• Beranda
  • Artikel
  • Memandu
  • Laporan Analisis Risiko dan Keamanan Sumber Terbuka 2017 Menunjukkan Konflik Lisensi GPL yang Meluas

Laporan Analisis Risiko dan Keamanan Sumber Terbuka 2017 Menunjukkan Konflik Lisensi GPL yang Meluas

Diterbitkan: 2017-04-27
kredit foto: 16th – (lisensi)

Penggunaan perangkat lunak open source tumbuh di semua industri, tetapi laporan Open Source Security and Risk Analysis (OSSRA) tahun ini dari Black Duck menunjukkan meluasnya kerentanan keamanan dan risiko kepatuhan lisensi. Black Duck melakukan audit pada lebih dari 1.000 aplikasi komersial pada tahun 2016 dan menganalisis data yang dianonimkan. Audit terutama terkait dengan transaksi merger dan akuisisi tetapi mencakup beragam industri, seperti perawatan kesehatan, manufaktur, jasa keuangan, kedirgantaraan, penerbangan, dan ritel.

Keamanan open source dan masalah kepatuhan lisensi dapat menimbulkan ancaman keuangan yang serius bagi perusahaan. Temuan Black Duck menunjukkan 96% aplikasi yang dipindai menyertakan perangkat lunak sumber terbuka dan rata-rata aplikasi menyertakan 147 komponen sumber terbuka yang unik. Mayoritas dari aplikasi ini (67%) berisi masalah keamanan yang telah diketahui publik selama rata-rata empat tahun. Ini termasuk kerentanan berisiko tinggi dan terkenal seperti Poodle, Freak, Drown, dan Heartbleed.

Masalah kepatuhan lisensi bahkan lebih luas daripada masalah keamanan. Audit Black Duck menemukan 85% aplikasi memiliki komponen dengan konflik lisensi. Meskipun 75% dari aplikasi yang diaudit menyertakan komponen berlisensi GPL, hanya 45% di antaranya yang sepenuhnya sesuai dengan lisensi. Audit juga mengungkapkan bahwa 53% dari aplikasi yang dipindai memiliki komponen dengan lisensi "tidak diketahui", yang umumnya berarti komponen tersebut digunakan tanpa izin dari pembuatnya.

Bagaimana Upaya Kepatuhan GPL Mempengaruhi Masa Depan Ekosistem Copyleft

Artikel terbaru Stephen O'Grady di Redmonk.com memuji penurunan GPL, merujuk repositori yang disurvei oleh Black Duck yang menunjukkan bahwa lisensi GPL yang dulu dominan "terus terkikis, memberi jalan kepada lisensi di ujung spektrum yang berlawanan dan permisif." Meskipun pengembang dan perusahaan siap merangkul perangkat lunak sumber terbuka, trennya adalah lisensi yang lebih permisif.

“Dalam sampel Bebek Hitam, varian paling populer dari GPL – versi 2 – kurang dari setengah popularitasnya (46% hingga 19%),” kata O'Grady. “Selama rentang yang sama, MIT yang permisif telah meningkat dari 8% menjadi 29%, sementara sepupunya yang permisif, Apache License 2.0 melonjak dari 5% menjadi 15%.”

Dalam artikel reaksi di Opensource.com, Jono Bacon mengatakan dia telah menyaksikan tren yang sama dengan GPL yang tidak disukai dalam hal kepraktisan bagi pemilik bisnis yang tidak nyaman dengan memenuhi tuntutan hitam dan putihnya.

“Dalam beberapa tahun terakhir, kami telah melihat generasi baru dari pengembang yang kurang kritis, dan jika saya berani mengatakannya, kurang fokus pada kebebasan beragama,” kata Bacon. “Bagi mereka, open source adalah komponen pragmatis dan praktis dalam membangun perangkat lunak yang bertentangan dengan pilihan etis, dan saya menduga inilah mengapa kami melihat pertumbuhan dalam penggunaan lisensi MIT dan Apache.”

Kompleksitas kepatuhan adalah salah satu kelemahan utama bagi mereka yang merasa tidak nyaman menggunakan kode berlisensi GPL. Jika audit aplikasi open source Black Duck merupakan indikasi, adopsi komersial GPL tidak disertai dengan pendidikan yang memadai tentang kepatuhan lisensi.

Namun, penegakan GPL jarang mengarah ke litigasi. Dalam sebuah artikel yang menguraikan sikap Free Software Foundation (FSF) tentang peran tuntutan hukum dalam kepatuhan GPL, Donald Robertson mengatakan kepatuhan hampir selalu merupakan masalah pendidikan.

“Sebagian besar pelanggar tidak menyadari kewajiban mereka di bawah lisensi dan hanya membutuhkan bantuan tambahan untuk mematuhinya,” kata Robertson. “Hampir semua kasus kepatuhan GPL berakhir diam-diam dengan pelanggar mengoreksi kesalahan mereka, dengan hanya sedikit pemberitahuan dari penerima sebelumnya dari distribusi yang melanggar bahwa sesuatu telah terjadi.”

