• Startseite
  • Artikel
  • Führen
  • Open-Source-Sicherheits- und Risikoanalysebericht 2017 zeigt weit verbreitete GPL-Lizenzkonflikte

Open-Source-Sicherheits- und Risikoanalysebericht 2017 zeigt weit verbreitete GPL-Lizenzkonflikte

Veröffentlicht: 2017-04-27
Bildnachweis: 16. St. – (Lizenz)

Die Nutzung von Open Source-Software nimmt in allen Branchen zu, aber der diesjährige Open Source Security and Risk Analysis (OSSRA)-Bericht von Black Duck zeigt die Verbreitung von Sicherheitslücken und Lizenz-Compliance-Risiken. Black Duck hat 2016 Audits zu mehr als 1.000 kommerziellen Anwendungen durchgeführt und die anonymisierten Daten analysiert. Die Audits bezogen sich in erster Linie auf Fusions- und Übernahmetransaktionen, umfassten jedoch eine breite Palette von Branchen wie Gesundheitswesen, Fertigung, Finanzdienstleistungen, Luft- und Raumfahrt, Luftfahrt und Einzelhandel.

Open-Source-Sicherheits- und Lizenz-Compliance-Probleme können ernsthafte finanzielle Bedrohungen für ein Unternehmen darstellen. Die Ergebnisse von Black Duck zeigen, dass 96 % der gescannten Anwendungen Open-Source-Software enthalten und die durchschnittliche App 147 einzigartige Open-Source-Komponenten enthielt. Die Mehrheit dieser Anwendungen (67 %) enthielt Sicherheitsprobleme, die seit durchschnittlich vier Jahren öffentlich bekannt waren. Dazu gehörten hochriskante und bekannte Schwachstellen wie Poodle, Freak, Drown und Heartbleed.

Lizenz-Compliance-Probleme waren noch weiter verbreitet als Sicherheitsprobleme. Die Audits von Black Duck ergaben, dass 85 % der Anwendungen Komponenten mit Lizenzkonflikten enthielten. Obwohl 75 % der geprüften Anwendungen GPL-lizenzierte Komponenten enthielten, waren nur 45 % davon vollständig lizenzkonform. Die Audits ergaben auch, dass 53 % der gescannten Anwendungen Komponenten mit „unbekannten“ Lizenzen enthielten, was im Allgemeinen bedeutet, dass die Komponenten ohne Erlaubnis ihrer Ersteller verwendet wurden.

Wie sich GPL-Compliance-Bemühungen auf die Zukunft des Copyleft-Ökosystems auswirken

Stephen O'Gradys jüngster Artikel auf Redmonk.com begrüßt den Niedergang der GPL und verweist auf von Black Duck untersuchte Repositories, die zeigen, dass die einst vorherrschende GPL-Lizenz „stetig erodiert und Lizenzen am anderen, freizügigen Ende des Spektrums Platz macht“. Obwohl Entwickler und Unternehmen Open-Source-Software bereitwillig annehmen, geht der Trend zu freizügigeren Lizenzen.

„In der Stichprobe von Black Duck ist die beliebteste Variante der GPL – Version 2 – weniger als halb so beliebt wie früher (46 % bis 19 %)“, sagte O'Grady. „Im gleichen Zeitraum ist der freizügige MIT von 8 % auf 29 % gestiegen, während sein freizügiger Cousin, die Apache-Lizenz 2.0, von 5 % auf 15 % gestiegen ist.“

In einem Reaktionsartikel auf Opensource.com sagte Jono Bacon, er habe denselben Trend miterlebt, bei dem die GPL in Bezug auf die praktische Anwendbarkeit für Geschäftsinhaber in Ungnade gefallen sei, denen es unangenehm sei, ihre Schwarz-Weiß-Anforderungen zu erfüllen.

„In den letzten Jahren haben wir jedoch eine neuere Generation von Entwicklern gesehen, für die es einen weniger kritischen und, wenn ich es wage zu sagen, weniger religiösen Fokus auf Freiheit gibt“, sagte Bacon. „Für sie ist Open Source eine pragmatische und praktische Komponente beim Erstellen von Software im Gegensatz zu einer ethischen Entscheidung, und ich vermute, dass dies der Grund dafür ist, dass wir ein solches Wachstum bei der Verwendung von MIT- und Apache-Lizenzen beobachten.“

Die Komplexität der Compliance ist einer der Hauptnachteile für diejenigen, die sich bei der Verwendung von GPL-lizenziertem Code unwohl fühlen. Wenn die Open-Source-Anwendungsaudits von Black Duck ein Hinweis darauf sind, dass die kommerzielle Übernahme der GPL nicht mit einer angemessenen Aufklärung über die Einhaltung von Lizenzen einhergegangen ist.

Die Durchsetzung der GPL führt jedoch selten zu Rechtsstreitigkeiten. In einem Artikel, der die Haltung der Free Software Foundation (FSF) zur Rolle von Klagen bei der GPL-Compliance umreißt, sagte Donald Robertson, Compliance sei fast immer eine Bildungsangelegenheit.

„Die meisten Verletzer sind sich ihrer Verpflichtungen aus der Lizenz nicht bewusst und brauchen einfach zusätzliche Hilfe, um die Vorschriften einzuhalten“, sagte Robertson. „Fast alle GPL-Compliance-Fälle enden ruhig damit, dass der Übertreter seine Fehler korrigiert, mit nur einer minimalen Benachrichtigung früherer Empfänger der damals verletzenden Distribution, dass etwas passiert ist.“

Robertson betonte, dass Klagen das letzte Mittel sein sollten, aber eine legitime Option bleiben müssen. Die Compliance-Bemühungen der FSF konzentrieren sich auf die Aufklärung von Verstößen, aber die Organisation behält sich das Recht vor, Maßnahmen gegen diejenigen zu ergreifen, die sich wissentlich für einen Verstoß entscheiden.

