OpenTofu vs Terraform in 2026: de fork die doorzette

Drie jaar na de fork zijn OpenTofu en Terraform uit elkaar gegroeid in licenties, governance en technische features. Voor Europese teams die hun infrastructure-as-code-strategie evalueren, is de keuze niet langer theoretisch.

Drie jaar geleden was de grote vraag of OpenTofu het zou overleven. Die vraag is beantwoord. OpenTofu trad in april 2025 toe tot de CNCF als sandbox-project, Fidelity Investments migreerde 50.000+ state files naar het platform, en GitLab schrapte in mei 2025 de Terraform CI/CD-templates vanwege juridische bezwaren rond de licentie. De relevantere vraag in 2026: niet of je OpenTofu moet overwegen, maar wanneer het governance- en licentieverschil er daadwerkelijk toe doet voor jouw team.

Voor de meeste Europese organisaties doet het er meer toe dan de featurevergelijking.

TL;DR

  • OpenTofu (MPL-2.0, Linux Foundation/CNCF) en Terraform (BSL, IBM/HashiCorp) zijn zowel technisch als bestuurlijk uit elkaar gegroeid sinds de fork van augustus 2023.
  • Het governanceverschil weegt zwaarder dan het featureverschil. BSL beperkt commercieel gebruik en is geen OSI-goedgekeurde licentie; MPL-2.0 kent die beperking niet. EU-inkoopstrategieën sturen steeds sterker op OSI-goedgekeurde licenties.
  • OpenTofu loopt voor op beveiligingsfeatures: native state-encryptie, ephemeral values, OCI-registrysupport. Terraform loopt voor op enterpriseplatformintegratie: Stacks, Sentinel, HCP Terraform, Project Infragraph.
  • Technisch migreren is rechttoe rechtaan (Fidelity bewees het op schaal met 50.000+ state files). Het organisatorische verandertraject is het echte werk.
  • Draai je een IBM-stack (Red Hat, watsonx, Ansible), dan sluit Terraform's roadmap aan bij jouw ecosysteem. Zo niet, dan geeft OpenTofu je dezelfde HCL met sterkere soevereiniteitsgaranties.

Inhoudsopgave

De tijdlijn in 60 seconden

Augustus 2023: HashiCorp wijzigde de licentie van Terraform van MPL-2.0 naar de Business Source License (BSL). Vijf dagen later verscheen het OpenTF-manifest op GitHub, ondertekend door meer dan 120 bedrijven. In september nam de Linux Foundation het project op als OpenTofu. OpenTofu 1.6 werd in januari 2024 uitgebracht als eerste stabiele release, volledig backward-compatible met Terraform 1.5.x.

In april 2024 stuurde HashiCorp een cease-and-desist vanwege vermeende codekopie in OpenTofu's removed-blokimplementatie. OpenTofu reageerde publiekelijk dat de code in kwestie dateerde van voor de BSL-relicentiëring. Verdere juridische stappen bleven uit.

Diezelfde maand kondigde IBM de overname van HashiCorp aan voor $6,4 miljard, afgerond in februari 2025. In april 2025 trad OpenTofu toe tot de CNCF op sandbox-niveau, met een speciale uitzondering om de MPL-2.0-licentie te behouden in plaats van de CNCF-standaard Apache 2.0.

Stand van zaken in april 2026: OpenTofu zit op versie 1.11.6 met 1.12.0-beta1 beschikbaar. Terraform op 1.14.8. Beide worden actief doorontwikkeld. Maar het zijn niet meer dezelfde tools.

De governance-kloof: BSL, IBM en de consequenties voor Europese teams

Dit is de kern van de vergelijking. Features komen en gaan; governancestructuren bepalen of je over vijf jaar nog op een tool kunt vertrouwen.

Wat BSL precies beperkt

Terraform's Business Source License verbiedt het bouwen van een "competitive offering" met de software. De definitie: een product dat je aan derden verkoopt en dat "significantly overlaps" met de commerciële producten van HashiCorp. Intern gebruik mag gewoon. terraform draaien in je eigen CI/CD-pipelines mag. Maar de vaagheid van "significantly overlaps" creëerde echte juridische blootstelling voor platformleveranciers.

Het juridisch team van GitLab concludeerde dat ze blootgesteld waren. Die conclusie leidde tot het schrappen van Terraform CI/CD-templates in GitLab 18.0 (mei 2025) en een platformbrede migratie naar OpenTofu. Voor organisaties die op GitLab draaien, maakte de toolchain de keuze dus al.

