Corte d'Appello della California decisione nella controversia tra Open Source Security Inc. (sviluppa il progetto Grsecurity) e Bruce Perens. La corte ha respinto l'appello e ha confermato il verdetto del tribunale di grado inferiore, che ha respinto tutte le accuse contro Bruce Perens e ha ordinato a Open Source Security Inc di pagare $ 259 in spese legali (Perens ha assunto importanti avvocati e l'EFF per difenderlo). Allo stesso tempo, Open Source Security Inc ha 14 giorni di tempo per presentare una richiesta di nuova udienza con la partecipazione di un collegio di giudici allargato, e c'è anche la possibilità di intensificare il procedimento con il coinvolgimento di un tribunale superiore.
Ricordiamo che nel 2017 Bruce Perens (uno degli autori della definizione Open Source, cofondatore dell'OSI (Open Source Initiative), creatore del pacchetto BusyBox e uno dei primi leader del progetto Debian) ha pubblicato in il suo blog , in cui criticava la restrizione dell'accesso agli sviluppi di Grsecurity e metteva in guardia dall'acquistare la versione a pagamento a causa di Licenze GPLv2. Lo sviluppatore di Grsecurity non era d'accordo con questa interpretazione e ha citato in giudizio Bruce Perens, accusandolo di aver pubblicato false dichiarazioni con il pretesto di fatti e di aver abusato della sua posizione nella comunità per danneggiare intenzionalmente l'attività di Open Source Security. La corte ha respinto le accuse, affermando che il post sul blog di Perens aveva la natura di un'opinione personale basata su fatti noti e non era inteso a danneggiare intenzionalmente il querelante.
Tuttavia, il procedimento non ha affrontato direttamente la questione di una possibile violazione della GPL in caso di applicazione di condizioni restrittive nella distribuzione delle patch Grsecurity (risoluzione del contratto in caso di cessione delle patch a terzi). Bruce Perens ritiene che il fatto stesso di creare nel contratto. Nel caso delle patch Grsecurity non si tratta di un prodotto GPL autonomo, i cui diritti di proprietà sono nelle stesse mani, ma di un'opera derivata dal kernel Linux, che colpisce anche i diritti degli sviluppatori del kernel. Le patch Grsecurity non possono esistere separatamente senza il kernel e sono indissolubilmente legate ad esso, il che soddisfa i criteri di un prodotto derivato. La firma di un accordo per fornire l'accesso alle patch Grsecurity comporta una violazione della GPLv2, poiché Open Source Security non ha il diritto di distribuire un prodotto derivato del kernel Linux con condizioni aggiuntive senza ottenere il consenso degli sviluppatori del kernel.
La posizione di Grsecurity si basa sul fatto che il contratto con il cliente definisce i termini di risoluzione del contratto, secondo i quali il cliente potrebbe perdere l'accesso alle versioni future delle patch. Si sottolinea che le condizioni menzionate si riferiscono all'accesso a codice non ancora scritto, che potrebbe apparire in futuro. La licenza GPLv2 definisce i termini di distribuzione del codice esistente e non contiene restrizioni esplicite applicabili al codice non ancora creato. Allo stesso tempo, i clienti Grsecurity non perdono l'opportunità di utilizzare le patch che hanno già rilasciato e ricevuto e possono smaltirle secondo i termini della GPLv2.
Fonte: opennet.ru