„Die Androhung von Rechtsstreitigkeiten bietet ein Druckmittel, das wir bei den seltenen Übertretern brauchen, deren Probleme mit der Einhaltung der GPL nicht nur Fehler sind, sondern vorsätzliche Versuche, die Freiheit ihrer Benutzer einzuschränken“, sagte Robertson. „Während die Compliance-Arbeit in erster Linie lehrreich ist, brauchen wir ein Tool, das mit den wenigen wenigen funktioniert, die bereits gebildet sind, sich aber trotzdem für eine Verletzung entschieden haben. Copyleft war von Anfang an darauf ausgelegt, als dieses Werkzeug zu dienen.“

Eben Moglen, President und Executive Director des Software Freedom Law Center, sprach letzten Oktober auf der SFLC-Konferenz über die Einhaltung von Open-Source-Lizenzen. Er forderte die Zuhörer auf, die Wahrnehmung der GPL in der gesamten Branche bei der Abwägung der Kosten von Rechtsstreitigkeiten hinsichtlich der Einhaltung zu berücksichtigen.

„Wir sind keine Copyright-Maximalisten und wir waren es nie“, sagte Moglen. „Wir haben nicht das getan, was wir in den letzten 30 Jahren getan haben, um freie Software auf der Grundlage der Annahme zu entwickeln, dass die Freiheit von uns verlangt, jeden zu jagen und zu bestrafen, der jemals einen Fehler gemacht oder sogar absichtlich urheberrechtlich geschützte Software missbraucht hat, die zum Teilen erstellt wurde .“

Moglen sagte, dass es in Situationen, in denen es angemessen sei, ein Exempel zu statuieren, wichtig sei, zu erklären, dass man sich in einer Situation des letzten Auswegs befinde, in der es außer einem Rechtsstreit keine anderen Optionen gebe. Die gewaltsame Sicherstellung der Einhaltung kann das Vertrauen von Unternehmen in die Nutzung der GPL beschädigen.

„Wenn Richard Stallman und ich vor Gericht gegangen wären und ein großes globales Aktienunternehmen wegen einer Klage wegen Urheberrechtsverletzung verklagt hätten, die schwach genug war, um auf einen Abweisungsantrag außergerichtlich verwiesen zu werden, hätten wir die GPL sofort zerstört“, sagte Moglen . „Wenn wir gezeigt hätten, dass wir bereit waren, viel Zwang zu riskieren, sogar gegen einen schlechten Schauspieler nach unserem eigenen Ermessen – wenn wir das ohne angemessene Vorbereitung getan hätten, um sicher zu sein, dass wir gewinnen – hätten wir ein Beispiel für Zwang verloren und niemanden hätte uns wieder vertraut.“

Moglen warnte die Zuhörer davor, zu schnell Maßnahmen zu ergreifen, die die Leute dazu veranlassen könnten, sich zu fragen, ob mit Copyleft etwas nicht stimmt. Er befürwortete die spontane Befolgung im Gegensatz zur ständigen Überwachung von Verstößen als den effektivsten Weg, um die Zukunft der GPL zu sichern.

„Wir haben die Möglichkeit, diese freie Software dort einzusetzen, wo wir sie haben wollen, nämlich überall, und sie dazu zu bringen, das zu tun, was wir wollen, nämlich Freiheit zu verbreiten“, sagte Moglen. „Wir sind nicht an einem Ort, an dem die Schwierigkeit darin besteht, wie wir genug Munition bekommen, um alle zur Einhaltung zu zwingen. Wir brauchen keine Munition. Wir brauchen Diplomatie. Wir brauchen Geschick. Wir müssen besser zusammenarbeiten. Wir müssen verstehen, wie diese gezielte Zusammenarbeit uns zu dem Punkt bringt, an dem alle keine Angst mehr vor FOSS haben und wir uns keine Sorgen mehr um ihre Einhaltung machen. Wir sind einfach alle engagiert und führend bei der Entwicklung freier Software.“

Moglen ermutigte zu Diplomatie und Diskretion, wenn es um Compliance geht, da die langfristige Glaubwürdigkeit der Freie-Software-Community auf dem Spiel steht.

„Ich stimme mit den Leuten überein, die vorgeschlagen haben, dass, wenn eine Kampagne der erzwungenen Einhaltung nur einen Moment zu weit getrieben wird, die Bereitschaft zur Verwendung von Copyleft unter den rationalen Unternehmen der Welt bis zu einem Punkt sinken wird, der für die Freiheit gefährlich ist“, sagte Moglen . „Weil ich glaube, dass Copyleft wichtig für die Freiheit ist.“

Während die jüngsten Audits von Black Duck zeigen, dass Unternehmen mit dem Open-Source-Risikomanagement zu kämpfen haben und Lizenzkonflikte weit verbreitet sind, ist die gute Nachricht, dass die Welt Open-Source-Software in jeder Branche begrüßt. Ingenieure und Produktmanager haben möglicherweise kein vollständiges Verständnis der Anforderungen der GPL, aber ein Compliance-Ansatz, der sich auf Bildung konzentriert, wird einen großen Beitrag zum Aufbau einer Zukunft leisten, in der Copyleft-Software im Mittelpunkt der Innovation steht.