Le rapport 2017 sur la sécurité et l'analyse des risques Open Source montre des conflits de licences GPL généralisés

Publié: 2017-04-27
crédit photo : 16th st – (licence)

L'utilisation des logiciels open source augmente dans tous les secteurs, mais le rapport Open Source Security and Risk Analysis (OSSRA) de cette année de Black Duck montre l'omniprésence des vulnérabilités de sécurité et des risques de conformité des licences. Black Duck a mené des audits sur plus de 1 000 applications commerciales en 2016 et a analysé les données anonymisées. Les audits étaient principalement liés aux transactions de fusion et d'acquisition, mais couvraient un large éventail de secteurs, tels que la santé, la fabrication, les services financiers, l'aérospatiale, l'aviation et la vente au détail.

Les problèmes de sécurité open source et de conformité des licences peuvent tous deux constituer de graves menaces financières pour une entreprise. Les conclusions de Black Duck montrent que 96 % des applications analysées incluent des logiciels open source et que l'application moyenne comprend 147 composants open source uniques. La majorité de ces applications (67 %) contenaient des problèmes de sécurité connus publiquement depuis en moyenne quatre ans. Celles-ci comprenaient des vulnérabilités à haut risque et bien connues telles que Poodle, Freak, Drown et Heartbleed.

Les problèmes de conformité des licences étaient encore plus répandus que les problèmes de sécurité. Les audits de Black Duck ont ​​révélé que 85 % des applications avaient des composants avec des conflits de licence. Bien que 75 % des applications auditées comprenaient des composants sous licence GPL, seuls 45 % d'entre eux étaient entièrement conformes à la licence. Les audits ont également révélé que 53 % des applications analysées avaient des composants avec des licences « inconnues », ce qui signifie généralement que les composants ont été utilisés sans l'autorisation de leurs créateurs.

Comment les efforts de conformité à la GPL affectent l'avenir de l'écosystème du copyleft

Le récent article de Stephen O'Grady sur Redmonk.com salue le déclin de la GPL, faisant référence aux référentiels étudiés par Black Duck qui démontrent que la licence GPL autrefois dominante "s'érode progressivement, laissant la place à des licences à l'extrémité opposée et permissive du spectre". Bien que les développeurs et les entreprises adoptent volontiers les logiciels open source, la tendance est à des licences plus permissives.

"Dans l'échantillon de Black Duck, la variante la plus populaire de la GPL - la version 2 - est moins de la moitié aussi populaire qu'elle l'était (46% à 19%)", a déclaré O'Grady. "Sur la même période, le MIT permissif est passé de 8 % à 29 %, tandis que son cousin permissif, la licence Apache 2.0, est passé de 5 % à 15 %."

Dans un article de réaction sur Opensource.com, Jono Bacon a déclaré avoir été témoin de cette même tendance, la GPL tombant en disgrâce en termes de praticité pour les propriétaires d'entreprise qui ne sont pas à l'aise de répondre à ses exigences en noir et blanc.

"Ces dernières années, cependant, nous avons vu une nouvelle génération de développeurs se former pour qui il y a une focalisation moins critique, et si j'ose le dire, moins religieuse sur la liberté", a déclaré Bacon. "Pour eux, l'open source est un élément pragmatique et pratique dans la création de logiciels par opposition à un choix éthique, et je soupçonne que c'est la raison pour laquelle nous avons vu une telle croissance dans l'utilisation des licences MIT et Apache."

La complexité de la conformité est l'un des principaux inconvénients pour ceux qui ne se sentent pas à l'aise avec le code sous licence GPL. Si les audits des applications open source de Black Duck sont une indication, l'adoption commerciale de la GPL ne s'est pas accompagnée d'une formation adéquate sur la conformité des licences.

Cependant, l'application de la GPL conduit rarement à des litiges. Dans un article décrivant la position de la Free Software Foundation (FSF) sur le rôle des poursuites judiciaires dans la conformité à la GPL, Donald Robertson a déclaré que la conformité est presque toujours une question éducative.

"La plupart des contrevenants ne sont pas conscients de leurs obligations en vertu de la licence et ont simplement besoin d'une aide supplémentaire pour se mettre en conformité", a déclaré Robertson. "Presque tous les cas de conformité à la GPL se terminent tranquillement avec le contrevenant corrigeant ses erreurs, avec seulement une notification minimale des anciens destinataires de la distribution alors en infraction que quelque chose s'est passé."

