يُظهر تقرير تحليل المخاطر والأمان مفتوح المصدر لعام 2017 تضاربًا واسعًا في ترخيص GPL

نشرت: 2017-04-27
ائتمان الصورة: شارع 16 - (ترخيص)

يتزايد استخدام البرامج مفتوحة المصدر في جميع الصناعات ، لكن تقرير تحليل المخاطر والأمان المفتوح المصدر (OSSRA) لهذا العام من Black Duck يوضح مدى انتشار الثغرات الأمنية ومخاطر الامتثال للترخيص. أجرت Black Duck عمليات تدقيق على أكثر من 1000 تطبيق تجاري في عام 2016 وحللت البيانات مجهولة المصدر. كانت عمليات التدقيق مرتبطة في المقام الأول بصفقات الاندماج والاستحواذ ولكنها امتدت إلى مجموعة واسعة من الصناعات ، مثل الرعاية الصحية والتصنيع والخدمات المالية والطيران والطيران وتجارة التجزئة.

يمكن أن تشكل مشكلات الأمان مفتوحة المصدر والامتثال للترخيص تهديدات مالية خطيرة للشركة. تُظهر نتائج Black Duck أن 96٪ من التطبيقات الممسوحة ضوئيًا تتضمن برامج مفتوحة المصدر وأن متوسط ​​التطبيق يتضمن 147 مكونًا فريدًا مفتوح المصدر. احتوت غالبية هذه التطبيقات (67٪) على مشكلات أمنية معروفة للجمهور لمدة أربع سنوات في المتوسط. وشملت هذه نقاط الضعف عالية الخطورة والمعروفة مثل Poodle و Freak و Drown و Heartbleed.

كانت مشكلات الامتثال للترخيص أكثر انتشارًا من مشكلات الأمان. وجدت عمليات تدقيق Black Duck أن 85٪ من التطبيقات بها مكونات بها تعارض في الترخيص. على الرغم من أن 75٪ من التطبيقات التي تم تدقيقها تضمنت مكونات مرخصة من GPL ، إلا أن 45٪ منها فقط كانت ملتزمة تمامًا بالترخيص. كشفت عمليات التدقيق أيضًا أن 53٪ من التطبيقات الممسوحة ضوئيًا تحتوي على مكونات ذات تراخيص "غير معروفة" ، وهو ما يعني عمومًا أنه تم استخدام المكونات دون إذن من مبتكريها.

كيف تؤثر جهود الامتثال لترخيص GPL على مستقبل النظام البيئي للحقوق المتروكة

أشاد مقال ستيفن أوجرادي الأخير على موقع Redmonk.com بتراجع جي بي إل ، مشيرًا إلى المستودعات التي شملتها الدراسة التي أجرتها شركة بلاك دك والتي أظهرت أن ترخيص جي بي إل الذي كان مهيمنًا في يوم من الأيام "يتآكل باطراد ، مما يفسح المجال للتراخيص على عكس الطرف المتساهل من الطيف". على الرغم من أن المطورين والشركات يتبنون بسهولة البرمجيات مفتوحة المصدر ، إلا أن الاتجاه يتجه نحو المزيد من التراخيص المتساهلة.

قال أوجرادي: "في عينة بلاك دك ، البديل الأكثر شيوعًا من جي بي إل - الإصدار 2 - أقل من نصف شعبيته (46٪ إلى 19٪). "على مدى نفس الفترة ، انتقل معهد ماساتشوستس للتكنولوجيا من 8٪ إلى 29٪ ، بينما قفز ابن عمه المتساهل رخصة أباتشي 2.0 من 5٪ إلى 15٪."

في مقال حول رد الفعل على موقع Opensource.com ، قال جونو بيكون إنه شهد هذا الاتجاه نفسه حيث فقدت جي بي إل تفضيلها من حيث التطبيق العملي لأصحاب الأعمال الذين لا يشعرون بالارتياح تجاه تلبية مطالب الأسود والأبيض.

قال بيكون: "على الرغم من أننا رأينا في السنوات الأخيرة جيلًا جديدًا من المطورين الذين هم أقل أهمية ، وإذا كنت أجرؤ على قول ذلك ، فإن التركيز الديني أقل على الحرية". "بالنسبة لهم ، تعد المصادر المفتوحة عنصرًا عمليًا وعمليًا في بناء البرامج بدلاً من الخيار الأخلاقي ، وأعتقد أن هذا هو السبب في أننا رأينا مثل هذا النمو في استخدام تراخيص MIT و Apache."

يعد تعقيد الامتثال أحد العوائق الرئيسية لأولئك الذين يشعرون بعدم الارتياح لاستخدام التعليمات البرمجية المرخصة GPL. إذا كانت عمليات تدقيق التطبيقات مفتوحة المصدر لـ Black Duck تشير إلى أي مؤشر ، فإن التبني التجاري لـ GPL لم يأتِ بالتعليم الكافي بشأن الامتثال للترخيص.

ومع ذلك ، نادرًا ما يؤدي تطبيق GPL إلى التقاضي. في مقال يلخص موقف مؤسسة البرمجيات الحرة (FSF) من دور الدعاوى القضائية في الامتثال لـ GPL ، قال دونالد روبرتسون إن الامتثال دائمًا تقريبًا مسألة تعليمية.

قال روبرتسون: "معظم المخالفين غير مدركين لالتزاماتهم بموجب الترخيص ويحتاجون ببساطة إلى مساعدة إضافية للامتثال". "تنتهي جميع حالات الامتثال لـ GPL تقريبًا بهدوء مع تصحيح المخالف لأخطائه ، مع إشعار ضئيل فقط للمستلمين السابقين بالتوزيع المخالف آنذاك بأن أي شيء قد حدث".

