Informe de análisis de riesgo y seguridad de código abierto de 2017 muestra conflictos de licencia GPL generalizados

El uso de software de código abierto está creciendo en todas las industrias, pero el informe de análisis de riesgo y seguridad de código abierto (OSSRA) de este año de Black Duck muestra la omnipresencia de las vulnerabilidades de seguridad y los riesgos de cumplimiento de licencias. Black Duck realizó auditorías en más de 1000 aplicaciones comerciales en 2016 y analizó los datos anónimos. Las auditorías se relacionaron principalmente con transacciones de fusiones y adquisiciones, pero abarcan una amplia gama de industrias, como atención médica, manufactura, servicios financieros, aeroespacial, aviación y venta minorista.

Los problemas de seguridad de código abierto y cumplimiento de licencias pueden representar serias amenazas financieras para una empresa. Los hallazgos de Black Duck muestran que el 96% de las aplicaciones escaneadas incluyen software de código abierto y la aplicación promedio incluye 147 componentes únicos de código abierto. La mayoría de estas aplicaciones (67 %) contenían problemas de seguridad que se han conocido públicamente durante un promedio de cuatro años. Estos incluían vulnerabilidades conocidas y de alto riesgo como Poodle, Freak, Drown y Heartbleed.

Los problemas de cumplimiento de licencias estaban aún más extendidos que los problemas de seguridad. Las auditorías de Black Duck encontraron que el 85% de las aplicaciones tenían componentes con conflictos de licencia. Aunque el 75 % de las aplicaciones auditadas incluían componentes con licencia GPL, solo el 45 % de ellas cumplían plenamente con la licencia. Las auditorías también revelaron que el 53% de las aplicaciones escaneadas tenían componentes con licencias "desconocidas", lo que generalmente significa que los componentes se usaron sin permiso de sus creadores.

Cómo los esfuerzos de cumplimiento de GPL afectan el futuro del ecosistema copyleft

El artículo reciente de Stephen O'Grady en Redmonk.com elogia el declive de la GPL, haciendo referencia a los repositorios encuestados por Black Duck que demuestran que la licencia GPL que alguna vez fue dominante está "erosionando constantemente, dando paso a licencias en el extremo opuesto y permisivo del espectro". Aunque los desarrolladores y las empresas están adoptando fácilmente el software de código abierto, la tendencia es hacia licencias más permisivas.

“En la muestra de Black Duck, la variante más popular de la GPL, la versión 2, es menos de la mitad de popular (46% a 19%)”, dijo O'Grady. “En el mismo lapso, el MIT permisivo pasó del 8 % al 29 %, mientras que su primo permisivo Apache License 2.0 saltó del 5 % al 15 %”.

En un artículo de reacción en Opensource.com, Jono Bacon dijo que ha sido testigo de esta misma tendencia con la GPL perdiendo el favor en términos de practicidad para los dueños de negocios que se sienten incómodos con cumplir con sus demandas en blanco y negro.

“En los últimos años, hemos visto formarse una nueva generación de desarrolladores para quienes hay un enfoque menos crítico, y si me atrevo a decirlo, menos religioso en la libertad”, dijo Bacon. “Para ellos, el código abierto es un componente pragmático y práctico en la creación de software en lugar de una elección ética, y sospecho que es por eso que hemos visto un crecimiento tan grande en el uso de las licencias MIT y Apache”.

La complejidad del cumplimiento es uno de los principales inconvenientes para aquellos que se sienten incómodos al usar código con licencia GPL. Si las auditorías de aplicaciones de código abierto de Black Duck sirven de indicación, la adopción comercial de la GPL no ha venido acompañada de una educación adecuada sobre el cumplimiento de la licencia.

Sin embargo, la aplicación de la GPL rara vez conduce a litigios. En un artículo que describe la postura de la Free Software Foundation (FSF) sobre el papel de las demandas en el cumplimiento de la GPL, Donald Robertson dijo que el cumplimiento es casi siempre una cuestión educativa.

“La mayoría de los infractores desconocen sus obligaciones bajo la licencia y simplemente necesitan ayuda adicional para cumplir”, dijo Robertson. “Casi todos los casos de cumplimiento de GPL terminan tranquilamente con el infractor corrigiendo sus errores, con solo una notificación mínima de los destinatarios anteriores de la distribución infractora de que algo sucedió”.