Robertson a souligné que les poursuites devraient être un dernier recours mais doivent rester une option légitime. Les efforts de conformité de la FSF se concentrent sur l'éducation des contrevenants, mais l'organisation se réserve le droit de prendre des mesures contre ceux qui choisissent sciemment de violer.

"La menace de litige fournit un levier dont nous avons besoin avec les rares contrevenants dont les problèmes de conformité à la GPL ne sont pas simplement des erreurs, mais sont des tentatives intentionnelles de limiter la liberté de leurs utilisateurs", a déclaré Robertson. "Bien que le travail de conformité soit principalement éducatif, nous avons besoin d'un outil qui peut fonctionner avec les rares personnes déjà éduquées mais qui ont quand même choisi de violer. Copyleft a été conçu dès le départ pour servir d'outil.

Le président et directeur exécutif du Software Freedom Law Center, Eben Moglen, a parlé lors de la conférence du SFLC en octobre dernier de la conformité des licences open source. Il a exhorté les auditeurs à tenir compte de la perception de la GPL dans l'industrie dans son ensemble lorsqu'ils évaluent les coûts des litiges de conformité.

"Nous ne sommes pas et nous n'avons jamais été des maximalistes du droit d'auteur", a déclaré Moglen. « Nous n'avons pas fait ce que nous avons fait au cours des 30 dernières années pour créer des logiciels libres en nous basant sur l'hypothèse que la liberté exigeait que nous poursuivions et punissions tous ceux qui ont commis une erreur ou qui ont même délibérément abusé d'un logiciel protégé par le droit d'auteur conçu pour le partage. .”

Moglen a déclaré que dans les situations où il est approprié de faire un exemple, il est important de déclarer que vous êtes dans une situation de dernier recours sans autre option que le litige. Garantir la conformité par la force peut nuire à la confiance des entreprises dans l'utilisation de la GPL.

"Si Richard Stallman et moi étions allés en justice et avions poursuivi une grande entreprise publique mondiale pour une plainte pour violation du droit d'auteur suffisamment faible pour être rejetée par le tribunal sur une requête en rejet, nous aurions immédiatement détruit la GPL", a déclaré Moglen. . "Si nous avions montré que nous étions prêts à risquer gros sur la coercition, même contre un mauvais acteur selon notre propre jugement - si nous l'avions fait sans une préparation adéquate pour être sûr que nous avons gagné - nous aurions perdu un exemple de coercition et personne nous aurait fait à nouveau confiance.”

Moglen a averti les auditeurs de ne pas être trop rapides pour prendre des mesures qui pourraient amener les gens à se demander s'il y a quelque chose qui ne va pas avec le copyleft. Il a préconisé la conformité spontanée, par opposition à la surveillance constante des violations, comme le moyen le plus efficace d'assurer l'avenir de la GPL.

"Nous avons l'opportunité de mettre ce logiciel libre là où nous le voulons, c'est-à-dire partout, et de lui faire faire ce que nous voulons, c'est-à-dire répandre la liberté", a déclaré Moglen. «Nous ne sommes pas dans un endroit où la difficulté est de savoir comment obtenir suffisamment de munitions pour forcer tout le monde à se conformer. Nous n'avons pas besoin de munitions. Nous avons besoin de diplomatie. Nous avons besoin de compétences. Nous devons mieux travailler ensemble. Nous devons comprendre comment cette collaboration délibérée nous amène au point où tout le monde n'a plus peur des logiciels libres et nous ne nous inquiétons plus de leur conformité. Nous nous engageons tous et menons la tâche de créer des logiciels libres.

Moglen a encouragé la diplomatie et la discrétion en matière de conformité car la crédibilité à long terme de la communauté du logiciel libre est en jeu.

"Je suis d'accord avec les personnes qui ont suggéré que si une campagne de conformité coercitive est poussée juste un instant trop loin, la volonté d'utiliser le copyleft parmi les entreprises rationnelles du monde diminuera à un point dangereux pour la liberté", a déclaré Moglen. . "Parce que je crois que le copyleft est important pour la liberté."

Alors que les récents audits de Black Duck montrent que les entreprises ont du mal à gérer les risques open source et que les conflits de licences sont monnaie courante, la bonne nouvelle est que le monde adopte les logiciels open source dans tous les secteurs. Les ingénieurs et les chefs de produit n'ont peut-être pas une compréhension complète des exigences de la GPL, mais une approche de conformité axée sur l'éducation contribuera grandement à la construction d'un avenir qui inclut le logiciel copyleft au cœur de l'innovation.