Skip to content

Split View: 오픈소스 라이선스 2026 — BSL·SSPL·FSL, 그리고 클라우드에 맞선 8년의 반란기 심층 (2026)

|

오픈소스 라이선스 2026 — BSL·SSPL·FSL, 그리고 클라우드에 맞선 8년의 반란기 심층 (2026)

프롤로그 — "AWS가 내 데이터베이스를 호스팅한다"

2018년 가을, MongoDB CTO Eliot Horowitz가 블로그에 한 문장을 올렸다.

"We have made the difficult decision to relicense MongoDB Server."

표면적인 이유는 한 줄이었지만, 그 뒤에는 8년이 흐를 긴 분쟁의 씨앗이 있었다. 클라우드 사업자가 오픈소스를 그대로 호스팅 서비스로 팔면서, 정작 그 소프트웨어를 만든 회사에는 아무것도 기여하지 않는 구조. MongoDB는 그것을 "strip-mining"이라 불렀다. 광산을 통째로 파내듯, AWS가 오픈소스를 통째로 팔아간다는 것이다.

이 진단이 옳았는지 틀렸는지를 떠나, MongoDB의 결정은 도화선이 되었다. SSPL(Server Side Public License). 이름은 "Public License"였지만 OSI는 결국 이것을 오픈소스로 인정하지 않았다. 그 뒤로 Elastic이, Redis가, Confluent가, CockroachDB가, MariaDB가, HashiCorp가, Sentry가 — 한 차례씩 비슷한 결정을 내렸다. 모두 "AWS에 대한 자기방어"를 명분으로 들었다.

2026년 현재 우리는 그 반란의 결말 가까이에 와 있다. Elastic은 2024년 8월에 AGPLv3를 옵션으로 추가하며 OSI 오픈소스로 돌아왔고, Redis는 2025년 5월에 같은 길을 따랐다. HashiCorp는 IBM에 인수되었고, 그 사이 OpenTofu는 CNCF 프로젝트로 자리 잡았다. Sentry는 FSL(Functional Source License)을 발명해 "2년 뒤 Apache 2.0으로 자동 전환"이라는 절충안을 내놓았다. FUTO는 "Source First"라는 새로운 이름을 만들었다.

이 글은 그 8년의 라이선스 전쟁을 — 무엇이 일어났고, 왜 일어났으며, 그리고 2026년 당신이 데이터베이스 한 줄을 고를 때 그 라이선스 한 글자가 왜 중요한지 — 한 호흡으로 풀어낸다. 옹호도 비난도 아니다. 결정에 필요한 도구를 주는 것이 목표다.

1장 · 퍼미시브 베이스라인 — 여전히 OSS의 90%는 MIT와 Apache 2.0이다

라이선스 전쟁을 이야기하기 전에 풍경부터 정리하자. 2026년 GitHub에 호스팅된 공개 저장소의 라이선스 분포는 이렇다 (Synopsys Black Duck OSS Audit 2026 통계 기준).

  • MIT — 약 45 ~ 50%
  • Apache 2.0 — 약 20 ~ 25%
  • BSD-3-Clause / BSD-2-Clause — 약 5%
  • GPL family (GPL/LGPL/AGPL) — 약 15%
  • MPL 2.0, EPL, ISC, 기타 OSI 인정 — 약 5%
  • Source-available (BSL, SSPL, FSL, ELv2, RSAL, Confluent CL, FUTO 등) — 합계 1% 미만

즉, 라이선스 반란의 모든 드라마는 시장의 1%에서 벌어지고 있다. 나머지 99%는 여전히 평온하게 MIT나 Apache 2.0이다. 이 사실을 기억하자. 우리가 다룰 BSL·SSPL·FSL은 시장 전체를 흔드는 것이 아니라, 단일 벤더 회사가 만드는 핵심 인프라 컴포넌트(데이터베이스, 검색 엔진, IaC 도구, 모니터링 SaaS의 OSS 컴포넌트)에서만 등장한다.

1.1 MIT — 21줄의 자유

MIT 라이선스의 본문은 영어로 약 170 단어다. 한 줄 요약하면 "공짜로 가져가서 무엇이든 해라. 다만 저작권 고지는 남겨두고, 책임은 우리에게 묻지 마라."

  • 상업적 이용 OK
  • 수정 OK
  • 재배포 OK
  • 사유 라이선스로 재패키징 OK
  • 카피레프트 의무 없음

React, Rails, Express, Vue, Node.js 핵심, Prettier, Bun — 우리가 매일 쓰는 도구의 다수가 MIT다. MIT의 장점은 단순함이고, 단점도 단순함이다. AWS가 React를 가져다 자기 브랜드로 패키징해 팔아도 막을 방법이 없다. 다행히도(?) React는 그런 종류의 비즈니스가 아니다.

1.2 Apache 2.0 — MIT + 특허 보호

Apache 2.0은 MIT의 자유에 두 가지를 더한 라이선스다.

  • 특허 라이선스 명시 — 기여자가 자신의 특허 권리도 함께 양도한다. 즉, 어떤 기여자가 자기 코드 위에 특허를 걸어 사용자를 공격할 수 없다.
  • 트레이드마크 보호 제외 — 라이선스가 트레이드마크 사용 권리를 주지 않는다는 점을 명시한다.

Kubernetes, Kafka, Spark, TensorFlow, Terraform(BSL 이전), Cassandra — 클라우드 네이티브 시대의 거대 프로젝트들이 Apache 2.0를 택한 데는 이유가 있다. 특허 청구로부터의 안전판이 기업 채택을 가능하게 했다.

1.3 GPL 패밀리 — 카피레프트의 마지막 보루

GPL/LGPL/AGPL은 카피레프트(copyleft) 라이선스다. 즉, 이 코드를 가져다 수정해서 배포한다면, 너의 수정본도 같은 라이선스로 공개해야 한다. 일종의 "전염성"이다.

  • GPL v2 / v3 — 바이너리를 배포할 때 소스 공개 의무. Linux 커널이 GPLv2.
  • LGPL — 라이브러리 한정 GPL. 정적/동적 링킹의 차이로 카피레프트 범위가 달라진다.
  • AGPL — GPL의 SaaS 구멍을 막은 버전. 네트워크로 서비스를 제공하는 경우에도 소스 공개 의무. Bruce Perens가 만들었고, 2007년 OSI 승인.

AGPL의 마지막 조항이 결정적이다. 일반 GPL은 "바이너리를 배포할 때"만 소스 공개를 요구한다. 하지만 SaaS는 바이너리를 배포하지 않는다 — 그냥 호스팅해서 API로 제공할 뿐이다. AWS가 MongoDB를 AGPL로 받아 호스팅하면, 수정본 소스도 공개해야 한다. 이것이 MongoDB가 처음에 AGPL을 썼던 이유이고, 동시에 후에 SSPL로 옮긴 이유이기도 하다. AWS는 AGPL이어도 자체 구현(DocumentDB)을 만들어 우회할 수 있었기 때문이다.

2장 · AWS 스트립 마이닝 문제 — 2010년대 후반의 발견

2015년경부터 한 가지 패턴이 명확해졌다. 단일 벤더가 만든 오픈소스 인프라 컴포넌트는 클라우드 시대에 비즈니스 모델이 깨진다. 이유는 단순했다.

  1. AWS/GCP/Azure는 어떤 OSS든 즉시 호스팅 서비스로 출시할 수 있다. 인프라, 마케팅, 영업 채널 모두 갖춰져 있다.
  2. 벤더는 자기 자체 클라우드를 운영할 수 있지만, AWS의 사용자 풀과 가격 경쟁력을 이길 수 없다. AWS는 동일 OSS를 더 싸게, 더 잘 통합되어, 더 신뢰성 있게 제공한다.
  3. AWS는 코드 기여를 거의 하지 않는다. OSS 회사가 R&D 비용을 부담하고, AWS가 매출을 가져간다.

이 패턴이 가장 노골적으로 드러난 사건이 MongoDB → AWS DocumentDB (2019년 1월) 였다. MongoDB가 2018년 SSPL로 옮긴 직후, AWS는 "MongoDB 호환 API"를 표방하는 DocumentDB를 출시했다. MongoDB SSPL 코드를 직접 사용하지 않고 처음부터 새로 구현한 우회 전략이었다. MongoDB CTO Mark Porter는 후에 "DocumentDB는 MongoDB와 34%만 호환된다"고 공개적으로 말했지만, AWS는 그 34%만으로도 충분한 시장을 가져갔다.