IBM veranderde de eigenaar, niet de licentie

IBM rondde de HashiCorp-overname af in februari 2025. De licentie bleef ongewijzigd. IBM's strategische richting is het tegenovergestelde van een terugkeer naar open source: Project Infragraph, gepresenteerd op HashiConf in september 2025, koppelt Terraform aan IBM watsonx, Red Hat Ansible, OpenShift en IBM's mainframeportfolio. De koers is naar een nauwer geïntegreerd, commerciëler product.

Dat is op zich niet verkeerd. Als je infrastructuur op IBM en Red Hat draait, is die integratiediepte echt waardevol. Maar het betekent wel dat Terraform's roadmap wordt bepaald door IBM's commerciële prioriteiten, niet door consensus in de community. De analyse van Ned Bellavance na de overname bevestigt dat IBM investeert in Terraform en de releasesnelheid opvoert. Die investering loopt alleen wel door een corporate lens.

De EU-dimensie: wanneer governance inkoopbeleid wordt

OpenTofu's MPL-2.0 is OSI-goedgekeurd. Terraform's BSL niet. Dat onderscheid wordt steeds concreter in Europese aanbestedingen en inkooptrajecten.

De Europese Commissie positioneert open-sourcesoftware in haar opensourcestrategie als een pijler van digitale soevereiniteit. Het EuroStack-positiedocument over EU-inkoop (maart 2025) adviseert open source als standaardkeuze bij inkoop, met een gedocumenteerde rechtvaardiging als je voor propriëtaire software kiest. Een BSL-tool vergt die rechtvaardiging. OpenTofu niet.

De Cyber Resilience Act (CRA), volledig van kracht vanaf december 2027, vergroot de asymmetrie. OpenTofu kwalificeert als "open-source software steward" onder de CRA: lichtere verplichtingen, geen administratieve boetes. Terraform valt als commercieel IBM-product onder de volledige CRA-fabrikantverplichtingen, inclusief conformiteitsbeoordelingen en 24-uurs kwetsbaarheidsmelding aan ENISA.

Voor organisaties die onder NIS2 vallen, speelt het governancemodel ook mee in de risicobeoordeling van de toeleveringsketen. Een tool onder single-vendor corporate control is een gedocumenteerde afhankelijkheid van derden. Een tool onder multi-vendor foundation-governance verdeelt dat risico. Duitslands Sovereign Cloud Compass evalueert cloudproviders al op IaC-tooling en behandelt Terraform en OpenTofu als functioneel equivalent. Dat zegt iets over waar het Europese IaC-gesprek naartoe beweegt.

BSL-software is niet verboden in Europa. Maar de compliance- en inkoopoverhead is wel hoger. Voor teams die toolingkeuzes moeten verantwoorden richting juridische of inkoopafdeling, haalt OpenTofu een hele categorie vragen van tafel.

Waar de code uit elkaar groeide

Beide tools startten vanuit dezelfde Terraform 1.5.x-codebase. Drie jaar later is de kern-HCL-syntax nog grotendeels compatibel, maar de featuresets zijn in veelzeggende richtingen gesplitst.

OpenTofu's voorsprong: beveiliging en developer experience

Native state-encryptie (sinds 1.7) versleutelt state files client-side voordat ze een backend bereiken. Ondersteunde key providers: AWS KMS, GCP KMS en PBKDF2. Terraform heeft geen equivalent en leunt volledig op backend-level encryptie.

Ephemeral values (sinds 1.11) bestaan alleen in het geheugen gedurende één run. Ze worden nooit naar state of plan files geschreven. Voor tijdgebonden credentials zoals STS-tokens of tijdelijke SSH-tunnels elimineert dit een klasse van risico's op secret-exposure die state-encryptie alleen niet afdekt.

Early variable evaluation (sinds 1.8) maakt variabelen mogelijk in backend-configuratieblokken. Geen -backend-config-workarounds meer voor multi-environment setups.

OCI-registrysupport (sinds 1.10) distribueert providers en modules via elk OCI-compatibel containerregistry. Dat is relevant voor air-gapped of soevereiniteitsbewuste omgevingen waar toegang tot publieke registries beperkt is.

S3 state locking zonder DynamoDB (sinds 1.10) gebruikt native S3 conditional writes. Eén AWS-resource minder om te beheren en voor te betalen.

