Torvalds schlägt Zertifzierung für Linux-Code vor

Linux-Erfinder Linus Torvalds hat in einem Mailing an die Linux-Kernel-Entwickler eine Art Zertifzierung für die weitere Entwicklung am Linux-Code vorgeschlagen.

Entwickler, die Code zum Linux-Kernel beitragen, könnten laut dem Vorschlag von Torvalds ihre Werke mit einer Art Unterschrift versehen, die, im Falle von Patches, den kompletten Weg dokumentiert und nicht allein die Änderungen. Torvalds begründet dies zum einen mit dem derzeit laufenden Ärger um SCO und die Lizenzgebühren für vermeintliche Linux-Rechte. Zum anderen schreibt Torvalds aber auch, dass er zumeist Patches erhält, die von Andrew Morton oder einem anderen seiner Vertrauten stammen. Diese meist per Mail versandten Patches enthalten dann zwar die Informationen des Absenders - zum Beispiel Morton - und das Changelog, aber nicht den kompletten Weg, den der Patch genommen hat. Oftmals, so Torvalds, lande ein Patch im finalen Kernel, der nicht mehr dem ursprünglichen Code entspreche.

Torvalds schlägt eine einfach einzuhaltende Signierung der Patches vor. Etwa eine Zeile am Ende, die den Autor nennt. Wird der Patch verändert würde der nächste Autor erneut "unterzeichnen" und seine Änderungen kundtun. Torvalds spricht in diesem Zusammenhang von einer Kette des Vertrauens und schlägt mit dem "Developer's Certificate of Origin 1.0" ein mögliches Konstrukt dafür vor.

Torvalds möchte den Vorschlag nicht in Richtung digitale Signatur verstanden wissen sondern als Dokumentation der Arbeit am Kernel. Diese Dokumentation soll dann auch Unternehmen zur Verfügung stehen, die bestimmte Kriterien oder Prozeduren für die Veröffentlichung von Produkten haben. Eine Firma könnte ebenso einen Release-Beauftragten benennen, der mit seiner Unterschrift eintritt und so der internen Dokumentation genüge tut.

Die Zertifizierung hat Torvalds in seinem Beitrag zur Diskussion gestellt. Sollte es Realität werden, rechnet Torvalds frühestens mit den Arbeiten an Kernel 2.7 mit einer Umsetzung. (uba