• Homepage
  • Articoli
  • Guida
  • Il rapporto sull'analisi dei rischi e sulla sicurezza open source 2017 mostra conflitti di licenza GPL diffusi

Il rapporto sull'analisi dei rischi e sulla sicurezza open source 2017 mostra conflitti di licenza GPL diffusi

Pubblicato: 2017-04-27
credito fotografico: 16° ​​– (licenza)

L'utilizzo del software open source è in crescita in tutti i settori, ma il rapporto OSSRA (Open Source Security and Risk Analysis) di quest'anno di Black Duck mostra la pervasività delle vulnerabilità della sicurezza e dei rischi di conformità delle licenze. Black Duck ha condotto audit su oltre 1.000 applicazioni commerciali nel 2016 e ha analizzato i dati resi anonimi. Gli audit erano principalmente relativi a operazioni di fusione e acquisizione, ma abbracciavano un'ampia gamma di settori, come assistenza sanitaria, produzione, servizi finanziari, aerospaziale, aviazione e vendita al dettaglio.

I problemi di sicurezza open source e di conformità delle licenze possono entrambi rappresentare gravi minacce finanziarie per un'azienda. I risultati di Black Duck mostrano che il 96% delle applicazioni scansionate include software open source e l'app media includeva 147 componenti open source unici. La maggior parte di queste applicazioni (67%) conteneva problemi di sicurezza noti pubblicamente da una media di quattro anni. Questi includevano vulnerabilità ad alto rischio e ben note come Poodle, Freak, Drown e Heartbleed.

I problemi di conformità delle licenze erano ancora più diffusi dei problemi di sicurezza. Gli audit di Black Duck hanno rilevato che l'85% delle applicazioni aveva componenti con conflitti di licenza. Sebbene il 75% delle applicazioni controllate includesse componenti con licenza GPL, solo il 45% di esse era pienamente conforme alla licenza. Gli audit hanno anche rivelato che il 53% delle applicazioni scansionate aveva componenti con licenze "sconosciute", il che generalmente significa che i componenti sono stati utilizzati senza il permesso dei loro creatori.

In che modo gli sforzi per la conformità alla GPL influiscono sul futuro dell'ecosistema Copyleft

Il recente articolo di Stephen O'Grady su Redmonk.com saluta il declino della GPL, riferendosi a repository intervistati da Black Duck che dimostrano che la licenza GPL un tempo dominante si sta "erodendo costantemente, lasciando il posto a licenze all'estremità opposta e permissiva dello spettro". Sebbene gli sviluppatori e le aziende stiano adottando prontamente il software open source, la tendenza è verso licenze più permissive.

"Nel campione di Black Duck, la variante più popolare della GPL - versione 2 - è meno della metà di quanto lo fosse (dal 46% al 19%)", ha affermato O'Grady. "Nello stesso arco di tempo, il permissivo MIT è passato dall'8% di share al 29%, mentre il suo cugino permissivo Apache License 2.0 è balzato dal 5% al ​​15%".

In un articolo di reazione su Opensource.com, Jono Bacon ha affermato di aver assistito a questa stessa tendenza con la GPL che è caduta in disgrazia in termini di praticità per gli imprenditori che sono a disagio nel soddisfare le sue richieste in bianco e nero.

"Negli ultimi anni, tuttavia, abbiamo assistito alla formazione di una nuova generazione di sviluppatori per i quali c'è un focus meno critico e, se mi permetto di dirlo, meno religioso sulla libertà", ha detto Bacon. "Per loro, l'open source è una componente pragmatica e pratica nella creazione di software in opposizione a una scelta etica, e sospetto che questo sia il motivo per cui abbiamo assistito a una tale crescita nell'uso delle licenze MIT e Apache".

La complessità della conformità è uno dei principali inconvenienti per coloro che si sentono a disagio nell'usare codice con licenza GPL. Se gli audit delle applicazioni open source di Black Duck sono indicativi, l'adozione commerciale della GPL non è stata accompagnata da un'adeguata formazione sulla conformità delle licenze.

Tuttavia, l'applicazione della GPL raramente porta a contenzioso. In un articolo che delinea la posizione della Free Software Foundation (FSF) sul ruolo delle azioni legali nella conformità alla GPL, Donald Robertson ha affermato che la conformità è quasi sempre una questione educativa.

"La maggior parte dei trasgressori non è a conoscenza dei propri obblighi ai sensi della licenza e ha semplicemente bisogno di ulteriore aiuto per conformarsi", ha affermato Robertson. "Quasi tutti i casi di conformità alla GPL si concludono tranquillamente con il trasgressore che corregge i propri errori, con solo una minima notifica ai destinatari passati della distribuzione allora violata che è successo qualcosa".

