Hof van Beroep van Californië beslissing in de procedure tussen Open Source Security Inc. (ontwikkelt het Grsecurity-project) en Bruce Perens. De rechtbank verwierp het beroep en bevestigde het vonnis van de lagere rechtbank, dat alle claims tegen Bruce Perens verwierp en Open Source Security Inc veroordeelde tot het betalen van $ 259 aan juridische kosten (Perens huurde prominente advocaten en de EFF in om hem te verdedigen). Tegelijkertijd heeft Open Source Security Inc nog veertien dagen de tijd om een verzoek in te dienen voor een repetitie met deelname van een uitgebreid panel van rechters, en bestaat er ook de mogelijkheid om de procedure te escaleren met betrokkenheid van een hogere rechtbank.
Laten we ons herinneren dat Bruce Perens (een van de auteurs van de Open Source-definitie, medeoprichter van OSI (Open Source Initiative), maker van het BusyBox-pakket en een van de eerste leiders van het Debian-project) in 2017 publiceerde in zijn blog , waarin hij kritiek uitte op de beperking van de toegang tot de ontwikkelingen van Grsecurity en waarschuwde voor de aanschaf van de betaalde versie vanwege GPLv2-licenties. De ontwikkelaar van Grsecurity was het niet eens met deze interpretatie en klaagde Bruce Perens aan en beschuldigde hem ervan valse verklaringen te publiceren onder het mom van feiten en misbruik te maken van zijn positie in de gemeenschap om opzettelijk de activiteiten van Open Source Security te schaden. De rechtbank verwierp de claims en stelde dat de blogpost van Perens het karakter had van een persoonlijke mening, gebaseerd op bekende feiten en niet bedoeld was om de eiser opzettelijk schade toe te brengen.
De procedure ging echter niet rechtstreeks in op de kwestie van een mogelijke schending van de GPL bij het toepassen van beperkende voorwaarden bij de distributie van Grsecurity-patches (beëindiging van het contract in geval van overdracht van patches aan derden). Bruce Perens gelooft dat juist het feit van creëren in het contract. In het geval van Grsecurity-patches wordt niet gekeken naar een op zichzelf staand GPL-product, waarvan de eigendomsrechten in dezelfde handen zijn, maar naar een afgeleid werk van de Linux-kernel, dat ook de rechten van kernelontwikkelaars aantast. Grsecurity-patches kunnen niet afzonderlijk bestaan zonder de kernel en zijn er onlosmakelijk mee verbonden, wat voldoet aan de criteria van een afgeleid product. Het ondertekenen van een overeenkomst om toegang te verlenen tot Grsecurity-patches leidt tot een schending van GPLv2, aangezien Open Source Security niet het recht heeft om een afgeleid product van de Linux-kernel met aanvullende voorwaarden te distribueren zonder toestemming van de kernelontwikkelaars.
Het standpunt van Grsecurity is gebaseerd op het feit dat het contract met de klant de voorwaarden voor beëindiging van het contract definieert, volgens welke de klant de toegang tot toekomstige versies van patches kan verliezen. Benadrukt wordt dat de genoemde voorwaarden betrekking hebben op toegang tot nog niet geschreven code, die in de toekomst kan verschijnen. De GPLv2-licentie definieert de distributievoorwaarden van bestaande code en bevat geen expliciete beperkingen die van toepassing zijn op code die nog niet is gemaakt. Tegelijkertijd verliezen Grsecurity-klanten niet de mogelijkheid om de patches te gebruiken die ze al hebben uitgebracht en ontvangen en kunnen ze erover beschikken in overeenstemming met de voorwaarden van GPLv2.
Bron: opennet.ru