Hace poco el equipo del proyecto Fedora dio a conocer su análisis de la licencia NPSL a la que se cambió recientemente el escáner de seguridad de red Nmap y concluyó que no cumple con los requisitos de licencia de código para su uso con la distribución.
Por lo tanto, las nuevas versiones de Nmap y otros paquetes con componentes con licencia NPSL no podrán incluirse en los repositorios oficiales de Fedora, EPEL y COPR.
El motivo es la presencia en la versión 0.92 de la licencia de un artículo que discrimina a determinadas categorías de usuarios, es decir, esta licencia no cumple con los criterios de código abierto definidos por la OSI (Iniciativa de código abierto).
Después de la revisión, Fedora ha determinado que la fuente pública de Nmap
Licencia (NPSL) Versión 0.92 no es aceptable para su uso en Fedora. Nosotros
hemos actualizado nuestra lista de «Licencia incorrecta» para incluir NPSL. Sin software
bajo esa licencia se puede incluir en Fedora (incluyendo EPEL y
COPR).
La licencia incluye restricciones sobre «empresas de software propietario»,
que es un campo de restricción de esfuerzo contraria al Open Source.
Si se lanzan versiones futuras de la NPSL,
ser reevaluado para su uso en Fedora.
En particular, la NPSL define restricciones sobre el uso del código por parte de empresas que lanzan software propietario. En caso de que se publique una versión actualizada de la licencia NMAP, los representantes de Fedora prometieron volver a analizar y eliminar la licencia de la lista de prohibidos para su uso en Fedora si las deficiencias señaladas se corrigen en la nueva versión.
Todo esto deriva, debido a que Nmap se envió originalmente con una licencia GPLv2 modificada, pero a partir del lanzamiento de la versión 7.90 que fue dad a conocer en octubre, Nmap cambió a una nueva licencia NPSL (Licencia de fuente pública de Nmap).
Y es que aun que NPSL también se basa en GPLv2, está mejor estructurado, es más claro e incluye excepciones y condiciones adicionales, no es aceptada en el proyecto Fedora.
Las diferencias con las licencias dobles tradicionales se reducen al hecho de que la licencia comercial GPL+ no prohíbe el uso gratuito del código GPL en productos patentados, sino que requiere el cumplimiento de la licencia GPL, es decir, abriendo el código de componentes modificados y relacionados y esto es algo que no está marcado en NPSL.
Aun que por otro lado la licencia ofrece la posibilidad de utilizar código Nmap en productos con licencias incompatibles con GPL después de obtener el permiso del autor. NPSL también especifica la necesidad de licencias separadas al enviar o usar Nmap como parte de un producto patentado.
También cabe resaltar que otras distribuciones ya están analizando el caso después de que se hiciera pública la decisión por parte de Fedora de no incluir a NMAP dentro de sus repositorios. Por su parte en Arch Linux ya han comenzado a hablar al respecto:
Parece que nmap se está distribuyendo bajo una nueva licencia a partir de la versión 7.90. El paquete Arch está marcado como GPL2, lo cual nunca fue correcto porque usó una versión modificada antes. La gente de Fedora ha determinado que la licencia no es libre/no es compatible con OSD debido al texto ambiguo (no estoy completamente seguro de cuánto afecta esto a Arch). El sitio web de nmap afirma que no ha sido certificado porque requiere un abogado.
El paquete debería al menos actualizarse para reflejar esta nueva licencia.
Por otro lado, en Gentoo no parecen tener ningún problema al respecto:
NPSL actualmente no se encuentra en ninguno de los grupos de licencias gratuitas. Al hacer una investigación rápida, parece que es una licencia similar a la GPL-2+. No he hecho una revisión de las diferencias, pero nunca escuché que nmap no sea libre o controvertido (y la regla general: «Debian lo distribuye así que parecen estar bien con él y piensan que es una buena licencia»).
Finalmente si quieres conocer más al respecto sobre la nota, puedes consultar los detalles en las listas de correo del proyecto Fedora.
El enlace es este.
Continúar leyendo...