비슷한 사건이 이어졌다.

  • Elasticsearch → AWS Open Distro for Elasticsearch (2019년 3월) — AWS는 Elastic의 X-Pack 유료 기능 일부에 해당하는 보안/알림/SQL을 오픈소스로 다시 만들어 뿌렸다. Elastic이 2021년 SSPL로 옮기자, AWS는 다시 포크해 OpenSearch를 만들었다.
  • Redis → AWS ElastiCache — AWS는 오랫동안 Redis OSS를 ElastiCache로 호스팅해 큰 매출을 만들었다. 2024년 Redis가 라이선스를 바꾸자 AWS는 Linux Foundation 후원의 Valkey 포크를 시작했다.

OSS 회사들의 좌절은 본질적으로 같은 문장이었다. "우리가 만든 것을 AWS가 팔고, 우리는 망해 가고 있다." 이 진단이 정확한지는 논쟁의 여지가 있다(Red Hat은 정확히 동일한 환경에서 340억 달러 매출을 만들었다). 그러나 그 정서가 라이선스 전쟁의 정치적 연료가 되었다.

3장 · MongoDB와 SSPL의 탄생 (2018)

2018년 10월 16일, MongoDB Inc는 Server Side Public License v1을 발표했다. 핵심은 AGPL을 한 발 더 밀고 나간 것이었다.

SSPL 핵심 조항 (의역):
"이 소프트웨어를 third party에 서비스로 제공한다면,
 그 서비스 전체의 소스 코드를 공개해야 한다.
 — 관리 도구, 모니터링, 백업, 로드 밸런서, 사용자 인증을 포함한 전부."

AGPL은 "수정된 OSS 자체의 소스"를 요구한다. SSPL은 **"OSS를 둘러싼 운영 인프라 전체의 소스"**를 요구한다. AWS의 입장에서 이는 사실상 사용 불가능하다 — DocumentDB를 제공하려면 AWS의 내부 운영 시스템까지 공개해야 한다는 뜻이기 때문이다.

3.1 OSI의 반응 — "이건 오픈소스가 아니다"

MongoDB는 SSPL을 OSI에 승인 신청했다. 2021년 1월, OSI는 명확히 거부했다.

"SSPL은 OSI 오픈소스 정의(OSD)의 6번 조항 — 'No Discrimination Against Fields of Endeavor' — 를 위반한다. 특정 사업 영역(클라우드 호스팅)을 차별하기 때문이다."

이 판정이 결정적이었다. SSPL은 그때부터 "source-available"이라 불리며, 오픈소스가 아닌 별도의 카테고리에 놓이게 되었다. 이는 단순한 단어 싸움이 아니다. 많은 기업의 컴플라이언스 정책이 "OSI 승인 오픈소스만 허용"이라는 규정을 갖고 있기 때문이다.

3.2 MongoDB의 결말 — 시장에서 살아남았다

논쟁은 격렬했지만, MongoDB의 비즈니스는 무너지지 않았다. 오히려 SSPL 전환 이후 MongoDB Atlas의 비중이 점점 커져, 2026년 현재 MongoDB 전체 매출의 70% 이상이 Atlas에서 나온다. 라이선스가 비즈니스를 직접 살린 것은 아니지만 — 적어도 죽이지도 않았다.

4장 · 반란의 타임라인 — 한눈에 보는 8년

2010 ────────────────────────────────────────────────────────────── 2026
       퍼미시브 황금기                                반란기와 정상화

2010    Redis 출시 (BSD 3-Clause)
2011    HashiCorp 창업, Terraform = MPL 2.0
2012    Elasticsearch 1.0 (Apache 2.0)
2018-10 MongoDB → SSPL  ← AWS DocumentDB 출시 직전
2019-01 AWS DocumentDB 출시
2019-03 AWS Open Distro for Elasticsearch
2021-01 Elastic → SSPL + ELv2   ← Apache 2.0 포기
2021-04 AWS → OpenSearch 포크
2021-01 OSI: SSPL은 오픈소스 아님 (공식 판정)
2023-08 HashiCorp → BSL 1.1     ← Terraform, Vault, Consul, Nomad
2023-09 OpenTofu (Terraform 포크) 발표, Linux Foundation 가입
2023-11 Sentry → FSL 발명, 2년 뒤 Apache 2.0 자동 전환
2024-01 OpenTofu 1.6 정식 출시
2024-03 Redis → SSPL + RSALv2   ← AWS ElastiCache 견제
2024-03 Linux Foundation → Valkey 포크 (Redis OSS의 후속)
2024-08 Elastic → AGPLv3 옵션 추가  ← OSI 오픈소스로 복귀
2025-02 IBM → HashiCorp 인수 완료
2025-04 OpenTofu, CNCF 인큐베이션 프로젝트로 승격
2025-05 Redis → AGPLv3 옵션 추가  ← OSI 오픈소스로 복귀
2025-11 Salvatore Sanfilippo, Redis 복귀 (developer evangelist)
2026-05 현재: 반란의 결말, 부분적 회귀

이 타임라인을 보면 공통 패턴이 보인다. (1) 단일 벤더 OSS가 (2) AWS의 호스팅 출시를 겪고 (3) 비-OSI 라이선스로 옮기고 (4) 커뮤니티 포크가 나오며 (5) 결국 일부는 OSI 라이선스로 회귀한다. 이 패턴을 우리는 **"라이선스 진자(license pendulum)"**라 부를 수 있다.

5장 · Elastic 아크 — Apache 2.0 → SSPL → AGPL의 4년

5.1 2021년 1월의 충격

Elastic CEO Shay Banon이 블로그에 글을 올렸을 때, 검색·로깅 업계는 한 차례 멈췄다. Elasticsearch와 Kibana가 Apache 2.0에서 SSPL + ELv2(Elastic License v2) 듀얼 라이선스로 옮긴다는 것이었다.

Banon의 명분은 익숙했다.

"We're forking ourselves so that nobody else needs to fork us."

AWS가 Open Distro for Elasticsearch라는 포크를 운영하는 상황에 대한 답이었다. 하지만 OSS 커뮤니티의 반응은 차가웠다. "10년간 Apache 2.0이라는 약속을 받고 기여한 사람들에 대한 배신"이라는 비판이 쏟아졌다.

5.2 AWS의 답 — OpenSearch 포크 (2021년 4월)

3개월 뒤 AWS는 마지막 Apache 2.0 버전(7.10.2)에서 포크한 OpenSearch를 발표했다. 2026년 현재 OpenSearch는 Linux Foundation 산하 프로젝트가 되었고, AWS 외에도 Aiven, Logz.io, Bonsai 등이 코어 기여자다. Elastic이 우려한 "검색 시장의 분할"이 실제로 일어났다.

5.3 2024년 8월 — AGPL로의 회귀

3년 반 뒤, Elastic은 다시 한 번 라이선스를 바꾼다. AGPLv3를 SSPL과 ELv2 옆에 추가한 트리플 라이선스로 전환. Banon은 블로그에 "We are now an Open Source Initiative-approved open source company again"이라고 적었다.

배경에는 두 가지 계산이 있었다.

  1. 상처 회복: Elastic이 입은 평판의 손실은 컸다. OSI 승인 라이선스 복귀는 그 일부라도 회복하기 위한 시도였다.
  2. OpenSearch와의 격차 축소: OpenSearch가 커지자, Elastic은 다시 OSS 커뮤니티의 마인드셰어를 되찾을 필요가 있었다.

AGPL은 SSPL보다 약한 카피레프트지만 OSI 승인이다. AWS는 AGPL 코드를 그대로 호스팅 서비스로 팔 수 있다(소스를 공개한다면). 즉, Elastic은 AWS와의 경쟁 견제력을 일부 포기하고 OSI 배지를 다시 얻은 것이다. 비즈니스적 계산이지, 이타적 선택은 아니다.