أكد روبرتسون أن الدعاوى القضائية يجب أن تكون الملاذ الأخير ولكن يجب أن تظل خيارًا شرعيًا. تركز جهود امتثال FSF على تثقيف المخالفين ، لكن المنظمة تحتفظ بالحق في اتخاذ إجراءات ضد أولئك الذين يختارون عن عمد الانتهاك.

قال روبرتسون: "إن التهديد بالتقاضي يوفر النفوذ الذي نحتاجه مع المخالفين النادرين الذين لا تعتبر مشكلات امتثالهم لـ GPL مجرد أخطاء ، ولكنها محاولات مقصودة للحد من حرية مستخدميهم". "بينما يعتبر عمل الامتثال تعليميًا في المقام الأول ، فنحن بحاجة إلى أداة يمكنها العمل مع قلة قليلة من المتعلمين بالفعل ولكنهم اختاروا انتهاكها على أي حال. تم تصميم الحقوق المتروكة منذ البداية لتكون بمثابة تلك الأداة ".

تحدث رئيس مركز قانون حرية البرمجيات والمدير التنفيذي Eben Moglen في مؤتمر SFLC في أكتوبر الماضي حول الامتثال لترخيص المصادر المفتوحة. وحث المستمعين على النظر في تصور GPL في الصناعة بشكل عام عند موازنة تكاليف التقاضي بشأن الامتثال.

قال موغلن: "نحن لسنا ولم نكن أبدًا متطرفين في حقوق النشر". "لم نفعل ما كنا نفعله طوال الثلاثين عامًا الماضية لبناء برمجيات حرة على أساس افتراض أن الحرية تتطلب منا ملاحقة ومعاقبة كل من ارتكب أي خطأ أو حتى أساء استخدام البرامج المحمية بحقوق الطبع والنشر التي تم إنشاؤها للمشاركة . "

قال موغلن إنه في المواقف التي يكون فيها من المناسب أن تكون مثالاً ، من المهم أن تعلن أنك في موقف الملاذ الأخير مع عدم وجود خيارات أخرى إلى جانب التقاضي. قد يؤدي تأمين الامتثال بالقوة إلى الإضرار بثقة الشركات في استخدام GPL.

قال موغلن: "إذا ذهبنا أنا وريتشارد ستالمان إلى المحكمة ورفعنا دعوى قضائية ضد شركة عامة عالمية كبرى بدعوى انتهاك حقوق الطبع والنشر التي كانت ضعيفة بما يكفي لإخراجها من المحكمة بناءً على طلب بالرفض ، لكنا قد دمرنا GPL على الفور" . "إذا أظهرنا أننا مستعدون للمخاطرة الكبيرة بالإكراه ، حتى ضد شخص سيء في حكمنا - إذا فعلنا ذلك دون الاستعداد الكافي للتأكد من أننا انتصرنا - فسنخسر مثالًا على الإكراه ولن يكون أحد سيثق بنا مرة أخرى ".

حذر موغلن المستمعين من الإسراع في اتخاذ الإجراءات التي قد تجعل الناس يتساءلون عما إذا كان هناك خطأ في الحقوق المتروكة. وقد دعا إلى الامتثال التلقائي ، بدلاً من مراقبة الانتهاكات باستمرار ، باعتبارها الطريقة الأكثر فاعلية لضمان مستقبل GPL.

قال موغلن: "لدينا فرصة لوضع هذا البرنامج الحر في المكان الذي نريده ، وهو موجود في كل مكان ، ولجعله يفعل ما نريد ، وهو نشر الحرية". لسنا في مكان تكمن الصعوبة فيه في كيفية الحصول على ما يكفي من الذخيرة لإجبار الجميع على الامتثال. لسنا بحاجة إلى ذخيرة. نحن بحاجة إلى الدبلوماسية. نحن بحاجة إلى مهارة. نحن بحاجة للعمل معا بشكل أفضل. نحن بحاجة إلى فهم كيف يقودنا هذا العمل معًا بشكل هادف إلى النقطة التي لم يعد يخاف فيها الجميع من البرمجيات الحرة والمفتوحة المصدر ولم نعد قلقين بشأن امتثالهم لها. نحن جميعًا نشارك ونقود مهمة صنع البرمجيات الحرة. "

شجع موغلن الدبلوماسية والحذر عندما يتعلق الأمر بالامتثال لأن المصداقية طويلة المدى لمجتمع البرمجيات الحرة على المحك.

قال موغلن: "أتفق مع الأشخاص الذين اقترحوا أنه إذا تم تنفيذ حملة من الامتثال القسري للحظة ، فإن الرغبة في استخدام الحقوق المتروكة بين الشركات العالمية في العالم ستنخفض إلى درجة تشكل خطورة على الحرية". . "لأنني أعتقد أن الحقوق المتروكة مهمة للحرية."

بينما تُظهر عمليات تدقيق Black Duck الأخيرة أن الشركات تكافح مع إدارة مخاطر المصادر المفتوحة وتضارب التراخيص متفشية ، فإن الخبر السار هو أن العالم يتبنى برمجيات مفتوحة المصدر في كل صناعة. قد لا يكون لدى المهندسين ومديري المنتجات فهم كامل لمتطلبات رخصة جنو العمومية ، ولكن نهج الامتثال الذي يركز على التعليم سيقطع شوطًا طويلاً نحو بناء مستقبل يتضمن برمجيات الحقوق المتروكة في صميم الابتكار.