【开源软件】新的Elasticsearch SSPL许可证是否对您的业务构成威胁?

new elasticsearch sspl license

最近对Elasticsearch许可证的更改可能会对您的知识产权产生影响。2021年1月14日,Elastic通过博客宣布,Elasticsearch和Kibana将转向服务器端公共许可证(SSPL)。此许可证更改从Elasticsearch 7.11版开始生效,依赖ELK stack的企业主对此表示关注。

关于这次行动有很多错误的消息。我们Coralogix不会受到Elastic与以前的开放源码ApacheV2许可证的背离的影响。然而,对于我们的许多客户和行业同行来说,这一变化可能会产生真正的影响。

虽然我们没有对自己的路线图做任何改变,但我们担心对更广泛社区的影响。因此,我们提供了这个新许可证的真实概要,并为那些不喜欢在源代码可用许可证下工作的人提供了指导。

Elastic–现代分析的基石

对Elastic许可条款的任何重大更改都会引发对话。早在2017年,ELK栈就突破了1亿次的下载里程碑,成为过去十年中大多数日志分析栈不可或缺的组成部分。

Elasticsearch、Logstash和Kibana已经成为分析领域家喻户晓的名字。应该注意的是,前两个,Logstash和Kibana,在项目的顶级开发者转移到Elasticsearch之前都是OSS。从那时起,ELK Stack就成了一支统一的力量。整个企业都建立在依赖ELK的服务上。ELK最初只是一个开源项目,现在是一个软件名称,它是监视、观察和分析的同义词。

然而,ELK栈的开源根源也是它被广泛采用和接受的原因。开放源代码许可使企业能够使用最先进的工具,而不存在围绕知识产权所有权的法律灰色地带的风险。Elastic采用的SSPL许可证不仅取消了这种法律保护,使其成为ELK的一种福利,而且与导致ELK在工程师和企业中受欢迎的最初价值观相矛盾。

新的Elasticsearch SSPL许可证

开放性是Elastic在其崛起过程中所传达信息的核心。在过去,在更改了一些Advanced Features许可证之后,他们明确表示,他们仍然致力于以前的Apache2.0许可证。直接引用:

“我们没有更改Elasticsearch、Kibana、Beats和Logstash的任何Apache 2.0代码的许可证—而且我们永远不会更改。”

Elastic之前承诺使用Apache2.0许可证的原因很简单。apache2.0是OSI(opensourceinitiative)认可的一个开源许可证,它允许将ELK代码作为另一个平台、产品或服务的一部分进行商业采用和重新分发,而不受限制。

ELK之所以成为分析开发和工程的主要产品,部分原因是Elastic对开源价值的直言不讳的拥护,以及随之而来的法律自由。许多人认为,采用SSPL许可证是一种从这些价值观转向更商业化的思维方式。

开源和代码可用有什么区别?

Elastic采用的许可证SSPL经常被错误地引用为开放源代码许可证。然而,它从未被OSI认证为开放源代码许可证。SSPL实际上是一个源代码可用的许可证。

将开放源代码许可证下分发的软件合并到堆栈中不会带来再分发限制。您拥有代码的完全所有权,不需要将其公开。

在源代码可用的许可证下,情况并非如此。直接引用SSPL:

“13. 把这个项目作为一项服务来提供。

如果您将程序的功能或修改后的版本作为服务提供给第三方,则必须根据本许可证的条款,通过网络下载将服务源代码免费提供给所有人。”

根据SSPL许可,任何使用ELK功能的产品或服务必须公开其代码。更重要的是,代码必须在同一SSPL许可证下重新分发。这就是SSPL许可证的问题,“使功能可用”的定义非常松散。

 

这对我的生意意味着什么?

许可证所使用的宽泛而模糊的语言给人们留下了很大的猜测空间。您的企业向客户或客户提供的任何可能使用Elasticsearch和/或Kibana的产品都有可能在网上免费提供。

当你考虑到ELK-reliant系统处理的一些数据有多敏感,以及Elastic产品的使用有多广泛,这可能会危及整个企业。许多管理的安全运营中心依靠ELK来保护他们的客户和客户。托管SOC是否必须公开其代码,使其客户机容易受到攻击?