6장 · Redis 아크 — 2024년의 데자뷔

6.1 2024년 3월의 충격

2024년 3월 20일, Redis Inc는 Redis 7.4부터 라이선스를 SSPL + RSALv2(Redis Source Available License v2) 듀얼로 바꾼다고 발표했다. 명분은 Elastic 때와 같았다 — "AWS, GCP, Azure가 Redis OSS를 그대로 호스팅 사업으로 만든다."

6.2 Valkey 포크 — 6일 만의 답

발표 6일 뒤, Linux Foundation은 Valkey라는 Redis 포크를 발표했다. AWS, Google Cloud, Oracle, Ericsson, Snap이 창립 멤버였다. 마지막 BSD 3-Clause 버전인 Redis 7.2.4에서 출발했다. 6개월 만에 Valkey 8.0이 나왔고, 2026년 현재 다수의 클라우드 사업자가 Redis 대신 Valkey를 호스팅한다.

특기할 점은 Redis 원작자 Salvatore Sanfilippo("antirez")의 입장이었다. 그는 2024년에는 Redis를 떠나 있었지만, 2024년 11월 Redis Inc에 developer evangelist로 복귀한다고 발표했다. 이 결정은 Redis의 라이선스 미래에 영향을 미쳤다.

6.3 2025년 5월 — AGPL 추가

Salvatore의 복귀 약 6개월 뒤, Redis는 Redis 8부터 AGPLv3를 세 번째 라이선스 옵션으로 추가했다. 이제 사용자는 RSALv2, SSPLv1, AGPLv3 셋 중 하나를 고를 수 있다. Elastic의 패턴을 거의 그대로 따랐다.

Redis 측 입장은 명확했다.

"We made a mistake. We are returning to OSI-approved open source — but on our terms, with AGPLv3."

커뮤니티 반응은 엇갈렸다. Percona의 Vadim Tkachenko는 "환영하지만 본질적으로 마케팅 무브"라 평가했다. Valkey는 이미 충분한 모멘텀을 얻었고, 많은 클라우드 사업자가 Redis로 돌아갈 동기를 잃은 상태였다. 라이선스를 되돌릴 수는 있지만, 신뢰는 되돌릴 수 없다.

7장 · HashiCorp와 OpenTofu — IaC 진영의 분열

7.1 2023년 8월의 BSL 전환

HashiCorp는 2023년 8월 10일, Terraform·Vault·Consul·Nomad·Boundary·Waypoint·Packer를 일제히 MPL 2.0에서 **BSL 1.1(Business Source License)**로 옮겼다. 마리아DB가 만든 BSL은 다음과 같은 구조다.

  • 소스 공개: OK, 누구나 볼 수 있다.
  • 사용 제한: 명시된 "Additional Use Grant"를 벗어난 경우 상업적 이용 불가. HashiCorp의 경우, "HashiCorp의 제품과 경쟁하는 상품/서비스를 제공"하는 것이 제한 대상.
  • 4년 후 자동 전환: 4년이 지나면 자동으로 MPL 2.0 등 오픈소스 라이선스로 전환.

표면적으로는 "4년만 기다리면 다시 OSS"라는 점에서 SSPL보다 부드럽다. 하지만 핵심은 그 4년 동안 클라우드 사업자가 Terraform Cloud 같은 호스팅 서비스를 만들 수 없게 막는 것이었다.

7.2 OpenTofu — 한 달 만의 포크

발표 한 달 뒤인 2023년 9월, OpenTF Manifesto가 공개되었다. Gruntwork, Spacelift, env0, Scalr, Harness 등 Terraform 생태계 회사들이 모여 만든 선언문이었다. 핵심 요구는 단순했다.

  1. HashiCorp가 Terraform을 다시 MPL 2.0으로 되돌릴 것.
  2. 그렇지 않으면 우리는 포크한다.
  3. 포크는 Linux Foundation 산하로 가져갈 것.

HashiCorp는 거절했다. 9월 20일 OpenTF Foundation이 결성되었고, 11월에는 OpenTofu라는 이름을 받았다(상표권 충돌 회피). 2024년 1월에 OpenTofu 1.6.0이 GA로 나왔다.

7.3 2026년 현재의 풍경

  • OpenTofu 1.9 (2026년 5월) — for_each 키 분리, 스테이트 암호화, 동적 프로바이더 등 Terraform에는 없는 기능을 먼저 출시.
  • CNCF 인큐베이션 — 2025년 4월 정식 채택. 다중 벤더 거버넌스 안정화.
  • IBM의 HashiCorp 인수 — 2025년 2월 완료. Terraform이 IBM 클라우드 도구 라인업의 한 축이 됨.

OpenTofu와 Terraform은 2026년 시점에서 코어가 다르다. Terraform 1.6 이후의 기능 일부를 OpenTofu가 따라가지 않고, 반대로 OpenTofu의 신기능을 Terraform이 도입하지 않는다. State 파일 포맷도 미묘하게 분기되었다. 사실상 두 개의 다른 도구가 된 것이다.

스타트업에게 결정 기준은 명확하다.

  • IBM/HashiCorp 엔터프라이즈 지원이 필요 → Terraform
  • 베더 락인 없는 OSS만 고집 → OpenTofu
  • AWS/Azure/GCP 셋 다 자유롭게 → OpenTofu가 더 안전

8장 · Sentry와 FSL — "2년 뒤 Apache 2.0"

8.1 BSL에 대한 비판

BSL의 4년 전환 기간은 길었다. "4년 뒤 OSS"는 어떤 의미에서는 "지금은 OSS 아님"과 같았다. 또한 BSL의 "Additional Use Grant"는 텍스트가 길고 모호해서, 컴플라이언스 팀이 해석에 어려움을 겪었다.

8.2 FSL의 발명 (2023년 11월)

Sentry CEO David Cramer와 Heather Meeker(BSL의 원작자 변호사)가 협력해 **Functional Source License(FSL)**를 만들었다. 핵심은 BSL을 더 단순하고 짧게 다듬은 것이다.

FSL 핵심:
- "Permitted Purpose": 무엇이든 OK, 단 "Competing Use" 제외
- "Competing Use": 라이선서의 제품과 직접 경쟁하는 상품 제공
- 2년 뒤 자동 전환: Apache 2.0 또는 MIT 중 선택
- Sentry는 Apache 2.0 선택

BSL과 다른 점은 두 가지다.

  1. 전환 기간 단축: 4년 → 2년. 이것이 결정적이다. 2년이면 기술 사이클상 "거의 동시대"다.
  2. 언어 단순화: BSL의 "Additional Use Grant" 자리를 "Permitted Purpose / Competing Use" 두 단어로 줄였다.

8.3 Sentry의 결정 — 회귀

흥미롭게도 Sentry 자체는 2024년 말 FSL에서 다시 BUSL로 바꿨다(Sentry 자체 호스팅과 Codecov 호스팅 영역에서). 이유는 "Competing Use" 정의가 너무 좁다는 것이었다. 즉, FSL은 살아남았지만 발명자 자신은 다른 길로 갔다.

FSL을 이어받은 회사들은 있다.

  • Convex (실시간 데이터베이스)
  • Keygen (라이선스 관리)
  • 상당수의 SaaS 컴포넌트 OSS화

FSL은 BSL의 "더 정직한" 버전으로 자리매김했다. "우리는 OSS 흉내를 내지 않는다, 2년 뒤에는 진짜 OSS가 된다." 이 약속이 더 신뢰성 있게 들린 것이다.

9장 · 기타 라이선스들 — CockroachDB, Confluent, FUTO

9.1 CockroachDB → BSL → 엔터프라이즈

CockroachDB Labs는 2019년에 BSL로 옮겼고, 2024년에는 **코어 부분을 완전히 사유 라이선스(CockroachDB Enterprise License)**로 만들었다. 즉, 더 이상 무료 셀프호스팅이 가능하지 않다. 가장 강경한 경로를 택한 케이스다.

스타트업이 CockroachDB를 도입할 때는 이 점을 알아야 한다. "OSS DB"라는 이미지로 시작했지만, 2026년 현재는 사실상 엔터프라이즈 라이선스가 필요한 상용 제품이다.