Terraform's voorsprong: enterpriseplatformintegratie

Terraform Stacks (GA sinds september 2025) orchestreren meerdere infrastructuurcomponenten als één lifecycleunit. Alleen beschikbaar via HCP Terraform, niet via de CLI. Als je complexe multi-componentdeployments beheert via Terraform Cloud, lost Stacks een echt coördinatieprobleem op.

Sentinel biedt policy-as-code voor HCP Terraform en Terraform Enterprise. OpenTofu heeft geen equivalent; teams die vergelijkbare policy-afdwinging nodig hebben, moeten uitwijken naar OPA, Checkov of vergelijkbare tools.

Project Infragraph (private beta sinds december 2025) verbindt Terraform-state met IBM watsonx, Ansible, OpenShift en IBM's observabilitystack. Voor IBM-ecosysteemteams is dit een echt onderscheidend voordeel.

De compatibiliteitsvraag

Providers werken gewoon met beide tools. Het OpenTofu-registry telt meer dan 3.900 providers, allemaal onafhankelijk gelicentieerd (doorgaans MPL-2.0 of Apache 2.0). State files zijn binair compatibel tussen Terraform 1.5.x en OpenTofu, in beide richtingen. Eén uitzondering: als je OpenTofu's state-encryptie inschakelt, kan Terraform die bestanden niet meer lezen. Dat maakt encryptie een gecommitteerde, eenrichtingskeuze.

HCL-syntax blijft compatibel voor de meeste configuraties, maar de divergentie groeit. OpenTofu-specifieke syntax (variabelen in backend-blokken) faalt op Terraform. Terraform-specifieke syntax (.tfstack.hcl-bestanden) faalt op OpenTofu. Voorlopig is de overlap groot. Die wordt kleiner.

Wie stapte over, wie bleef

Fidelity Investments is de best gedocumenteerde migratie: 50.000+ state files, 2.000+ applicaties, 4 miljoen+ beheerde cloudresources, 70% adoptie in twee kwartalen. David Jackson, VP Automation Tooling bij Fidelity, verwoordde het treffend: "The code itself isn't the hard part. Changing the CLI in a pipeline is trivial. The complexity lives in the surrounding ecosystem."

GitLab maakte de keuze op platformniveau. Het schrappen van de Terraform CI/CD-templates en de overstap naar OpenTofu was gedreven door juridische risicobeoordeling, niet door featurevoorkeur. Voor de vele Europese organisaties die op GitLab draaien, is het CI/CD-platform waar ze van afhankelijk zijn dus al overgestapt.

Spacelift rapporteert dat 50% van de deployments op hun platform inmiddels OpenTofu gebruikt. Spacelift is een van de oprichters van OpenTofu's TSC, dus neem dat getal als richtinggevend, niet als onafhankelijk geaudit. De richting is wel duidelijk.

Aan OpenTofu's kant: ~28.000 GitHub-sterren, 160+ contributors en institutionele rugdekking van de CNCF. Aan Terraform's kant: een grotere installatiebasis, actieve investeringen van IBM, en enterpriseklanten die diep geïntegreerd zijn met HCP Terraform en niet migreren.

Het patroon dat ontstaat: Terraform voor bestaande omgevingen met gevestigde Terraform Cloud-workflows. OpenTofu voor greenfield-werk waar governanceflexibiliteit ertoe doet.

Migreren in de praktijk

De technische migratie is goed gedocumenteerd en bestaat uit vier stappen: installeer de OpenTofu CLI, draai tofu init in je bestaande werkdirectory (leest de bestaande state zonder wijzigingen), verifieer met tofu plan, update je CI/CD-pipelines.

Harde blockers om rekening mee te houden:

  • Terraform Cloud-workspaces. OpenTofu kan niet verbinden met HCP. Migreer state eerst naar S3, GCS of Azure Blob.
  • Sentinel-policies. Geen OpenTofu-equivalent. Herschrijf ze in OPA of Checkov.
  • Eenrichtingsfeatures. Het inschakelen van OpenTofu state-encryptie of early variable evaluation levert configuraties op die Terraform niet kan parsen. Als je ze eenmaal gebruikt, betekent terugschakelen dat je die features eerst moet terugdraaien.

Wat de Fidelity-migratie bevestigde: de terraform naar tofu CLI-wissel is triviaal. Het echte werk is organisatorisch: modulecatalogi bijwerken, teams trainen, CI/CD-governance op orde brengen en de verandering communiceren naar stakeholders. Reserveer daar tijd voor, niet voor de technische cut-over.