Robertson enfatizó que las demandas deben ser el último recurso, pero deben seguir siendo una opción legítima. Los esfuerzos de cumplimiento de la FSF se centran en educar a los infractores, pero la organización se reserva el derecho de tomar medidas contra aquellos que, a sabiendas, eligen infringir.

“La amenaza de litigio brinda la ventaja que necesitamos con los raros infractores cuyos problemas de cumplimiento de GPL no son simplemente errores, sino intentos intencionales de limitar la libertad de sus usuarios”, dijo Robertson. “Si bien el trabajo de cumplimiento es principalmente educativo, necesitamos una herramienta que pueda funcionar con los pocos que ya están educados pero que eligieron violar de todos modos. Copyleft fue diseñado desde el principio para servir como esa herramienta”.

El presidente y director ejecutivo de Software Freedom Law Center, Eben Moglen, habló en la conferencia de SFLC en octubre pasado sobre el cumplimiento de la licencia de código abierto. Instó a los oyentes a considerar la percepción de la GPL en la industria en general al sopesar los costos de litigar el cumplimiento.

“No somos y nunca fuimos maximalistas de los derechos de autor”, dijo Moglen. “No hicimos lo que hemos estado haciendo durante los últimos 30 años para construir software libre sobre la base de la suposición de que la libertad requería que persiguiéramos y castigáramos a todos los que alguna vez cometieron un error o que incluso hicieron un mal uso deliberado del software protegido por derechos de autor hecho para compartir. .”

Moglen dijo que en situaciones en las que es apropiado dar un ejemplo, es importante declarar que se encuentra en una situación de último recurso sin otras opciones además del litigio. Asegurar el cumplimiento por la fuerza puede dañar la confianza de las empresas en el uso de la GPL.

“Si Richard Stallman y yo hubiéramos ido a los tribunales y demandado a una importante empresa pública mundial por un reclamo de infracción de derechos de autor que era lo suficientemente débil como para ser desestimado por una moción de desestimación, habríamos destruido la GPL de inmediato”, dijo Moglen. . “Si hubiéramos demostrado que estábamos preparados para arriesgarnos mucho en la coerción, incluso contra un mal actor a nuestro juicio, si lo hubiéramos hecho sin la preparación adecuada para asegurarnos de ganar, habríamos perdido un ejemplo de coerción y nadie. habría confiado en nosotros de nuevo.”

Moglen advirtió a los oyentes que no se apresuren a tomar medidas que puedan hacer que las personas se pregunten si hay algo mal con el copyleft. Abogó por el cumplimiento espontáneo, en lugar de vigilar constantemente las infracciones, como la forma más eficaz de garantizar el futuro de la GPL.

“Tenemos la oportunidad de poner este software libre donde queremos, que está en todas partes, y hacer que haga lo que queremos, que es difundir la libertad”, dijo Moglen. “No estamos en un lugar donde la dificultad es cómo obtenemos suficientes municiones para obligar a todos a cumplir. No necesitamos municiones. Necesitamos diplomacia. Necesitamos habilidad. Necesitamos trabajar mejor juntos. Necesitamos entender cómo ese trabajo conjunto deliberadamente nos lleva al punto en el que todos ya no le temen a FOSS y ya no nos preocupa que cumplan. Todos estamos comprometidos y liderando la tarea de crear software libre”.

Moglen alentó la diplomacia y la discreción cuando se trata de cumplimiento porque está en juego la credibilidad a largo plazo de la comunidad de software libre.

“Estoy de acuerdo con las personas que han sugerido que si una campaña de cumplimiento coercitivo se lleva demasiado lejos, la voluntad de usar el copyleft entre las empresas racionales del mundo disminuirá hasta un punto que es peligroso para la libertad”, dijo Moglen. . “Porque creo que el copyleft es importante para la libertad”.

Si bien las auditorías recientes de Black Duck muestran que las empresas luchan con la gestión de riesgos de código abierto y los conflictos de licencia son rampantes, la buena noticia es que el mundo está adoptando el software de código abierto en todas las industrias. Es posible que los ingenieros y los gerentes de producto no tengan una comprensión completa de los requisitos de la GPL, pero un enfoque de cumplimiento que se centre en la educación contribuirá en gran medida a construir un futuro que incluya el software copyleft en el centro de la innovación.