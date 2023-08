Der Softwarehersteller HashiCorp hat angekündigt, statt wie bisher die Mozilla Public License 2.0 (MPL 2.0) nun die Business Source License (BSL) 1.1 für alle künftigen Releases seiner Produkte einzusetzen. Zu diesen zählen die Infrastructure-as-Code-Plattform Terraform und das Service-Mesh Consul. Nicht betroffen sind HashiCorp-APIs, -SDKs und "fast alle anderen Libraries", schreibt das Unternehmen. Die BSL 1.1 erfüllt nicht die Kriterien der Open Source Initiative (OSI) und bietet Unternehmen Kontrolle darüber, wie sich ihr Quellcode kommerzialisiert umsetzen lässt. Somit verabschiedet sich HashiCorp vom klassischen Open-Source-Ansatz, den es seit seinem Entstehen vor über zehn Jahren verfolgt hat.

Die Business Source License wurde von den Gründern von MySQL und MariaDB entwickelt und kommt seit 2013 bei dem Datenbankmanagementsystem MariaDB zum Einsatz. Seit 2017 steht die Lizenz in Version 1.1 bereit. Im Laufe der vergangenen Jahre sind weitere Unternehmen auf die BSL 1.1 umgestiegen – darunter Cockroach Labs im Jahr 2019 und Couchbase im Jahr 2021, die ebenfalls Datenbankmanagementsysteme anbieten.

Lizenzänderung zielt auf Konkurrenzprodukte ab

Die BSL 1.1 gilt nun für die Produkte HashiCorp Terraform, Packer, Vault, Boundary, Consul, Nomad, Waypoint und Vagrant. Wie HashiCorp ausführt, erlaubt die BSL 1.1 als sogenannte Source-Available-Lizenz das Kopieren, Modifizieren, Redistribuieren und nichtkommerzielle Verwendung sowie kommerzielle Verwendung seines Sourcecodes unter spezifischen Bedingungen.

Endnutzer können die genannten Aktionen weiterhin durchführen, abgesehen von kommerzieller Verwendung in Konkurrenzprodukten zu HashiCorp. Partner können weiterhin Integrationen für gemeinsame Kunden entwickeln, und für Kunden von Enterprise- und Cloud-verwalteten HashiCorp-Produkten soll sich ebenfalls nichts ändern.

Anbieter, die Konkurrenzprodukte auf Basis von HashiCorps Community-Produkten erstellen, werden dagegen weder deren künftige Releases noch Bugfixes oder Security-Patches integrieren können.

Open-Source-Sicherheitspatches bis Ende des Jahres

Um weitere Fragen zum neuen Lizenzmodell zu beantworten, stellt HashiCorp eine FAQ-Webseite bereit. Dort ist unter anderem definiert, was ein Konkurrenzprodukt ausmacht. Auch bekundet das Unternehmen, dass es weiterhin an die Open-Source-Philosophie glaube and Maintainer einer großen Anzahl von Open-Source-Produkten sei, während die Lizenzänderung die Kernprodukte betreffe.

Der bis zur Lizenzänderung erstellte Sourcecode soll weiterhin unter MPL-2.0-Lizenz stehen. Die aktuellen Versionen seiner Produkte wird HashiCorp bis zum 31. Dezember 2023 unter Open-Source-Lizenz mit kritischen Sicherheitspatches versorgen. Das betrifft Terraform 1.5.5, Packer 1.9.2, Vault 1.14.1, Boundary 0.13.1, Consul 1.16.1, Nomad 1.6.1, Waypoint 0.11.4 sowie Vagrant 2.3.7, das unter MIT-Lizenz steht. Nach diesem Datum werden Patches unter der BSL 1.1 stehen.

Im Blogeintrag zur Ankündigung finden sich weitere Informationen zur neuen Lizenz und zu den Beweggründen.

Reaktionen zur Lizenzänderung

Der Wechsel des Lizenzmodells durch HashiCorp hat bereits einige Reaktionen hervorgerufen. So bekundete Pulumi, Anbieter der gleichnamigen Managed-Service-IaC-Plattform, seinen Rückhalt für die Open-Source-Community: Pulumi sei echtes Open Source unter der Apache-2.0-Lizenz und werde nie von BSL-lizenzierter Software von HashiCorp oder anderen Anbietern abhängen.

Upbound als Maintainer des Open-Source-Projekts Crossplane hat sich ebenfalls zu Wort gemeldet: Das Unternehmen verwaltet den Terraform-Einsatz in Crossplane und gibt an, dass sich dabei nach aktuellem Stand nichts ändern werde.

