvaran utan vidare licenskrav.

Jag kan också konstatera att näringslivet i stort redan idag använder mycket programvara licensierad under s.k. starka copyleft licenser. Så jag ser inte det som ett stort problem i dagsläget.

Stefan Wallin

@Peter_Bengtsson sa i Licenser för öppen källkod:

...
@Stefan-Wallin

Sedan är det till stor del en fråga om vad man vill signalera - licenser är inte "virala" i EU enligt flera analyser.

• https://joinup.ec.europa.eu/collection/eupl/news/why-viral-licensing-ghost
• https://joinup.ec.europa.eu/collection/eupl/news/why-eupl-not-viral-l

Detta är rätt gamla texter, men verkar fortfarande relevanta. Nu verkar det visserligen finnas fall där GPL har upprätthållits, men det påverkar sannolikt inte användningen av EUPL eller LGPL som båda uttrycker att proprietära system får använda mjukvaran utan vidare licenskrav.
...

Tack för bra länkar och information. En lär sig så länge en lever! Jag har härmed ingen stark åsikt i frågan om licenser!

Nizo_Priskorn

@Stefan-Wallin Jag gillar idén med dubbellicensiering Det är inte effektivt eller roligt att behöva uppfinna hjulet igen och igen i en digitaliserad ekonomi. Välskrivna små byggstenar/bibliotek underlättar enormt.

Nizo_Priskorn

@Peter_Bengtsson sa i Licenser för öppen källkod:
...

• https://joinup.ec.europa.eu/collection/eupl/news/why-viral-licensing-ghost
• https://joinup.ec.europa.eu/collection/eupl/news/why-eupl-not-viral-l

Detta är rätt gamla texter, men verkar fortfarande relevanta. Nu verkar det visserligen finnas fall där GPL har upprätthållits, men det påverkar sannolikt inte användningen av EUPL eller LGPL som båda uttrycker att proprietära system får använda mjukvaran utan vidare licenskrav.

Jag kan också konstatera att näringslivet i stort redan idag använder mycket programvara licensierad under s.k. starka copyleft licenser. Så jag ser inte det som ett stort problem i dagsläget.

"As a conclusion, it looks that in most cases, linking two programs or linking an existing software with your own work does not – at least in Europe – produce a derivative or extends the coverage of the linked software license to your own work."

Rädslen för GPL ska "smitta" genom att man linkar program med den är alltså inom EU helt inbillad.

Stefan Wallin

@Dennis_Priskorn sa i Licenser för öppen källkod:

Rädslan för GPL ska "smitta" genom att man linkar program med den är alltså inom EU helt inbillad.

Ja precis, det verkar så. Men nu när jag reflekterat en bit så undrar hur det ser ut utanför EU. I det fall man vill bygga ett multinationellt bolag kanske ändå "virala" licenser spelar roll. Även om bolaget en bygger till en början inte är multinationellt så kanske en har aspirationer till att bli det.

Jag tror att om önskan är att sprida och göra nytta till så stor andel som möjligt så kanske dubbellicensiering ändå kan vara en klok idé, kanske just för att alla inte läst det juridiska utlåtandet (jag uppfattar ändå en utbredd åsikt som liknar min egna högre upp i tråden). Där kommer nog många inte ta på sig uppgiften att läsa på utan bara saka de man tror är virala. Ofta i privata bolag tas just dessa beslut av enskilda utvecklare eller utvecklare i grupp, helt utan juridisk kompetens.

Med det sagt skulle det vara intressant att se en juridisk genomlysning säga att "det spelar roll" eller "det spelar ingen roll" om man har internationella ambitioner.