Брюс Перенс покинул организацию OSI из-за разногласий, касающихся лицензии CAL

4 января 2020 года

Брюс Перенс (Bruce Perens) объявил о выходе из организации Open Source Initiative (OSI), занимающейся проверкой лицензий на предмет соответствия критериям Open Source. Брюс является соучредителем OSI, одним из авторов определения Open Source, создателем пакета BusyBox и вторым лидером проекта Debian (в 1996 году сменил на посту Яна Мердока). В качестве причины ухода называется нежелание иметь отношение к готовящемуся в OSI решению по включению CAL (Cryptographic Autonomy License) в число открытых лицензий.

Лицензия CAL относится к категории копилефт-лицензий и разработана по заказу проекта Holochain специально для дополнительной защиты пользовательских данных в распределённых P2P-приложениях. Holochain развивает базирующуюся на цепочке хэшей (hashchain) платформу для создания криптографически верифицированных распределённых приложений.

Лицензия CAL позволяет использовать Holochain в форме бесплатного и открытого ПО, если выполняется несколько условий. Во-первых, исходных код Holochain и всех производных работ должен поставляться под теми же условиями, включая условия, связанные с обеспечением конфиденциальности криптографических ключей. Во-вторых, право на общедоступное исполнение (public performance) Holochain, включая использование API Holochain для запуска приложений, предоставляется только при сохранении конфиденциальности и автономности закрытых криптографических ключей каждого отдельного пользователя.

CAL концептуально не походит на другие лицензии - если сервис использует ПО под данной лицензией, она охватывает не только код, но и обрабатываемые данные. В соответствии с лицензией CAL, если конфиденциальность ключа пользователя нарушена (например, ключи сохраняются на централизованном сервере), то нарушается и право владения данными и теряется контроль над собственными копиями приложения. На практике, указанная особенность лицензии допускает манипуляции с ключами только на стороне конечного пользователя, без их хранения на централизованных серверах.

Например, лицензия CAL не позволит компании создать на базе Holochain собственный корпоративный P2P-чат, в котором ключи сотрудников размещены на общем подконтрольном компании хранилище, не исключающем возможность чтения переписки. Таким образом Holochain пытается добиться того, чтобы любое приложение на базе Holochain заслуживало доверия и было автономным. Если приложение привлекает для работы с пользовательскими ключами централизованные системы, такое приложение лишается права работы с Holochain.

Брюс Перенс считает, что лицензия CAL не обеспечивает необходимой свободы и нацелена на защиту Holochain от злоупотреблений со стороны разработчиков, пытающихся в своих приложениях полностью контролировать данные пользователей. Требования к хранению ключей только на системах конечных пользователей в свете критериев Open Source могут восприниматься как ущемление прав отдельных групп и дискриминация по области применения.

Перенс пояснил, что важным свойством открытых лицензий является возможность применять их, не привлекая юристов. Пользователь может просто установить программу, поставляемую под утверждённой в OSI открытой лицензией, и если он не вносит изменения в код и не передаёт программу кому-то ещё, ему даже не нужно читать лицензию. В OSI одобрено более 100 открытых лицензий и все они соответствуют данной модели. Но лицензия CAL ломает эту модель - если кто-то работает с программой под лицензией CAL и у него есть пользователи, то на него налагается дополнительная ответственность за возвращение данных этим пользователям.

При помощи новой лицензии Holochain пытается контролировать сеть приложений и противостоять тому, что разработчики клиентов для распределённой платформы, могут привязать к себе пользователей, захватив их данные. Перенс признаёт благой цель обеспечения конфиденциальности данных пользователей, но считает недопустимым то, что для понимания лицензии и взаимодействия с пользователями потребуется консультация юриста. Перенс также обратил внимание на порочность разрастания числа лицензией, обилие которых затрудняет комбинирование приложений под разными лицензиями, и указал, что можно обойтись только тремя лицензиями - AGPLv3, LGPLv3 и Apache v2.

Лицензия CAL разработана известным юристом Ваном Линдбергом ( Van Lindberg), специализирующимся на вопросах, связанных с интеллектуальной собственностью и лицензиями в открытом ПО. По сведениям, которые удалось получить изданию The Register, Линдберг в частном порядке пролоббировал согласие директоров OSI признать открытой лицензию CAL, в обход публичного процесса одобрения лицензии.

Линдберг ответил, что многие люди изначально сформировали предвзятое мнение о лицензии CAL и пытаются использовать любые поводы для противостояния. Слово лоббирование в данном контексте неуместно, так как рецензирование лицензии и её обсуждение велось на публичных форумах, а частном порядке обсуждались лишь процедурные вопросы.

Памела Честек (Pamela Chestek), возглавляющая комитет по рецензированию лицензий, указала, что ничего странного в приватной переписке нет, так как обычно управляющий совет OSI консультируется со сторонами до рецензирования лицензии. В том числе у неё был телефонный разговор с Линдбергом, в котором она попыталась пояснить в чём именно проблемы с предложенной лицензией. Возможно это общение было неправильно понято. Что касается лицензии CAL, то дискуссия в её отношении ещё не завершена и окончательное мнение пока не сформировано.