9.2 Confluent Kafka — Confluent Community License

Apache Kafka 자체는 Apache 2.0이다. 그러나 Confluent가 만든 부속 컴포넌트(KSQL, Schema Registry의 일부, Kafka Connect의 커넥터 다수)는 Confluent Community License(CCL) 라는 자체 라이선스다.

CCL의 핵심 제약: "Kafka SaaS를 제공하는 사업"에 사용 불가. AWS MSK(Managed Streaming for Kafka)는 Confluent의 부속 컴포넌트를 사용할 수 없다는 뜻이다. 결과적으로 AWS MSK는 KSQL이나 Schema Registry 같은 도구를 자체적으로 다시 만들어야 했다.

9.3 FUTO와 "Source First"

Eron Wolf가 만든 FUTO는 2024년 자체 FUTO License를 발표했다. 핵심 조항은 "비상업적 사용은 자유, 상업적 사용은 명시적 허가 필요"다. OSI 정의로는 명백히 비-오픈소스다.

흥미로운 것은 FUTO 측의 수사다. 그들은 "오픈소스" 대신 "Source First"라는 새 용어를 쓴다. OSI 정의에 도전하는 것이 아니라, **"OSS의 사회적 기능(투명성, 학습 가능성, 자유로운 수정)은 제공하지만 OSI 정의는 따르지 않는다"**고 명시적으로 분리한다.

OSI는 이 움직임을 곱게 보지 않는다. "open source"라는 단어의 정의 자체에 대한 도전이기 때문이다. 그러나 2026년 현재 "source-available", "fair-code", "source-first" 같은 새 카테고리가 사실상 정착되었다. OSS의 단일 정의는 깨지고 있다.

10장 · OSI 정의 싸움 — "오픈소스"는 누구의 단어인가

10.1 OSD — 10개의 조항

OSI(Open Source Initiative)는 1998년 설립되었고, Open Source Definition(OSD) 10개 조항을 유지한다. 핵심 몇 개를 짚어보자.

  1. 자유 재배포 (Free Redistribution) — 누구든 자유롭게 재배포 가능.
  2. 소스 코드 (Source Code) — 소스 코드 포함 또는 무료 접근 가능.
  3. 파생물 (Derived Works) — 수정과 파생물 허용.
  4. 저자 소스의 무결성 (Integrity of The Author's Source Code) — 패치 형태로 수정본 배포할 수 있어야.
  5. 개인/그룹 차별 금지 (No Discrimination Against Persons or Groups)
  6. 사용 분야 차별 금지 (No Discrimination Against Fields of Endeavor)이 조항이 SSPL을 막았다.
  7. 라이선스 배포 (Distribution of License)
  8. 제품 특정 금지 (License Must Not Be Specific to a Product)
  9. 다른 소프트웨어 제한 금지 (License Must Not Restrict Other Software)
  10. 기술 중립 (License Must Be Technology-Neutral)

10.2 6번 조항의 무게

6번 — "사용 분야 차별 금지". 이것이 핵심이다. SSPL, BSL, FSL, CCL, FUTO 모두 한 가지 공통점이 있다 — 클라우드 호스팅 사업이라는 특정 사업 영역에 제한을 둔다. 이는 6번 조항 위반이다.

OSI의 입장은 일관적이다. "라이선스가 누군가의 사용을 막는다면, 그것은 오픈소스가 아니다." 이것은 단지 단어의 문제가 아니다. GPL부터 MIT까지 모든 OSI 승인 라이선스가 6번을 따른다. 그것이 OSS 생태계의 신뢰 기반이다.

10.3 "Source-Available" 진영의 반박

벤더 측 반박도 명확하다.

"OSI 정의는 1998년에 만들어졌다. 그 시대의 적은 마이크로소프트의 사유 라이선스였다. 2026년의 적은 다르다 — AWS의 무한 자본 기반 클라우드 호스팅이다. 1998년의 정의로 2026년의 위협을 막을 수 없다."

이 논쟁은 해결되지 않았다. OSI는 "open source"라는 단어를 지키고, 벤더는 "source-available"이라는 새 단어를 받아들이는 — 일종의 정착이 일어났다. 그 너머에는 더 큰 질문이 있다: "오픈소스 회사가 비즈니스로 살아남을 수 있는가?" 이 질문에 대한 답은 아직 누구도 명확히 갖고 있지 않다.

11장 · 라이선스 vs 권리 매트릭스 (2026)

라이선스별로 사용자가 가지는 권리를 매트릭스로 비교하면 다음과 같다. Y는 허용, N은 금지, C는 조건부.

권리MITApache 2.0GPL v3AGPL v3BSL 1.1SSPL v1FSL 1.1ELv2RSALv2CCL
코드 열람YYYYYYYYYY
내부 수정·사용YYYYYYYYYY
사유 라이선스로 재배포YYNNCCCCCC
카피레프트 의무NNYY(net)NY(strong)NNNN
특허 라이선스 명시NYYYNYNNNN
클라우드 호스팅 사업YYYY(공개시)N(조건부)C(전체공개)N(2년간)NNN
OSI 승인YYYYNNNNNN
시간 후 OSS 전환----4년 후-2년 후---

이 매트릭스가 결정에 도움이 된다. OSI 배지가 필요하면 GPL 패밀리 또는 퍼미시브뿐이다. 클라우드 사업 견제력이 필요하면 SSPL/BSL/FSL/ELv2 중 하나다. 시간이 답이라면(언젠가 OSS로) FSL이 가장 빠르다(2년).

12장 · 의미 — 누구에게 어떻게 영향을 주는가

12.1 스타트업: OSS DB/컴포넌트를 고를 때

핵심 질문 — "이 라이선스의 변경 위험이 얼마나 큰가?"

스타트업이 데이터 인프라에 의존할 때, 라이선스 변경은 직격탄이다. 그래서 다음 순서로 평가해야 한다.

  1. 벤더 락인 위험 — 단일 회사가 통제하는 OSS인가, 다중 벤더 거버넌스(CNCF, Linux Foundation, Apache Foundation)인가?
  2. 퍼미시브 vs 카피레프트 — 우리 코드가 OSS 코드를 임베드하는가, 별도 프로세스로 분리하는가?
  3. 호스팅 가능성 — 우리 서비스가 사실상 "이 OSS의 호스팅 서비스"가 될 수 있는가?
  4. 장기 의존도 — 5년 뒤에도 이 컴포넌트가 필요한가?

12.2 클라우드 벤더: 호스팅 사업

AWS·GCP·Azure 입장에서 라이선스 풍경은 점점 복잡해진다. 2026년 현재의 대응 패턴:

  • 포크 + 자체 운영: OpenSearch, Valkey. AWS가 직접 포크해 자체 호스팅.
  • 별도 구현: DocumentDB. SSPL 코드를 쓰지 않고 호환 API만 제공.
  • 수익 분배 계약: 일부 OSS 회사와 직접 수익 분배. Confluent ↔ AWS, MongoDB ↔ AWS의 일부 협업.
  • 인수: HashiCorp → IBM, GitLab → 시도 등.

12.3 OSS 프로젝트: 지속 가능성

OSS 프로젝트의 메인테이너 입장에서 라이선스 결정은 곧 비즈니스 모델 결정이다. 2026년의 합의된 패턴이 있다면 이것이다.

  1. 순수 OSS 단일 벤더는 어렵다 — Red Hat 모델은 예외적 규모와 시기에만 통한다.
  2. 클라우드 사업자와의 정면 충돌은 자해다 — AWS와 직접 경쟁하는 호스팅 사업으로 이기기는 거의 불가능.
  3. Open Core가 가장 현실적 — 핵심은 OSS, 부가 기능은 사유.
  4. 재단 이관이 신뢰를 만든다 — CNCF, Linux Foundation, Apache 산하로 가는 순간 라이선스 변경 위험이 사라진다.

13장 · 라이선스 결정 트리 (스타트업/메인테이너용)

새 OSS 프로젝트의 라이선스를 결정해야 한다면, 다음 순서로 묻는다.

[1] 이 프로젝트는 단일 회사가 주도하는가?
    ├─ Yes → [2]
    └─ No (재단/다중 벤더 기반) → Apache 2.0 권장. 끝.

[2] 5년 내 SaaS/호스팅 비즈니스로 만들 의도가 있는가?
    ├─ Yes → [3]
    └─ No (순수 OSS, 컨설팅/서포트 모델) → MIT 또는 Apache 2.0. 끝.