这只是众多面临潜在风险的行业之一。银行和金融部门依靠Elasticsearch寻找内部工具,使客户能够找到最佳贷款方案等。这些工具的代码对业务至关重要。拥有比竞争对手更好的搜索工具可能会让客户从竞争对手的帐簿转移到你的帐簿上。可以说,这是一种提供弹性功能的服务。SSPL是否强迫银行将其商业秘密作为OSS放到网上?

那么ELK不再开源了吗?

不。

这个答案似乎直截了当,但并不像许多人认为的那样细致入微。OSI已经明确声明SSPL不是一个开源许可证。SSPL与开放源码许可证(如以前的apache2.0许可证)所满足的标准不匹配。OSI做出了他们的决定并公布了结果,正是为了让消费者和用户意识到这一事实。

开放源码并不是一个行话的总括性定义,它定义的许可证在重新分配或共享权利方面是松散的。这是一个非常具体的法律术语,不能适用于Elastic现在分销ELK的SSPL许可证。

有了以前的许可证,ELK就可以自由地集成到您的软件中。现在,在新的许可证下,有一个真正的风险,你被迫释放你所有的代码。这对您的业务的法律和财务影响是不可夸大的。

每一个现代企业都有其竞争性的商业优势,独特的卖点,融入到软件、产品和服务的代码中。代码是企业拥有的最有价值的知识产权之一。如果您已经集成了Elasticsearch、Logstash或Kibana,那么SSPL许可证可能要求您的代码公开,并随时可供您的竞争对手使用。

 

会停在这里吗?

这个问题没有真正的答案。采用SSPL许可证对Elastic来说是一个巨大的改变。正如我们所看到的,这直接与他们之前所信奉的价值观和对未来的憧憬相矛盾。如果Elastic现在能够做出如此激进的理想转变,谁能肯定地说未来几年会带来什么样的变化?

如果说这种变化暴露了一个问题的话,那就是Elastic的流行导致了对他们软件的过度依赖。一个软件的许可证变更很少会引起这么多真正的担忧,更不用说让这么多企业面临失去宝贵知识产权的风险了。

这能给这个行业敲响警钟吗?我们现在是不是只有一个弹性的法律决定远离了对我们工作、创造和经营方式的巨大干扰?

用户对新的SSPL许可证有何反应?

总的来说,这个消息并没有得到ELK用户或开源社区的好评。许多人表示,他们感到困惑,不安,甚至背叛的举动。

一些人认为,此举是一种商业策略,旨在削弱或超越AWS等弹性竞争对手。正如你从丰富多彩的语言中看到的,这并不是很多人轻视的举动。

elasticsearch red herrings

一些人公开建议企业在财务/贡献层面上完全摆脱Elastic。

redirect contributions

这位Twitter用户简洁地总结了广泛持有的社区观点,即Elastic可能试图将部分所有权或控制权强加于用户的项目。

elastic project

此用户提出了有关许可证的另一个关键问题。使用的语言非常广泛。任何一位知识产权律师都会告诉你,像Elastic这样的许可证持有人在法律纠纷中经常使用宽泛/模糊的语言。

elasticsearch sspl license vs amazon

一些人还认为,Elastic为解决关键问题而发布的材料是一种隐秘的营销手段,目的是增强与亚马逊的竞争,而不是包含任何有用的信息。

 

从这里到哪里去

即使对我们这些不在范围内的人来说,这一变化也将产生重大影响。Elasticsearch、Logstash和Kibana的集成迫使企业使用具有约束力的再分发术语,这就开启了关于开源软件的广泛对话。不久前,有一种使用ELK的安全措施。几乎一夜之间,这已经证明自己是一个不可靠的假设。

你的ELK堆栈有什么选择?

继续经营你的ELK堆,因为是,可能代表一个商业风险。虽然目前的许可证变更可能不会影响您,但任何公司律师都会理所当然地关注未来可能出现的法律陷阱。那么你能做些什么来降低这种风险呢?

一个选择是停止自己托管ELK和购买管理ELK堆栈订阅。这样做的好处是免除了你的责任,但也可能会有代价。

原文:https://coralogix.com/log-analytics-blog/elasticsearch-sspl-license-threat-to-business/

本文:http://jiagoushi.pro/node/1482

讨论:请加入知识星球【超级工程师】或者微信【it_training】或者QQ群【11107767】