Philips Research: Open Source licentie tools

Periode: April 2020 – Juli 2021

Binnen Philips Research werd onderzoek gedaan naar de rapportage van Open Source licenties door de tools van Synopsys Black Duck en WhiteSource om een beeld te krijgen over de betrouwbaarheid van de gerapporteerde licenties. Als volgende fase in dit onderzoek moesten een aantal projecten met beide tools worden vergeleken om de verschillen in gerapporteerde licenties te kwantificeren.

Ik heb dit onderzoek grotendeels alleen uitgevoerd, waarbij ik me heb verdiept in beide tools en software in Java en Dart gebouwd om de gerapporteerde resultaten onderling en met Open Source bronnen te vergelijken. Gedurende de hele periode heb ik verschillende presentaties binnen Philips gegeven om de inzichten te delen en te waarschuwen voor de verborgen gevaren van Open Source licenties. Alle applicaties die ik in deze period heb gebouwd zijn door Philips als Open Source gedeeld.

Op basis van de verrassende resultaten uit mijn onderzoek heb ik mij hierna verder verdiept in compatibiliteit van Open Source licenties, alternatieve formaten voor rapportage van licenties (zoals SPDX en CycloneDX), en verschillende experimentele applicaties gebouwd om licenties uit source code te scannen en de acceptatie van component versies over projecten heen te kunnen volgen. Hierbij heb ik contacten gelegd met externe bedrijven en de Open Source gemeenschap.

Na mijn vertrek is de vorming van een Open Source Program Office en de formalisering van de omgang met Open Source code mede door mijn onderzoek en presentaties binnen Philips in een stroomversnelling geraakt. Helaas kon ik daar door het aflopen van mijn twee jaar aansluitende inzet bij Philips niet verder aan bijdragen.