Aus vielen Gesprächen wissen wir, dass sich Unternehmen immer noch schwer tun mit der Java-Lizenzierung. Daher finden wir es sinnvoll, einen kurzen Artikel zu schreiben, der davon handelt, welche Fehler bei der Überprüfung der Java-Lizenzierung vermieden werden sollten.
Erster vermeidbarer Fehler: “Unkenntnis der Lizenzbestimmungen“
Viele Unternehmen haben sich nicht damit beschäftigt, dass Oracle JDK im Rahmen von definierten Lizenzbestimmung veröffentlicht wurde. Es gilt das BCL (Oracle Binary License Agreement) für alte oder nicht gepatchte Java-Versionen unter bestimmten Einsatzbedingungen und für neuere Java-Versionen das OTN SE (Java Technology Network License Agreement for Oracle Java SE). Wenn Unternehmen beginnen, die Java-Lizenzierung zu überprüfen, machen viele den Fehler, dass sie als erstes untersuchen, ob Sicherheitsupdates/Support benötigt werden oder ob sie kommerzielle Funktionen verwendet haben.
Wir empfehlen stattdessen, mit der Prüfung der Lizenzbestimmungen zu beginnen, um zu verstehen, unter welchen Umständen Sie Lizenzbestimmungen einhalten. Das sollte geschehen, bevor Sie den Bedarf an Sicherheitsupdates oder kommerziellen Funktionen prüfen.
Wenn Sie bei der Überprüfung der Lizenzbestimmungen feststellen, dass Sie schon auf Basis der Bestimmungen nach BCL, bzw. OTN SE diese nicht einhalten, werden alle anderen Aktivitäten weitestgehend irrelevant.
Zweiter vermeidbarer Fehler: „Keine Kosten-Nutzen-Analyse durchführen“
Bei unseren ersten Java-Projekten haben wir festgestellt, dass es für große Unternehmen sehr zeitaufwendig ist, wenn nicht gar unmöglich sein kann, herauszufinden, warum Java auf Servern installiert ist.
- Sie erkennen, dass Oracle JDK (Java) auf einem Server läuft
- Sie stellen fest, dass er auf einem physischen Server mit 4 Intel-Kernen läuft, was den Erwerb von 2 Prozessorlizenzen im Java SE-Abonnement (600 $ pro Jahr) erfordert. Jetzt sollten Sie innehalten – und überlegen: „Wie viel Zeit sollte ich mit der Untersuchung dieses Problems verbringen, wenn es einen so geringen Wert hat?“ Werden Sie sich nun wochenlang mit diesem Server beschäftigen oder einfach ein Abonnement abschließen? Im Folgenden listen wir auf, welche Schritte für eine Bewertung durchzuführen wären. Sie als Leser können schätzen, wie viel Zeit Sie für diese Aktivitäten benötigen würden.
- Es muss ermittelt werden, welche Anwendungen auf dem Server laufen, auf dem ebenfalls Java ausgeführt wird.
- Sie müssen herausfinden, welche Anwendungen von Java abhängig sind (zeitaufwändig, da Sie möglicherweise den Hersteller der Anwendungen anrufen müssen, um eine Antwort zu erhalten).
- Einige Anwendungsanbieter sind schwer zu erreichen und Sie könnten Stunden damit verbringen, Antworten zu erhalten.
- Einige Anwendungsanbieter sagen, dass Sie kein Java benötigen. Dann müssen Sie nachvollziehen, ob Sie selbst Anpassungen oder Integrationen vorgenommen haben, welche Java erfordern.
- Jetzt ist es an der Zeit, mit dem Verantwortlichen der Anwendung zu sprechen: Brauchen sie Sicherheitsupdates? Sie könnten ja sagen – dann hätten Sie die Zeit für die oben gennannten Tätigkeiten sparen können, wenn Sie gewusst hätten, dass Sie ein Abonnement erwerben müssen.
- Der Anwendungsverantwortliche sagt, dass er das Abonnement nicht abschließen möchte und bittet darum, die Optionen für einen Wechsel zu OpenJDK zu untersuchen. Das erfordert weitere Untersuchungen.
- Ist es möglich, zu OpenJDK zu wechseln? Wie viel Zeit und Tests sind nötig, um das zu untersuchen? Einem Unternehmen wurde von seinem Anwendungsanbieter gesagt, dass sie tatsächlich auf OpenJDK migrieren können. Aber nachdem sie mit der Migration begonnen hatten, meldeten ihre Anwender Performance-Probleme und sie mussten die Migration abbrechen. Die ganze Test- und Migrationszeit war umsonst…
Sie könnten möglicherweise zusammen 100 Stunden aufwenden (Ihre Zeit und die Zeit des Anwendungsverantwortlichen) – die Stunden summieren sich schnell. Sicherlich haben Sie sinnvollere Möglichkeiten, Ihre Zeit zu verbringen.
Das folgende Bild versucht, dies zu erfassen:
Dritter vermeidbarer Fehler: „Vergessen, dass MSI Enterprise Installer die Lizenzierungspflicht auslöst“
Fast jedes Unternehmen, welches uns begegnet, nutzt den Java MSI Enterprise Installer, aber vielen ist nicht bewusst, dass es sich dabei um ein „kommerzielles Feature“ von Java handelt. Es ermöglicht Unternehmen die Massenverteilung von Sicherheits-Patches und Upgrades für Java. Wenn Sie dieses Tool benutzen, müssen Sie ein Java SE-Abonnement haben, egal was Sie über die Lizenzbestimmung oder die Notwendigkeit von Sicherheitsupdates denken.
Vierter vermeidbarer Fehler – „Es fehlt eine Lizenzierungsstrategie für die Zukunft“
Bauen Sie Ihre Java-Lizenzierungsstrategie nicht um die BCL-Vereinbarung herum auf. Die Zukunft liegt in Java OTN SE. Wägen Sie die Vor- und Nachteile einer gemischten Umgebung, das Compliance-Risiko und die Zeit ab, die Sie für die Überwachung von Patches aufwenden müssen.
Die praktischste Empfehlung unterm Strich:
- Überprüfen Sie Ihre Java-Installationen (Java-Lizenzierungsposition)
- Deinstallieren Sie, was Sie können, oder nehmen Sie Änderungen vor, um die Lizenzierung zu optimieren.
- Für verbleibendes Oracle JDK -> Erwerben Sie ein Abonnement
Der Autor
Kirsten Springer
Geschäftsführerin und Lizenzexpertin der SAMtoa GmbH