Wednesday 4 April 2012

GPL Compliance Is Easier Than You Think




GPL Compliance Is Easier Than You Think

Bradley M. Kuhn

Wednesday 4 April 2012


My History

Worked my first GPL enforcement case in 1999 (as FSF volunteer).
 FSF Executive Director, 20002005. Now an FSF Director.
 President, Software Freedom Conservancy, 2006-present.
 Plurality of my time since 1999 has been spent on GPL enforcement.
Im the key person responsible for nearly every major USA GPL enforcement action.
 Conservancy & FSF are responsible for nearly all GPL enforcement in USA.

They Say Compliance is Hard 

FUD says: compliance is difficult.
 FUD says: you should fear enforcement.

The Compliance Industry

Im disturbed Harald Welte & Ive inspired creation of the compliance industry.
 Ironically, this industry wants enforcement to seem worse than it is.
 FUD aids their mission.

FUD Becomes Marketing

Salespeople sell things you dont need.
 Most talking of compliance wanna sell you proprietary junk.
 Educate yourself:
Ask people who doenforcement, not sales people.
Coca-Colas by far the worlds number one soft drink, and they spend more money than anybody on advertising. 
 Tracy Flick, character in the 1999 film, Election

On Requirement By License

GPL == Constitution of Software Freedom Land.
a written down embodiment of core principles.
 GPLs a detailed implementation of the four freedoms:
freedom to run and study.
 freedom to improve.
 freedom to share.
 freedom to share improvements.
 Any strict rules in copyleft licenses are designed to uphold these freedoms.

Ever Ignored One of These?


How Badly?

Routinely 10 over limit?
 Routinely 20 over limit?
 Routinely 30 over limit?
 Routinely 40 over limit?

What About Commercial Vehicles?

Nearly all GPL violations are by for-profit companies.
 They absolutely increase their profits by failing to comply 
 just like truckers who delivery faster by speeding.
 Both undercut those who comply.
 But its still a matter of degree:
should speeding trucks get pulled over when they go 57 mph?

Angels Dancing on Heads of Pins


And Schibler with others, maketh the difference of extension to be this, that Angels can contract their whole substance into one part of space, and therefore have not partes extra partes. Whereupon it is that the Schoolmen have questioned how many Angels may fit upon the point of a Needle?
  Richard Baxter, The Reasons of the Christian Religion, 1667.

Not All Violations Are Equal

Its fun to debate esoteric licensing situations & details 
  but it doesnt address the fundamental problem:
 hundreds of egregious violations are ongoing and mostly ignored 
 (except by me, Harald, and FSF).

Egregious Violations

The primary point of any copyleft license:
 is to make sure source code is available.
  and make sure it is the right source code.
 Nearly all the violations I handle are:
no-source-nor-offer: complete disregard for GPLv2§3 / GPLv3§6
 offer-fail: bogus offer for source under GPLv2§3(b) / GPLv3§6(b)
 Ive been doing this 13 years & the egregious queue has never been near empty.

I Know You Wont Be Perfect

Believe it or not, Im a pragmatist.
 But Im oft-accused of wanting perfect compliance.
(Mainly by people who dont like copyleft much.)
 Oddly, the compliance industry seek perfection:
Probably because perfection costs you more.

FUD Overheard on LWN


It is possible for a mistake made by an ODM (like providing the wrong busybox source version) could result in the recall of millions of unrelated products.
Sure, this is possible in theory 
  but who doing enforce is asking for this in practice?
 Ive accepted disgusting settlement terms sometimes just to avoid disrupting a violators business.

FUD Overheard on LWN


[Ive] heard  worries about  copyright trolls Its not too hard to imagine that somebody with a trollish inclination might come into possession of  © on some kernel code  shak[e] down former violators with threats of lawsuits
You need to read the statute.
 You cant get rich suing for © infringement 
 particularly if broad license was available.
 even if NPO enforcement inspired © trolls
 its already too late on that.

Challenges of Modern Compliance

Savvy violators means intelligent discussion.
 Clueless violators means difficult conversations:
Me: Your software violates GPL.
 Them: We make hardware.
 Me: I know, but it has software in it. Our members software. Under the GPL.
 Them: No, it doesnt. We make hardware.
 Me: But your firmware downloadon your websitethats software.
 Them: Oh, thats not ours. We got that from someone. Nothing to do with us.
 Having the above conversation across four phone calls every two months is why I seem so insane most of the time.

A Radical Statement

Copyleft compliance isnt a legal problem 
  or even a knowledge problem 
  its an engineering problem.
 Everything else is trivially fixed!

The Easy Parts of Compliance

Fixing copyright notices.
 Clarifying contradictory license texts.
 Other informational requirements.

The Only Hard Part of Compliance

C&CS: complete and corresponding source code.
 Bulk of all enforcement time is spent on this.
 Its hard because violators wont let me talk to engineers 
  or they dont know who they are.

On Asking for Complete Compliance

All GPL enforcers ask for this (including Harald).
 Indeed, most violators ask for this.
 As an engineering question, this is easier!
 Build scripts are usually for the whole system, not just one program.
 Universal compliance means:
the enforcer becomes your expert witness 
  should those mythical copyright trolls show up.

Other Requests (Theyre Easy)

Notification to past recipients.
 Appoint GPL Compliance Officer.
 Periodic compliance reports.
 Yes, we do ask for some money.

Money

No one in non-profits is getting rich from this.
 Who should pay for enforcement:
Those who comply or those who violate?
 Individual donors?
 There must be a deterrent.
 Non-profit enforcement == accountability.
 Confidentiality is something violators ask for.

Why Keep Doing Enforcement?


Why Keep Doing Enforcement?

Its very simple:
an unenforced GPL isthe ISC license.
 If the world prefers ISC, they will switch to it.
 Its still Free Software, Im not against it.
 When no software developers are left who want to enforce GPL 
Ill of course stop.

More Info / Talk License

URLs / Social Networking / Email:
Conservancy: sfconservancy.org & @conservancy
 Me: faif.us, ebb.org/bkuhn & @bkuhn (identi.ca only)
 FSF Licensing Site: fsf.org/licensing
 Report GPL violations: <compliance@sfconservancy.org>
 Slides at: ebb.org/bkuhn/talks & gitorious.org/bkuhn/talks (source)
Presentation and slides are: Copyright © 2008, 2009, 2010, 2011, 2012 Bradley M. Kuhn, and are licensed under the Creative Commons Attribution-Share Alike (CC-By-SA) 3.0 United States License.
Some images included herein are ©ed by others. I believe my use of those images is fair use under USA © law. However, I suggest you remove such images if you redistribute these slides under CC-By-SA-USA 3.0.