[3] 호스팅 비즈니스의 직접 경쟁자(AWS/GCP/Azure)가 위협인가?
    ├─ Yes → [4]
    └─ No (기업 내부 도구, B2B SaaS 중심) → Apache 2.0 + 상표권 강화. 끝.

[4] OSI 승인 배지가 컴플라이언스에 필수인가?
    ├─ Yes → AGPLv3. 끝. (Elastic·Redis가 선택한 경로)
    └─ No → [5]

[5] "언젠가 OSS로 돌려준다"는 약속을 명시적으로 하고 싶은가?
    ├─ Yes, 2년 → FSL 1.1
    ├─ Yes, 4년 → BSL 1.1
    └─ No, 영구 사유 → ELv2 또는 자체 라이선스 (Codeium 모델)

이 트리는 절대적이지 않다. 그러나 자신이 어느 노드에서 어떤 답을 했는지를 명시적으로 추적해두면, 미래에 라이선스를 바꾸어야 할 때 — 그 변경의 정당성을 외부에 설명할 수 있다. Elastic과 Redis가 라이선스를 바꾼 뒤 받은 비난의 상당 부분은 "왜 그렇게 결정했는지를 처음부터 말하지 않았기 때문"이었다.

14장 · 안티 패턴 — 이렇게 하면 안 된다

라이선스 결정에서 자주 보는 실수들을 정리한다.

14.1 "오픈소스"라는 단어를 잘못 쓰는 것

비-OSI 라이선스를 "open source"라 부르는 순간 OSI와 충돌하고, 컴플라이언스 팀이 도입을 막는다. 2026년 현재, 정확한 단어는 "source-available"이다. 이를 분명히 하라.

14.2 갑작스러운 라이선스 변경

Elastic과 Redis가 가장 비싼 대가를 치른 부분이다. 라이선스 변경은 최소 6개월 전부터 예고하고, 명분과 데이터를 함께 공개하라. "갑자기"는 거의 항상 신뢰를 깬다.

14.3 CLA(Contributor License Agreement) 없이 듀얼 라이선스 시작

기여자가 자기 코드의 저작권을 보유한 상태에서는 회사가 라이선스를 마음대로 못 바꾼다. 상업화 의도가 있다면 처음부터 CLA 또는 DCO + 저작권 양도를 받아야 한다. Redis가 라이선스를 바꿀 수 있었던 것도 모든 기여자 코드의 저작권이 Redis Inc에 있었기 때문이다.

14.4 "AWS가 위협"이라는 잘못된 명분

대부분의 OSS 프로젝트에 AWS는 위협이 아니다. AWS가 호스팅하기에 충분히 큰 OSS는 극소수다. 자기 프로젝트가 그 극소수에 속하지 않는다면, AWS 견제 명목의 BSL/SSPL은 자기 발등에 도끼다. 채택 속도만 떨어뜨린다.

14.5 4중 라이선스의 함정

Elastic은 현재 AGPLv3 + SSPLv1 + ELv2 세 가지를 동시에 제공한다. 이는 "사용자가 골라라"는 친절이지만 컴플라이언스 팀에는 악몽이다. 어떤 라이선스가 적용되는지 명시적으로 선택해야 하고, 그 선택이 부속 컴포넌트 전체에 일관적으로 적용되어야 한다.

에필로그 — 8년 뒤, 우리는 무엇을 배웠는가

2018년 MongoDB의 SSPL 발표부터 2025년 Redis의 AGPL 복귀까지 — 8년이었다. 그 사이 우리가 배운 것을 정리하면 짧다.

  • 라이선스는 비즈니스 모델의 표현이지, 비즈니스 모델 자체가 아니다. 라이선스를 바꾼다고 매출이 늘지 않는다.
  • 클라우드 사업자를 라이선스로 막을 수 있다는 발상은 부분적으로만 옳다. AWS는 우회 구현(DocumentDB), 포크(OpenSearch, Valkey)로 거의 항상 응답한다.
  • OSI 배지의 가치는 크다. 컴플라이언스, 채용, PR — 모든 측면에서 작용한다. 그래서 Elastic과 Redis가 결국 AGPL로 돌아온 것이다.
  • 재단 이관이 신뢰의 최종 형태다. CNCF·Linux Foundation 산하의 프로젝트는 라이선스 변경 위험이 사실상 없다.
  • 8년의 진자 운동 결과 — 시장은 정상화되고 있다. SSPL/BSL은 살아남았지만 극소수 영역에 한정되었고, 다수의 회사가 AGPL이나 Open Core로 회귀했다.

이 글을 읽는 당신이 2026년에 오픈소스 컴포넌트 하나를 고른다면, 마지막 체크리스트는 이렇다.

의사결정 체크리스트 — OSS 도입 시

  • 이 OSS의 라이선스는 OSI 승인인가? (MIT, Apache 2.0, BSD, GPL, AGPL, MPL, EPL)
  • 단일 회사가 통제하는가, 재단(CNCF/LF/ASF)이 통제하는가?
  • 최근 5년 내 라이선스 변경이 있었는가? 변경 가능성은?
  • 포크 버전이 존재하는가? 메인 트렁크 대비 채택률은? (OpenSearch, Valkey, OpenTofu 등)
  • 우리 사용 패턴이 AGPL 카피레프트의 트리거를 발동하는가? (네트워크로 노출 + 사용자가 외부)
  • 컴플라이언스 정책이 SSPL/BSL/FSL을 허용하는가?
  • 5년 뒤에도 이 컴포넌트가 필요할 가능성이 있는가? 그렇다면 마이그레이션 경로는?

다음 글 예고

다음 글에서는 2026년 오픈소스 거버넌스의 거시 풍경 — 재단(CNCF, Linux Foundation, Apache, Eclipse)의 역할 변화, 정부 규제(EU CRA, US 행정명령)가 OSS에 미치는 영향, AI 모델 가중치는 오픈소스인가에 대한 답 없는 질문 — 을 다룬다. 라이선스가 한 줄의 글자라면, 거버넌스는 그 글자가 살아 움직이는 정치 구조다.

참고 / References

Open Source Licensing 2026 — BSL, SSPL, FSL, and 8 Years of Rebellion Against the Cloud — A Deep Dive (2026)

Prologue — "AWS is hosting my database"

Autumn 2018. MongoDB CTO Eliot Horowitz posted a sentence on the company blog.

"We have made the difficult decision to relicense MongoDB Server."

The surface justification was one line. Underneath was a seed that would grow into an eight-year dispute. Cloud providers were taking open source software and reselling it as a hosted service, contributing nothing back to the companies that built it. MongoDB called it "strip-mining" — like a mine emptied of ore, AWS was hauling the value out.

Whether the diagnosis was right or not, MongoDB's decision lit the fuse. SSPL — the Server Side Public License. The name said "Public License," but the OSI ultimately refused to bless it as open source. After MongoDB came Elastic, Redis, Confluent, CockroachDB, MariaDB, HashiCorp, Sentry — each making a version of the same call. All of them framed it as self-defense against AWS.

In 2026 we are near the end of this rebellion. Elastic added AGPLv3 as an option in August 2024 and returned to OSI-approved open source. Redis followed in May 2025. HashiCorp was acquired by IBM, while OpenTofu took its place as a CNCF project. Sentry invented FSL — the Functional Source License — promising automatic conversion to Apache 2.0 after two years. FUTO minted "Source First."

This piece walks through that eight-year license war — what happened, why, and why that one-line license field matters when you pick a database in 2026. It is neither apologia nor accusation. The goal is to give you the tools to decide.

1. The Permissive Baseline — 90% of OSS is still MIT or Apache 2.0

Before discussing the license war, let us set the scene. The license distribution of public GitHub repositories in 2026, per the Synopsys Black Duck OSS Audit:

  • MIT — roughly 45 to 50%
  • Apache 2.0 — roughly 20 to 25%
  • BSD-3-Clause and BSD-2-Clause — about 5%
  • GPL family (GPL/LGPL/AGPL) — about 15%
  • MPL 2.0, EPL, ISC, other OSI-approved — about 5%
  • Source-available (BSL, SSPL, FSL, ELv2, RSAL, Confluent CL, FUTO, etc.) — under 1% combined

Every dramatic license fight in this post is happening inside that 1% of the market. The other 99% remains placidly MIT or Apache 2.0. Hold that thought. BSL, SSPL, and FSL are not shaking the entire market — they appear specifically in single-vendor infrastructure components (databases, search engines, IaC tools, the OSS parts of monitoring SaaS).

