MongoDB vs. Amazon Web Services: hoe bescherm je open source software tegen "cloud service providers"?

Aan het begin van dit jaar lanceerde AWS (Amazon Web Services) “DocumentDB”, een database die compatibel is met de open source MongoDB 3.6. API. Voor de leken onder ons die Amazon nog steeds alleen als een online-retailer kennen: wake up! In 2006 lanceerde Amazon “Amazon Web Services” en inmiddels is AWS uitgegroeid tot ‘s werelds grootste cloud services platform. De machtspositie die Amazon inneemt en de invloed die zij kan uitoefenen wordt ook steeds merkbaarder in de open source community. Wat is nou precies het ‘probleem’?

Neem eens een kijkje op de website van Amazon Web Services en focus je dan in het bijzonder even op de “Products” pagina. Veel van de producten die hier door AWS “as-a-service” worden aangeboden zijn in grote mate gebaseerd op open source projecten. Om het nog wat eenvoudiger te maken: je zou kunnen zeggen dat AWS open source projecten in een nieuw jasje steekt (met vaak net even wat extra’s) en deze dan tegen betaling, als dienst, aanbiedt aan haar klanten. In de open source community bestaat er steeds meer onvrede over deze gang van zaken. Het gevoel heerst dat Amazon de vruchten steelt van het harde werken van de open source gemeenschap, zonder in kosten bij te dragen of op een andere manier terug te geven aan de community. Zo is ook DocumentDB “geïnspireerd” door een open source project (de database van MongoDB). Alhoewel er geen MongoDB-code zou zijn gebruikt, is deze nieuwe database wel ontwikkeld met ingebouwde MongoDB-emulatie en compatibel met MongoDB 3.6 API. Door die MongoDB-emulatie kan DocumentDB zich, als het ware, voordoen als MongoDB doordat het de responses ‘nabootst’ die ook door een echte MongoDB database gegeven zouden worden. Een tegenslag voor MongoDB. Vlak na de mededeling van AWS waarin zij vertelde met de nieuwe database te komen, daalde de waarde van de aandelen van MongoDB aanzienlijk.

Auteursrecht op open source software

Gratis betekent niet dat er geen regels zijn.

Ook Open Source Software geniet auteursrechtelijke bescherming. Zoals we al in eerdere blogs uitlegden, worden ook computerprogramma’s als ‘werk’ onder de Auteurswet (Aw) beschermd. De maker van software (developer) heeft als auteursrechthebbende bepaalde rechten waarmee zijn positie als maker beschermd wordt. Zo biedt het auteursrecht de maker van een werk het alleenrecht om het openbaar te maken en / of te verveelvoudigen (exploitatierechten). Hiermee kan je als maker tegen derden optreden die zonder jouw toestemming gebruik maken van de door jou ontwikkelde software.

In een licentie kan je als auteursrechthebbende aan derden toestemming geven om jouw werk te mogen gebruiken. Ook bij open source software komen licenties om de hoek kijken. Voordat je besluit open source software te gebruiken, is het dus echt essentieel dat je even goed nagaat welke licentie op de software van toepassing is. Juist omdat de voorwaarden in open source licenties afwijken van die in ‘proprietary licenses’ kan je soms voor verrassingen komen te staan. Het is natuurlijk niet zonder reden dat sommige Open Source Licenties enigszins berucht zijn geworden door hun ‘copyleft-karakter’.

Als je niet precies weet wat open source software inhoudt, raden we je aan eerst deze blog nog eens goed door te lezen.

Nieuwe “open source” licentie: SSPL

De broncode van open source projecten is ‘vrij’ en ‘open’ en kan dan ook door iedereen worden ingezien, verbeterd of uitgebreid. Dat de code vaak gratis is, betekent niet dat er geen auteursrecht op rust. In de open source community wordt het auteursrecht alleen nu juist vaak gebruikt om de ‘openheid’ van de code te bewaken. Voorkomen moet worden dat commerciële partijen open source code misbruiken door deze -in een nieuw jasje- als gesloten code aan te bieden. Het lijkt er echter op dat de huidige open source-licenties niet genoeg in staat zijn om de open source community effectief te beschermen tegen grote partijen als AWS. Ook MongoDB is zich daarvan bewust. In een statement (waarin MongoDB de keuze voor de nieuwe licentie uitlegt) staat:

“The reality, however, is that once an open source project becomes interesting, is is too easy for large cloud vendors to capture all the value but contribute nothing back to the community. As an example, MongoDB has become one of the most popular databases in the industry. As a result, we have observed organisations, especially international cloud vendors, begin to test the boundaries of the AGPL license.”

