Bitwarden: Der Sturm im Wasserglas hat sich gelegt

Bitwarden hatte kürzlich Stress mit der Community wegen einer Lizenzfrage bezüglich ihres internen SDK. Nun hat Bitwarden alle Zweifel ausräumen können, der Sturm im Wasserglas legt sich.

Das Problem rührte daher, dass ein Benutzer entdeckte, dass der Bitwarden-Client eine „bitwarden/sdk-internal“-Abhängigkeit einführte und dass das interne SDK eine Lizenzklausel hatte, die besagte:

„Sie dürfen dieses SDK nicht verwenden, um Anwendungen zur Verwendung mit anderer Software als Bitwarden (einschließlich nicht kompatibler Implementierungen von Bitwarden) zu entwickeln oder um ein anderes SDK zu entwickeln.“

Nach einiger Aufregung hat nun der Gründer und CTO von Bitwarden namens Kyle Spearrin auf Github klärende und zugleich beruhigende Worte gefunden:

„@brjsp, vielen Dank, dass Sie Ihr Anliegen hier einreichen. Wir haben einige Anpassungen an der Art und Weise vorgenommen, wie der SDK-Code organisiert und verpackt ist, damit Sie die App nur mit GPL/OSI-Lizenzen erstellen und ausführen können. Die sdk-internen Paketreferenzen in den Clients stammen jetzt aus einem neuen sdk-internen Repository, das dem Lizenzierungsmodell folgt, das wir bisher für alle unsere Clients verwendet haben (weitere Informationen finden Sie in LICENSE_FAQ.md). Die sdk-interne Referenz verwendet zur Zeit nur GPL-Lizenzen. Sollte die Referenz in Zukunft Bitwarden-Lizenzcode enthalten, werden wir eine Möglichkeit bereitstellen, mehrere Build-Varianten des Clients zu erstellen, ähnlich wie wir es mit den Builds des Web Vault Clients machen.

Das ursprüngliche sdk-Repository wird in sdk-secrets umbenannt und behält seine bestehende Bitwarden SDK-Lizenzstruktur für unsere Secrets Manager Geschäftsprodukte bei. Das sdk-secrets-Repository und die Pakete werden nicht mehr von den Client-Anwendungen referenziert, da dieser Code dort nicht verwendet wird.“

💬 https://github.com/bitwarden/clients/issues/11611#issuecomment-2436287977

Somit erscheint der Fall schon wieder erledigt zu sein. Zumindest wenn man der Einschätzung Michael Larabels von Phoronix folgt:

🇬🇧 With that it appears the situation is now cleared up and should also avoid any user confusion for those using this open-source password management solution.

🇩🇪 Damit scheint die Situation nun geklärt zu sein und sollte auch bei den Nutzern dieser Open-Source-Passwortverwaltungslösung für keine Verwirrung sorgen.

💬 https://www.phoronix.com/news/Bitwarden-Code-Cleared-Up

Fazit: Bitwarden hat hier vorbildlich reagiert und Zweifel über die lizenzrechtliche Entwicklung Bitwardens ausräumen können. Wie so oft - so erscheint es - liegt die Verantwortung für diesen kleinen Zwischenfall im bisweilen undurchdringlichen Lizenzdschungel, der bei vielen Projekten über kurz oder lang zu Komplikationen führt, beispielsweise nach Lizenzwechseln einzelner Komponenten oder Neuentwicklungen unter anderen Lizenzbedingungen. Eine "böse" oder für den Anbieter eines FOSS-Produktes unlautere Absicht ist unter diesen neuen Vorzeichen beileibe nicht zu erkennen.