Robertson ha sottolineato che le azioni legali dovrebbero essere l'ultima risorsa, ma devono rimanere un'opzione legittima. Gli sforzi di conformità di FSF si concentrano sull'educazione dei trasgressori, ma l'organizzazione si riserva il diritto di agire contro coloro che scelgono consapevolmente di violare.

"La minaccia di contenzioso fornisce la leva di cui abbiamo bisogno con i rari trasgressori i cui problemi di conformità alla GPL non sono semplici errori, ma sono tentativi intenzionali di limitare la libertà dei loro utenti", ha affermato Robertson. “Sebbene il lavoro di conformità sia principalmente educativo, abbiamo bisogno di uno strumento che possa funzionare con i pochi rari che sono già istruiti ma hanno comunque scelto di violare. Copyleft è stato progettato fin dall'inizio per fungere da strumento".

Il presidente e direttore esecutivo del Software Freedom Law Center Eben Moglen ha parlato alla conferenza dell'SFLC lo scorso ottobre sulla conformità delle licenze open source. Ha esortato gli ascoltatori a considerare la percezione della GPL nel settore in generale quando si valutano i costi di contenzioso sulla conformità.

"Non lo siamo e non siamo mai stati massimalisti del copyright", ha detto Moglen. "Non abbiamo fatto quello che abbiamo fatto negli ultimi 30 anni per creare software libero sulla base del presupposto che la libertà ci richiedesse di inseguire e punire tutti coloro che hanno commesso un errore o che hanno anche utilizzato deliberatamente in modo improprio software protetto da copyright creato per la condivisione .”

Moglen ha affermato che nelle situazioni in cui è opportuno fare un esempio, è importante dichiarare di trovarsi in una situazione di ultima istanza senza altre opzioni oltre al contenzioso. Garantire la conformità con la forza può danneggiare la fiducia delle aziende nell'utilizzo della GPL.

"Se Richard Stallman e io fossimo andati in tribunale e avessimo citato in giudizio un'importante società pubblica globale per una denuncia di violazione del copyright che era abbastanza debole da essere respinta dal tribunale con una mozione di rigetto, avremmo distrutto immediatamente la GPL", ha detto Moglen . “Se avessimo dimostrato di essere disposti a rischiare molto sulla coercizione, anche contro un cattivo attore a nostro giudizio – se lo avessimo fatto senza una preparazione adeguata per essere sicuri di vincere – avremmo perso un esempio di coercizione e nessuno si sarebbe fidato di nuovo di noi”.

Moglen ha avvertito gli ascoltatori di non essere troppo veloci nell'intraprendere azioni che potrebbero indurre le persone a chiedersi se c'è qualcosa di sbagliato nel copyleft. Ha sostenuto il rispetto spontaneo, invece di controllare costantemente le violazioni, come il modo più efficace per garantire il futuro della GPL.

"Abbiamo l'opportunità di mettere questo software libero dove vogliamo, che è ovunque, e di farlo fare ciò che vogliamo, ovvero diffondere la libertà", ha affermato Moglen. “Non siamo in un luogo in cui la difficoltà è come ottenere abbastanza munizioni per costringere tutti a obbedire. Non abbiamo bisogno di munizioni. Abbiamo bisogno di diplomazia. Abbiamo bisogno di abilità. Dobbiamo lavorare insieme meglio. Dobbiamo capire in che modo il lavorare insieme intenzionalmente ci porta al punto in cui tutti non hanno più paura dei FOSS e non siamo più preoccupati del loro rispetto. Stiamo semplicemente coinvolgendo e guidando il compito di creare software libero".

Moglen ha incoraggiato la diplomazia e la discrezione quando si tratta di conformità perché è in gioco la credibilità a lungo termine della comunità del software libero.

"Sono d'accordo con le persone che hanno suggerito che se una campagna di conformità coercitiva viene portata avanti solo un momento troppo, la volontà di utilizzare il copyleft tra le imprese razionali del mondo diminuirà a un punto che è pericoloso per la libertà", ha detto Moglen . "Perché credo che il copyleft sia importante per la libertà."

Mentre i recenti audit di Black Duck mostrano che le aziende lottano con la gestione del rischio open source e i conflitti di licenza sono dilaganti, la buona notizia è che il mondo sta abbracciando il software open source in ogni settore. Ingegneri e product manager potrebbero non avere una conoscenza completa dei requisiti della GPL, ma un approccio alla conformità incentrato sull'istruzione contribuirà notevolmente alla costruzione di un futuro che includa il software copyleft al centro dell'innovazione.