1.1 MIT — twenty-one lines of freedom

The MIT license text is about 170 words. Summary: "Take it for free, do whatever you want, just keep the copyright notice and do not blame us."

  • Commercial use OK
  • Modification OK
  • Redistribution OK
  • Repackaging under a proprietary license OK
  • No copyleft obligation

React, Rails, Express, Vue, Node.js core, Prettier, Bun — most of the daily-use tools we ship are MIT. MIT's strength is its simplicity, and its weakness is the same. If AWS were to take React, brand it as their own, and resell it, there is no legal mechanism to stop them. Fortunately(?) React is not the kind of business that gets stripmined.

1.2 Apache 2.0 — MIT plus patent protection

Apache 2.0 layers two things on top of MIT's permissions.

  • Explicit patent grant — contributors grant patent rights with their code. A contributor cannot later attack users with a patent on what they contributed.
  • Trademark carve-out — the license is explicit that it does not grant trademark rights.

Kubernetes, Kafka, Spark, TensorFlow, Terraform (pre-BSL), Cassandra — the big cloud-native projects picked Apache 2.0 for a reason. The patent shield made enterprise adoption possible.

1.3 The GPL family — the last bastion of copyleft

GPL/LGPL/AGPL are copyleft licenses. The shape is the same: if you take this code, modify it, and distribute the result, your derivative must also be released under the same license. Think of it as contagious.

  • GPL v2 and v3 — when you distribute the binary, you must release the source. The Linux kernel is GPLv2.
  • LGPL — the library-scoped variant. Static versus dynamic linking changes the copyleft reach.
  • AGPL — GPL with the SaaS loophole closed. You must release source even when serving the software over a network. Bruce Perens authored it; OSI approved it in 2007.

The last clause is what made AGPL load-bearing. Plain GPL only triggers source release "when you distribute the binary." SaaS does not distribute binaries — it just hosts the software behind an API. AWS hosting MongoDB under AGPL would force AWS to publish its modifications. That is why MongoDB picked AGPL originally, and also why MongoDB later moved off of AGPL — AWS sidestepped AGPL by writing a clean-room reimplementation called DocumentDB.

2. The AWS Strip-Mining Problem — late 2010s

By around 2015 a pattern became clear. Open source infrastructure built by a single vendor breaks as a business model in the cloud era. The reasons were simple.

  1. AWS, GCP, and Azure can stand up a hosted version of any OSS overnight. They already have the infrastructure, marketing, and sales machine.
  2. The vendor can run their own cloud, but cannot beat AWS on user pool or price. AWS sells the same OSS cheaper, better integrated, with more reliability.
  3. AWS contributes almost no code back upstream. The OSS vendor pays the R and D cost; AWS captures the revenue.

The clearest example was MongoDB to AWS DocumentDB (January 2019). Right after MongoDB moved to SSPL in late 2018, AWS launched DocumentDB — a "MongoDB-compatible API" built without reusing any SSPL code. A clean-room implementation that routed around the license. MongoDB CTO Mark Porter later said publicly that DocumentDB was 34% compatible with MongoDB, but 34% was enough to capture meaningful market share.

The same script repeated.

  • Elasticsearch to AWS Open Distro for Elasticsearch (March 2019) — AWS reimplemented parts of the X-Pack paid features (security, alerting, SQL) as open source. When Elastic moved to SSPL in 2021, AWS forked again as OpenSearch.
  • Redis to AWS ElastiCache — AWS had hosted open source Redis as ElastiCache for years, building substantial revenue. When Redis relicensed in 2024, AWS pivoted to the Linux Foundation-backed Valkey fork.

The frustration of OSS vendors boiled down to one sentence: "We built it, AWS sells it, and we are going under." Whether that diagnosis is precise is debatable — Red Hat built a 34-billion-dollar revenue business in exactly the same environment. But the sentiment became the political fuel of the license war.

3. MongoDB and the Birth of SSPL (2018)

On October 16, 2018, MongoDB Inc published the Server Side Public License v1. The core idea was AGPL pushed one notch further.

SSPL core clause (paraphrase):
"If you offer this software as a service to third parties,
 you must release the source code of the entire service —
 including the management, monitoring, backup, load balancing,
 and user authentication that supports it."

AGPL demands "source for the modified OSS itself." SSPL demands "source for everything around the OSS too." From AWS's perspective this is effectively unusable — running DocumentDB on SSPL would require AWS to publish its internal operations stack.

3.1 The OSI's verdict — "this is not open source"

MongoDB submitted SSPL to OSI for approval. In January 2021 OSI rejected it.

"SSPL violates clause 6 of the Open Source Definition — 'No Discrimination Against Fields of Endeavor' — because it discriminates against a specific field, namely cloud hosting."

This ruling was decisive. From that moment SSPL was filed under 'source-available,' a separate bucket distinct from open source. This is not a vocabulary spat. Many enterprise compliance policies say "only OSI-approved open source is allowed."

3.2 MongoDB's outcome — it survived

The debate was loud, but MongoDB's business did not collapse. The opposite, in fact — after the SSPL switch, Atlas's share of revenue rose steadily, and by 2026 Atlas accounts for over 70% of MongoDB's revenue. The license did not directly save the business, but it did not kill it either.

4. Timeline of the Rebellion — eight years at a glance

2010 ───────────────────────────────────────────────────────────── 2026
       The permissive golden era                  Rebellion and normalization

2010    Redis released (BSD 3-Clause)
2011    HashiCorp founded; Terraform under MPL 2.0
2012    Elasticsearch 1.0 (Apache 2.0)
2018-10 MongoDB to SSPL    just before AWS DocumentDB
2019-01 AWS DocumentDB launches
2019-03 AWS Open Distro for Elasticsearch
2021-01 Elastic to SSPL + ELv2    Apache 2.0 abandoned
2021-04 AWS forks to OpenSearch
2021-01 OSI: SSPL is not open source (official ruling)
2023-08 HashiCorp to BSL 1.1    Terraform, Vault, Consul, Nomad
2023-09 OpenTofu (Terraform fork) announced, Linux Foundation
2023-11 Sentry invents FSL — auto-convert to Apache 2.0 after 2 years
2024-01 OpenTofu 1.6 GA
2024-03 Redis to SSPL + RSALv2    against AWS ElastiCache
2024-03 Linux Foundation forks Valkey (successor to OSS Redis)
2024-08 Elastic adds AGPLv3 option    returns to OSI open source
2025-02 IBM completes HashiCorp acquisition
2025-04 OpenTofu becomes a CNCF incubation project
2025-05 Redis adds AGPLv3 option    returns to OSI open source
2025-11 Salvatore Sanfilippo rejoins Redis (developer evangelist)
2026-05 Present: end of the rebellion, partial rollback

Looking at this timeline, a common pattern emerges. (1) Single-vendor OSS (2) experiences an AWS hosted launch (3) moves to a non-OSI license (4) gets community-forked, and (5) some eventually return to an OSI license. We can call this the "license pendulum."

5. The Elastic Arc — Apache 2.0 to SSPL to AGPL in four years

5.1 The shock of January 2021

When Elastic CEO Shay Banon posted his blog, the search and logging industry briefly paused. Elasticsearch and Kibana were moving from Apache 2.0 to a dual license of SSPL plus ELv2 (Elastic License v2).

Banon's framing was familiar.

"We are forking ourselves so that nobody else needs to fork us."

A response to AWS running Open Distro for Elasticsearch. But the OSS community's reaction was cold. "A betrayal of ten years of Apache 2.0 promises" was the common refrain.

5.2 AWS's answer — the OpenSearch fork (April 2021)

Three months later AWS announced OpenSearch, forked from the last Apache 2.0 commit (7.10.2). By 2026 OpenSearch is a Linux Foundation project, with Aiven, Logz.io, Bonsai and others as core contributors alongside AWS. The "search market split" Elastic feared actually happened.