Wanneer Terraform wel de betere keuze is

Dit is geen "Terraform is dood"-artikel. Er zijn specifieke contexten waarin Terraform de betere keuze blijft:

  • Diepe IBM-ecosysteemintegratie. Draai je Red Hat OpenShift, gebruik je IBM watsonx voor AI-workloads en beheer je hybride cloudinfrastructuur via IBM's portfolio? Dan convergeert Terraform's roadmap met jouw stack. Project Infragraph is erop gericht die integratie naadloos te maken. OpenTofu biedt hier niets vergelijkbaars.
  • Volwassen HCP Terraform-investering. Als je organisatie remote state, Sentinel-policies en samenwerkingsworkflows draait via Terraform Cloud, zijn de migratiekosten reëel. Weeg af of de governancevoordelen opwegen tegen jouw specifieke switchkosten.
  • Terraform Stacks voor multi-componentorchestratie. Als Stacks een coördinatieprobleem oplost dat je nu handmatig omzeilt, is die waarde concreet en alleen beschikbaar op HCP Terraform.

De eerlijke beoordeling: voor teams buiten het IBM-ecosysteem die niet vastzitten aan HCP Terraform, neigt het voordeel naar OpenTofu. De licentie is ondubbelzinnig. De governance is transparant. De beveiligingsfeatures lopen voor. De EU-regulatorische positie is eenvoudiger.

Maar "neigt naar" is niet "morgen overstappen." Als je huidige Terraform-setup werkt en je geen inkoop- of compliancedruk ervaart, is de urgentie laag. Gebruik OpenTofu voor nieuwe projecten. Evalueer migratie voor bestaande omgevingen op je eigen tempo.

Belangrijkste punten

  • De fork is geen experiment meer. CNCF-steun, Fidelity's migratie van 50.000+ state files en GitLab's platformswitch bevestigen OpenTofu als productiewaardige IaC-tool.
  • Governance is de primaire beslisfactor voor EU-teams. BSL vs. MPL-2.0 bepaalt je inkoopoverhead, je compliancepositie onder CRA en NIS2, en je vendor-onafhankelijkheid op de lange termijn. Het technische featureverschil is reëel maar secundair.
  • OpenTofu loopt voor op beveiliging en developer experience: state-encryptie, ephemeral values, early variable evaluation, OCI-registrysupport. Terraform loopt voor op enterpriseplatformintegratie: Stacks, Sentinel, Project Infragraph.
  • Migratie is technisch rechttoe rechtaan; Fidelity bewees het op enterpriseschaal. Het organisatorische werk (modulecatalogi, teamafstemming, CI/CD-governance) is waar de inspanning zit.
  • Voor IBM-stacks voegt Terraform's roadmap echte waarde toe. Voor de rest biedt OpenTofu dezelfde HCL met sterkere soevereiniteits- en governancegaranties.

Terugkerende server- of deploymentproblemen?

Ik help teams productie betrouwbaar maken met CI/CD, Kubernetes en cloud—zodat fixes blijven en deploys geen stress meer zijn.

Bekijk DevOps consultancy

Gerelateerde artikelen

  1. Het verborgen risico van onbeheerde dependencies: lessen van Ingress NGINX

    Op 24 maart 2026 werd kubernetes/ingress-nginx officieel met pensioen gestuurd, gebruikt in de helft van alle Kubernetes-clusters. Geen patches meer. Hetzelfde patroon speelt bij MinIO, WordPress-plugins en npm-packages. Dit zijn de waarschuwingssignalen.

    1330 woorden
  2. EU-datasoevereiniteit: waarom 'gehost in Frankfurt' niet AVG-compliant is

    Data opslaan in een EU-datacenter maakt het niet soeverein. De Amerikaanse CLOUD Act kan AWS, Azure en Google Cloud dwingen om in de EU opgeslagen data te overhandigen. Wat dit betekent voor jouw bedrijf en hoe je een hostingprovider beoordeelt.

    1673 woorden
  3. Kyverno graduated: wat CNCF top-level status betekent voor Kubernetes-beleid

    Kyverno is op KubeCon EU Amsterdam gepromoveerd naar CNCF graduated-status. Met 9.000+ GitHub-sterren en adopters als LinkedIn, Bloomberg en Deutsche Telekom staat het project nu naast Kubernetes en Prometheus. Dit is wat graduatie concreet betekent voor teams die policy-as-code evalueren.

    684 woorden

Begin met typen om te zoeken, of blader door de kennisbank en blog.