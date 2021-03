Mitte dieser Woche hatte Bastien Nocera, der Maintainer einer quelloffenen Software-Library namens shared-mime-info den Maintainer der Ruby-Library mimemagic darüber in Kenntnis gesetzt, dass mimemagic die falsche Lizenz verwendet. Noceras Library ist unter der Lizenz GPLv2 eingetragen, und Projekte, auf ihr aufsetzen, müssten dieselbe Lizenz nutzen. Die Ruby-Library war jedoch mit der MIT-Lizenz eingetragen. Die Entdeckung wäre vielleicht eine Randnotiz gewesen, doch das Lizenzproblem hat eine Kettenreaktion ausgelöst, die mittlerweile rund 500.000 Open-Source-Projekte betrifft.

Dominoeffekt durch Lizenzänderung

Daniel Mendler, der Maintainer der betroffenen Ruby-Library, änderte umgehend bei der aktuellsten Version 0.4.0 und bei Version 0.3.6 die Lizenz von MIT zur korrekten Lizenz GPLv2. Ältere Versionen zog er bei der von Ruby-Entwicklern verwendeten Paket-Registry RubyGems.org aus dem Verkehr. Das GitHub-Repository von mimemagic versetzte Mendler in den Archivzustand, was faktisch bedeuten würde, dass die aktive Weiterentwicklung eingestellt ist.

Eine halbe Million GitHub-Repositories potentiell betroffen

Das unter Ruby-Entwicklern weit verbreitete Framework Ruby on Rails fußt auf mimemagic 0.3.5. Durch den Ausfall dieser Library-Version erlitt das Framework eine Disruption seiner Abhängigkeitsketten, über 170 andere Pakete sollen ebenfalls davon betroffen sein. Dem IT-Portal The Register zufolge sollen rund 580.000 GitHub-Repositories ausgehend von Ruby on Rails ihre Software mit der nun obsolet gewordenen Lizenzierung versehen haben.

Betroffene Projekte begannen zu prüfen, ob die Verwendung von GPLv2-lizenziertem Code in ihren Programmen infrage kommt oder ob sie zu den beiden weiterhin legal verfügbaren mimemagic -Versionen 0.3.6 beziehungsweise 0.4.0 wechseln können. Parallel arbeitet das Rails-Team an Möglichkeiten, die entfallene Library durch eine Alternative zu ersetzen. Die betroffenen Projekte hängen unterdessen jedoch in der Luft.

Unübersichtliche Lage bei mimemagic

Am gestrigen Donnerstag ist eine Version 0.4.1 von mimemagic erschienen, die den von dem GPL-Problem betroffenen Code entfernt hat und erneut unter der MIT-Lizenz läuft. Versionen 0.3.6 und 4.0 hat der Maintainer nun zurückgezogen. Für viele Entwicklerinnen und Entwickler sowie Projekt-Maintainer ist die Lage also weiterhin unübersichtlich, und das Problem der Abhängigkeit von einer nicht länger verfügbaren Library bleibt für zahlreiche Projekte zunächst bestehen.

Der aktuelle Stand der Entwicklung beim Rails-Projekt lassen sich dem Issue-Bereich des Rails-Repositorys bei GitHub entnehmen (Issue #41757). Interessierte können weitere Hinweise einem Interview mit einem Experten für Open-Source-Lizenzierung entnehmen, das The Register geführt hat.