5.3 August 2024 — Return to AGPL

Three and a half years later, Elastic flipped the license again. AGPLv3 was added next to SSPL and ELv2, creating a triple-license model. Banon wrote: "We are now an Open Source Initiative-approved open source company again."

Two calculations sat underneath.

  1. Reputation repair: Elastic had taken a real reputational hit. Returning to an OSI-approved license was an attempt to recover part of it.
  2. Closing the OpenSearch gap: As OpenSearch grew, Elastic needed to win back mindshare in the OSS community.

AGPL is weaker copyleft than SSPL, but it is OSI-approved. AWS can host AGPL code as a managed service, provided AWS publishes its modifications. So Elastic gave up some competitive shielding against AWS in exchange for getting the OSI badge back. A business calculation, not an act of altruism.

6. The Redis Arc — a 2024 deja vu

6.1 The shock of March 2024

On March 20, 2024, Redis Inc announced that starting with Redis 7.4 the license would dual-fork to SSPL plus RSALv2 (Redis Source Available License v2). The framing matched Elastic — AWS, GCP, and Azure were running Redis OSS as their own businesses.

6.2 The Valkey fork — six days later

Six days after the announcement, the Linux Foundation announced the Valkey fork. AWS, Google Cloud, Oracle, Ericsson, and Snap were founding members. The starting point was Redis 7.2.4, the last BSD 3-Clause release. Six months later Valkey 8.0 was out, and by 2026 most cloud providers host Valkey instead of Redis.

The notable subplot was Redis creator Salvatore Sanfilippo ("antirez"). He had moved on from Redis by 2024, but in November 2024 he announced his return to Redis Inc as a developer evangelist. That decision shaped what came next.

6.3 May 2025 — Adding AGPL

Roughly six months after Salvatore's return, Redis added AGPLv3 as a third license option starting from Redis 8. Users can now pick among RSALv2, SSPLv1, and AGPLv3. The Elastic playbook, almost verbatim.

The Redis statement was direct.

"We made a mistake. We are returning to OSI-approved open source — but on our terms, with AGPLv3."

Community reaction was mixed. Percona's Vadim Tkachenko welcomed it as "a positive step" but called the move "largely a marketing manoeuvre." Valkey had built enough momentum, and most cloud providers had no incentive to switch back. You can flip the license back — you cannot flip trust back.

7. HashiCorp and OpenTofu — schism in the IaC camp

7.1 The BSL switch of August 2023

On August 10, 2023, HashiCorp moved Terraform, Vault, Consul, Nomad, Boundary, Waypoint, and Packer all at once from MPL 2.0 to BSL 1.1 (Business Source License). BSL, originally MariaDB's invention, has this shape.

  • Source open: yes, anyone can read it.
  • Use restricted: outside of the "Additional Use Grant" the license forbids commercial use. For HashiCorp specifically, that meant "offering a product or service that competes with HashiCorp's products."
  • Auto-conversion after four years: after four years, the source auto-converts to an open source license like MPL 2.0.

On the surface BSL is gentler than SSPL — "wait four years and it becomes OSS." But the core function was to block cloud providers from launching a hosted Terraform Cloud competitor during those four years.

7.2 OpenTofu — a fork within a month

One month after the announcement, in September 2023, the OpenTF Manifesto went live. Companies in the Terraform ecosystem — Gruntwork, Spacelift, env0, Scalr, Harness — co-authored a public statement. The demands were simple.

  1. HashiCorp reverts Terraform to MPL 2.0.
  2. If not, we fork.
  3. The fork goes to the Linux Foundation.

HashiCorp said no. The OpenTF Foundation formed on September 20, and in November the name became OpenTofu (avoiding trademark clashes). OpenTofu 1.6.0 GA shipped in January 2024.

7.3 The 2026 landscape

  • OpenTofu 1.9 (May 2026) — shipping features Terraform does not have, like split for_each keys, state encryption, and dynamic providers.
  • CNCF incubation — formally adopted April 2025. Multi-vendor governance stabilized.
  • IBM acquires HashiCorp — completed February 2025. Terraform is now part of IBM's cloud tooling line.

OpenTofu and Terraform have diverged at the core by 2026. Some post-Terraform-1.6 features are not in OpenTofu, and OpenTofu's new features are not in Terraform. Even the state file format has drifted apart subtly. They are effectively two different tools now.

For a startup the decision rule is clean.

  • Need IBM/HashiCorp enterprise support — Terraform.
  • Prefer vendor-lock-free OSS — OpenTofu.
  • Run on AWS/Azure/GCP equally — OpenTofu is the safer pick.

8. Sentry and FSL — "Apache 2.0 in two years"

8.1 The critique of BSL

BSL's four-year conversion window felt long. "OSS in four years" almost meant "not OSS now." And the BSL "Additional Use Grant" clause was wordy and ambiguous, which compliance teams found hard to interpret.

8.2 Inventing FSL (November 2023)

Sentry CEO David Cramer worked with Heather Meeker (the lawyer behind BSL) to create the Functional Source License (FSL). The core idea is BSL stripped down and simplified.

FSL core:
- "Permitted Purpose": anything OK, except "Competing Use"
- "Competing Use": offering a product that directly competes with the licensor
- Auto-convert after 2 years to Apache 2.0 or MIT
- Sentry picked Apache 2.0

Two key differences from BSL.

  1. Shorter conversion window: 4 years to 2 years. This is the decisive change. Two years is "roughly the same generation" on the tech cycle.
  2. Simpler language: the verbose "Additional Use Grant" gets replaced by the two-term "Permitted Purpose / Competing Use" pair.

8.3 Sentry's later retreat

Interestingly, Sentry itself moved off of FSL by late 2024, returning to BUSL for self-hosted Sentry and Codecov. The reason cited was that "Competing Use" was too narrow. FSL survived as a license, but its inventor walked away.

FSL has found other adopters.

  • Convex (realtime database)
  • Keygen (license management)
  • Various SaaS OSS components

FSL has settled in as "the more honest BSL." "We are not pretending to be OSS — but in two years we genuinely will be." That promise reads more credible.

9. Other Licenses — CockroachDB, Confluent, FUTO

9.1 CockroachDB — BSL then proprietary

Cockroach Labs moved to BSL in 2019, and in 2024 took the further step of converting the core to a fully proprietary CockroachDB Enterprise License. Free self-hosting is no longer available. The most aggressive path of all the cases.

Startups picking CockroachDB should be aware. It began as an "OSS database," but in 2026 it is in practice a commercial product requiring an enterprise license.

9.2 Confluent Kafka — the Confluent Community License

Apache Kafka itself is Apache 2.0. But the additional components Confluent built (KSQL, parts of the Schema Registry, many Kafka Connect connectors) are under the Confluent Community License (CCL).

The CCL core restriction: "You may not use this to offer a Kafka SaaS business." AWS MSK (Managed Streaming for Kafka) cannot use Confluent's components, and AWS had to re-implement equivalents of KSQL and the Schema Registry.

9.3 FUTO and "Source First"

Eron Wolf's FUTO published its own FUTO License in 2024. The core clause: "non-commercial use is free, commercial use requires explicit permission." Under the OSI definition this is plainly not open source.

The interesting move is FUTO's rhetoric. Instead of "open source," they coined the term "Source First." Rather than fighting OSI on the definition, they explicitly separate themselves: "We deliver the social functions of OSS (transparency, learnability, free modification) — but we do not follow the OSI definition."

OSI does not love this. It is a direct challenge to the definitional monopoly of the words "open source." But by 2026, new categories like "source-available," "fair-code," and "source-first" have effectively taken root. The single definition of OSS is fracturing.

10. The OSI Definition Fight — whose word is "open source"?

10.1 OSD — ten clauses

The OSI, founded in 1998, maintains the Open Source Definition (OSD) as ten clauses. The load-bearing ones:

  1. Free Redistribution — anyone can freely redistribute.
  2. Source Code — source code must be included or freely accessible.
  3. Derived Works — modifications and derivatives must be allowed.
  4. Integrity of The Author's Source Code — modifications may be required to be distributed as patches.
  5. No Discrimination Against Persons or Groups.
  6. No Discrimination Against Fields of Endeavorthis is the clause that blocked SSPL.
  7. Distribution of License.
  8. License Must Not Be Specific to a Product.
  9. License Must Not Restrict Other Software.
  10. License Must Be Technology-Neutral.