Robertson menekankan bahwa tuntutan hukum harus menjadi pilihan terakhir tetapi harus tetap menjadi pilihan yang sah. Upaya kepatuhan FSF berfokus pada mendidik pelanggar, tetapi organisasi berhak mengambil tindakan terhadap mereka yang sengaja memilih untuk melanggar.

“Ancaman litigasi memberikan pengaruh yang kita butuhkan dengan pelanggar langka yang masalah kepatuhan GPL bukan hanya kesalahan, tetapi merupakan upaya yang disengaja untuk membatasi kebebasan penggunanya,” kata Robertson. “Sementara pekerjaan kepatuhan terutama bersifat mendidik, kami membutuhkan alat yang dapat bekerja dengan segelintir orang yang sudah berpendidikan tetapi tetap memilih untuk melanggar. Copyleft dirancang sejak awal untuk berfungsi sebagai alat itu.”

Software Freedom Law Center presiden dan direktur eksekutif Eben Moglen berbicara pada konferensi SFLC Oktober lalu tentang kepatuhan lisensi open source. Dia mendesak pendengar untuk mempertimbangkan persepsi GPL di industri secara luas ketika menimbang biaya kepatuhan litigasi.

“Kami tidak dan kami tidak pernah maksimalis hak cipta,” kata Moglen. “Kami tidak melakukan apa yang telah kami lakukan selama 30 tahun terakhir untuk membangun perangkat lunak bebas berdasarkan asumsi bahwa kebebasan mengharuskan kami untuk mengejar dan menghukum setiap orang yang pernah melakukan kesalahan atau yang bahkan dengan sengaja menyalahgunakan perangkat lunak berhak cipta yang dibuat untuk dibagikan. .”

Moglen mengatakan bahwa dalam situasi di mana pantas untuk membuat contoh, penting untuk menyatakan bahwa Anda berada dalam situasi pilihan terakhir tanpa pilihan lain selain litigasi. Mengamankan kepatuhan dengan paksa dapat merusak kepercayaan perusahaan dalam menggunakan GPL.

“Jika Richard Stallman dan saya pergi ke pengadilan dan menggugat perusahaan publik global besar atas klaim pelanggaran hak cipta yang cukup lemah untuk dikeluarkan dari pengadilan dengan mosi untuk membubarkan, kami akan langsung menghancurkan GPL,” kata Moglen. . “Jika kami telah menunjukkan bahwa kami siap untuk mengambil risiko besar pada paksaan, bahkan melawan aktor yang buruk menurut penilaian kami sendiri – jika kami melakukannya tanpa persiapan yang memadai untuk memastikan bahwa kami menang – kami akan kehilangan contoh pemaksaan dan tidak ada seorang pun akan mempercayai kami lagi.”

Moglen mengingatkan pendengarnya untuk tidak terlalu cepat mengambil tindakan yang bisa membuat orang bertanya-tanya apakah ada yang salah dengan copyleft. Dia menganjurkan kepatuhan spontan, sebagai lawan dari pelanggaran kebijakan terus-menerus, sebagai cara paling efektif untuk memastikan masa depan GPL.

“Kami memiliki kesempatan untuk menempatkan perangkat lunak gratis ini di tempat yang kami inginkan, di mana saja, dan membuatnya melakukan apa yang kami inginkan, yaitu menyebarkan kebebasan,” kata Moglen. “Kami tidak berada di tempat di mana kesulitannya adalah bagaimana kami mendapatkan amunisi yang cukup untuk memaksa semua orang mematuhinya. Kami tidak membutuhkan amunisi. Kita butuh diplomasi. Kami membutuhkan keterampilan. Kita perlu bekerja sama dengan lebih baik. Kita perlu memahami bagaimana bekerja bersama secara purposive membawa kita ke titik di mana semua orang tidak takut lagi dengan FOSS dan kita tidak khawatir lagi akan kepatuhan mereka. Kami semua terlibat dan memimpin tugas membuat perangkat lunak bebas.”

Moglen mendorong diplomasi dan kebijaksanaan dalam hal kepatuhan karena kredibilitas jangka panjang dari komunitas perangkat lunak bebas dipertaruhkan.

"Saya setuju dengan orang-orang yang menyarankan bahwa jika kampanye kepatuhan koersif dilakukan terlalu jauh, kesediaan untuk menggunakan hak cipta di antara bisnis rasional dunia akan menurun ke titik yang berbahaya bagi kebebasan," kata Moglen. . “Karena saya percaya bahwa copyleft penting untuk kebebasan.”

Sementara audit Black Duck baru-baru ini menunjukkan bahwa perusahaan berjuang dengan manajemen risiko sumber terbuka dan konflik lisensi merajalela, kabar baiknya adalah dunia merangkul perangkat lunak sumber terbuka di setiap industri. Insinyur dan manajer produk mungkin tidak sepenuhnya memahami persyaratan GPL, tetapi pendekatan kepatuhan yang berfokus pada pendidikan akan sangat membantu dalam membangun masa depan yang menyertakan perangkat lunak copyleft sebagai inti inovasi.