Frappant detail met betrekking tot DocumentDB, is dan ook dat MongoDB aangaf - enkele maanden voordat AWS met de nieuwe database op de proppen kwam- haar toekomstige projecten onder een nieuwe licentie te zullen uitgeven: de SSPL-licentie.

In de licentie staat onder andere de expliciete voorwaarde dat:

“If you make the functionality of the Program, or a modified version available to third parties as a service, you must prominently make the Service Source Code available via network download to everyone at no charge, under the terms of this License.”

Aangezien DocumentDB ‘compatibel’ is met een versie van MongoDB die werd gelanceerd voordat de nieuwe licentie in effect kwam, lijkt de SSPL-licentie hierop echter geen effect te hebben.

Is de nieuwe MongoDB licentie nog wel ‘open source-proof’?

Naast het feit dat de SSPL-licentie de lancering van DocumentDB niet heeft kunnen tegenhouden, krijgt de licentie ook uit de open source community veel kritiek. Belangrijke spelers in de gemeenschap stellen zich op het standpunt dat de SSPL-licentie geen open source licentie is. Zo weigert OSI (Open Source Initiative) tot nu toe om de SSPL-licentie (eerste versie) als open source licentie goed te keuren. Wel heeft MongoDB begin dit jaar een nieuwe versie van de SSPL-licentie ter goedkeuring aan OSI voorgelegd. Het is afwachten of deze wel goedgekeurd zal worden.

Alhoewel OSI niet de autoriteit heeft om de rechtsgeldigheid van een licentie in twijfel te trekken (in zoverre heeft de organisatie geen juridische betekenis) heeft ze wel degelijk een ‘morele autoriteit’ in de open source community.

Ook Red Hat/Fedora is niet onder de indruk van de nieuwe koers van MongoDB. In de woorden van Tom Callaway:

“After review, Fedora has determined that the Server Side Public License v1 (SSPL) is not a Free Software License. It is the belief of Fedora that the SSPL is intentionally crafted to be aggressively discriminatory towards a specific class of users.”

Vooral die laatste zin is veelzeggend in het licht van de Open Source Definition (welke wordt gebruikt door OSI om te bepalen of een licentie al dan niet als open source kan worden gekwalificeerd). De definitie, welke gebaseerd is op de Debian Free Software Guidelines, bepaalt onder andere dat een licentie niet mag discrimineren tegen gebruikers(groepen). De SSPL-licentie lijkt met name cloudinfrastructuurproviders aan te willen pakken en zou daarom een discriminerende werking hebben tegen een bepaalde “groep”.

Open source-licenties zijn niet altijd het antwoord?

De open source community is zoekende. Zoekende naar manieren waarop de community beschermd kan worden tegen cloudinfrastructuurproviders zoals AWS, zonder daarmee “de openheid” van open source in het geding te brengen. Tot op heden wordt er vooral gezocht in de ‘licentie hoek’. Bestaande licenties worden herschreven en nieuwe licenties worden opgesteld. De zoektocht naar de perfecte licentie lijkt echter een averechts effect te hebben. Steeds vaker worden nieuwe licenties op de ‘zwarte lijst’ gezet omdat ze in strijd zouden zijn met de Open Source Definition. De open source community heeft een eigen cultuur met eigen ‘normen en waarden’. Een licentie kan juridisch wel perfect in elkaar zitten maar als er geen rekening wordt gehouden met deze normen en waarden, levert het stuk papier weinig op. Wat dat betreft is er ook voor ons als juristen nog een lange weg te gaan.

Onze juristen bij Spaans&Spaans zijn gespecialiseerd in het ICT-recht en blijven op de hoogte van relevante ontwikkelingen in de open source community. Hulp nodig? Neem gerust even contact met ons op.