10.2 The weight of clause 6

Clause 6 — "No Discrimination Against Fields of Endeavor." This is the pivot. SSPL, BSL, FSL, CCL, FUTO — they all share one trait: they target a specific field of endeavor, namely cloud hosting businesses. That is a clause 6 violation.

OSI's position is consistent. "If a license prevents someone from using it, it is not open source." This is not a word game. Every OSI-approved license from GPL to MIT respects clause 6. It is the trust foundation of the OSS ecosystem.

10.3 The "source-available" counterargument

The vendor side is also clear.

"The OSI definition was written in 1998. The enemy then was Microsoft proprietary licenses. The enemy in 2026 is different — it is AWS's capital-backed cloud hosting. A 1998 definition cannot defend against a 2026 threat."

This debate has not resolved. OSI defends the words "open source," and vendors accept the new term "source-available" — a kind of settlement has emerged. Behind it sits a larger question: "can an open source company survive as a business?" No one yet has a clear answer.

11. License versus Rights Matrix (2026)

For each license, here is what a user gets. Y is allowed, N is forbidden, C is conditional.

RightMITApache 2.0GPL v3AGPL v3BSL 1.1SSPL v1FSL 1.1ELv2RSALv2CCL
Read sourceYYYYYYYYYY
Internal modify and useYYYYYYYYYY
Repackage under proprietaryYYNNCCCCCC
Copyleft obligationNNYY(net)NY(strong)NNNN
Explicit patent grantNYYYNYNNNN
Run as a hosting businessYYYY(if source published)N(conditional)C(full source release)N(for 2 years)NNN
OSI-approvedYYYYNNNNNN
Time-based OSS conversion----after 4 yrs-after 2 yrs---

This matrix helps a decision. If you need the OSI badge, your options are the GPL family or the permissive set. If you need to deter cloud businesses, you are looking at SSPL, BSL, FSL, or ELv2. If "eventually open" is the goal, FSL is the fastest at two years.

12. What This Means — for whom

12.1 Startups: picking an OSS database or component

The key question — "how bad is the relicense risk on this?"

When a startup leans on data infrastructure, a license change is a direct hit. Evaluate in this order.

  1. Vendor lock-in risk — controlled by a single company, or by multi-vendor governance (CNCF, Linux Foundation, Apache Foundation)?
  2. Permissive vs copyleft — does our code embed this OSS, or run it as a separate process?
  3. Hosting business potential — could our service effectively become "a hosting service for this OSS"?
  4. Long-term dependence — will we still need this in five years?

12.2 Cloud vendors: the hosting business

For AWS, GCP, and Azure the license landscape is getting more complex. Their 2026 response patterns:

  • Fork and self-operate: OpenSearch, Valkey. AWS forks directly and hosts.
  • Clean-room reimplementation: DocumentDB. Use no SSPL code, expose only the compatible API.
  • Revenue-sharing contracts: deals with some OSS vendors directly. Parts of the Confluent ↔ AWS and MongoDB ↔ AWS partnerships.
  • Acquisition: HashiCorp to IBM; GitLab being courted; etc.

12.3 OSS projects: sustainability

For maintainers, the license decision is essentially a business model decision. The 2026 consensus, such as there is one:

  1. Pure-OSS single-vendor is hard. The Red Hat model worked at a particular scale and moment.
  2. Direct collision with cloud providers is self-harm. You cannot win a hosting war against AWS.
  3. Open Core is the most realistic shape. Core is OSS, add-ons are proprietary.
  4. Foundation transfer builds trust. Once a project sits inside CNCF, the Linux Foundation, or Apache, the relicense risk disappears.

13. License Decision Tree (for startups and maintainers)

If you have to pick a license for a new OSS project, walk this tree.

[1] Is this project led by a single company?
    ├─ Yes — go to [2]
    └─ No (foundation/multi-vendor) — Apache 2.0. Done.

[2] Within 5 years, will there be a SaaS/hosting business on top of it?
    ├─ Yes — go to [3]
    └─ No (pure OSS, consulting/support model) — MIT or Apache 2.0. Done.

[3] Is the hosting business threatened by direct competitors (AWS/GCP/Azure)?
    ├─ Yes — go to [4]
    └─ No (internal tool, B2B SaaS focus) — Apache 2.0 + trademark protection. Done.

[4] Is the OSI-approved badge required for compliance?
    ├─ Yes — AGPLv3. Done. (Elastic and Redis chose this.)
    └─ No — go to [5]

[5] Do you want to explicitly promise "we will return this to OSS eventually"?
    ├─ Yes, 2 years — FSL 1.1
    ├─ Yes, 4 years — BSL 1.1
    └─ No, permanent proprietary — ELv2 or your own license (Codeium-style)

This tree is not absolute. But if you write down explicitly which node you answered which way, you will be able to justify the choice — and, if you ever change the license later, explain the change to the world. Most of the criticism Elastic and Redis took came not from the license change itself but from "you never told us why upfront."

14. Anti-Patterns — do not do this

Common mistakes in license decisions, gathered into a list.

14.1 Misusing the words "open source"

Calling a non-OSI license "open source" puts you in immediate conflict with OSI and gets your software blocked by enterprise compliance. In 2026 the precise word is "source-available." Be specific.

14.2 Sudden license changes

This is where Elastic and Redis paid the highest cost. Announce license changes at least six months in advance, with the rationale and supporting data published. "Suddenly" almost always breaks trust.

14.3 Dual licensing without a CLA

If contributors hold the copyright on their code, the company cannot unilaterally relicense. If you ever plan to commercialize, take a Contributor License Agreement or a DCO with copyright assignment from day one. Redis could relicense precisely because Redis Inc owned all contributor copyright.

14.4 The wrong "AWS is a threat" framing

For most OSS projects, AWS is not a threat. Very few OSS projects are large enough to be worth hosting at AWS scale. If your project is not one of those few, a BSL or SSPL framed as "AWS defense" is an axe to your own foot. It only slows adoption.

14.5 The quadruple-license trap

Elastic now offers AGPLv3 + SSPLv1 + ELv2 as three concurrent options. That looks like generosity, but for compliance teams it is a nightmare. You must explicitly pick a license, and the choice must propagate consistently across every dependent component.

Epilogue — what we learned in eight years

From MongoDB's SSPL announcement in 2018 to Redis's AGPL return in 2025 — eight years. The lessons are short.

  • A license expresses a business model. It is not the business model itself. Changing the license does not grow revenue.
  • You can only partly defend yourself against cloud providers through licensing. AWS almost always responds with a clean-room reimplementation (DocumentDB) or a fork (OpenSearch, Valkey).
  • The OSI badge has real value. Compliance, hiring, and PR all move on it. That is why Elastic and Redis came back to AGPL.
  • Foundation transfer is the final form of trust. Projects under CNCF, the Linux Foundation, or Apache have effectively zero relicense risk.
  • The eight-year pendulum is settling. SSPL and BSL survive, but only in a small slice of the market; many vendors have rolled back toward AGPL or Open Core.

If you read this in 2026 and have to pick a single OSS component, the final checklist is this.

Decision Checklist — when adopting an OSS component

  • Is the license OSI-approved? (MIT, Apache 2.0, BSD, GPL, AGPL, MPL, EPL)
  • Is it controlled by a single company, or by a foundation (CNCF, LF, ASF)?
  • Any license change in the last 5 years? What is the probability of a future change?
  • Does a community fork exist? What is its adoption versus the original? (OpenSearch, Valkey, OpenTofu, etc.)
  • Does our use pattern trigger the AGPL copyleft? (network-exposed plus external users)
  • Does our compliance policy allow SSPL, BSL, or FSL?
  • Will we still need this in five years? If so, what is the migration path?

Next post preview

The next post will look at the macro landscape of OSS governance in 2026 — the changing role of foundations (CNCF, Linux Foundation, Apache, Eclipse), how government regulation (EU CRA, US executive orders) is reshaping OSS, and the unresolved question of whether AI model weights count as open source. If the license is one line of text, governance is the political structure that breathes through it.

References