Апелляционный суд подтвердил правоту Брюса Перенса в разбирательстве с Grsecurity

7 февраля 2020 года

Апелляционный суд штата Калифорния вынес решение в разбирательстве между компанией Open Source Security Inc. (развивает проект Grsecurity) и Брюсом Перенсом (Bruce Perens). Суд отклонил апелляцию и подтвердил вердикт суда низшей инстанции, в котором были отклонены все претензии к Брюсу Перенсу, а компании Open Source Security Inc предписано возмещение судебных издержек, составивших 259 тысяч долларов (Перенс привлёк для своей защиты известных юристов и фонд EFF). При этом у компании Open Source Security Inc остаётся 14 дней на подачу ходатайства о проведении повторных слушаний с участием расширенной судебной коллегии, а также имеется возможность эскалации разбирательства с привлечением суда более высокой инстанции.

Напомним, что в 2017 году Брюс Перенс (один из авторов определения Open Source, соучредитель организации OSI (Open Source Initiative), создатель пакета BusyBox и один из первых лидеров проекта Debian) опубликовал в своём блоге заметку (Архивная копия от 12 сентября 2017 на Wayback Machine), в которой раскритиковал ограничение доступа к наработкам Grsecurity и предостерёг от покупки платной версии из-за возможного нарушения лицензии GPLv2. Разработчик Grsecurity не согласился с подобной трактовкой и подал в суд на Брюса Перенса, обвинив его в публикации ложных заявлений под видом фактов и злоупотреблении своим положением в сообществе для умышленного нанесения вреда бизнесу компании Open Source Security. Суд отклонил претензии, указав, что публикация в блоге Перенса носит характер личного мнения, основанного на известных фактах, и не направлена на нанесение предумышленного ущерба истцу.

При этом разбирательство не затрагивало непосредственно вопрос возможного нарушения GPL при применении ограничивающих условий при распространении патчей Grsecurity (расторжение договора в случае передачи патчей третьим лицам). Брюс Перенс считает, что нарушением GPL является сам факт создания дополнительных условий в договоре. В случае патчей Grsecurity, рассматривается не самодостаточный GPL-продукт, имущественные права на который находятся в одних руках, а производная от ядра Linux работа, которая также затрагивает и права разработчиков ядра. Патчи Grsecurity не могут существовать по отдельности без ядра и неразрывно с ним связаны, что соответствует критериям производного продукта. Подписание договора на предоставление доступа к патчам Grsecurity приводит к нарушению GPLv2, так как компания Open Source Security не имеет права распространять производный продукт от ядра Linux с дополнительными условиями без получения согласия от разработчиков ядра.

Позиция Grsecurity основана на том, что в договоре с клиентом определяются условия расторжения договора, в соответствии с которыми клиент может потерять доступ к будущим версиям патчей. Подчёркивается, что упомянутые условия касаются доступа к ещё не написанному коду, который возможно появится в будущем. Лицензия же GPLv2 определяет условия распространения существующего кода и не содержит явных ограничений, применимых для ещё не созданного кода. При этом клиенты Grsecurity не теряют возможности использования уже выпущенных и полученных ими патчей и могут распоряжаться ими в соответствии с условиями GPLv2.