• ホームページ
  • 記事
  • ガイド
  • 2017年のオープンソースのセキュリティとリスク分析レポートは、広範囲にわたるGPLライセンスの競合を示しています

2017年のオープンソースのセキュリティとリスク分析レポートは、広範囲にわたるGPLライセンスの競合を示しています

公開: 2017-04-27
写真提供者:16日–(ライセンス)

オープンソースソフトウェアの使用はすべての業界で増加していますが、Black Duckによる今年のオープンソースセキュリティおよびリスク分析(OSSRA)レポートは、セキュリティの脆弱性とライセンスコンプライアンスリスクの蔓延を示しています。 Black Duckは、2016年に1,000を超える商用アプリケーションの監査を実施し、匿名化されたデータを分析しました。 監査は主にM&A取引に関連していましたが、ヘルスケア、製造、金融サービス、航空宇宙、航空、小売などの幅広い業界にまたがっています。

オープンソースのセキュリティとライセンスコンプライアンスの問題は、どちらも企業に深刻な経済的脅威をもたらす可能性があります。 Black Duckの調査結果によると、スキャンされたアプリケーションの96%にはオープンソースソフトウェアが含まれており、平均的なアプリには147の固有のオープンソースコンポーネントが含まれていました。 これらのアプリケーションの大部分(67%)には、平均4年間公に知られているセキュリティの問題が含まれていました。 これらには、Poodle、Freak、Drown、Heartbleedなどのリスクが高く有名な脆弱性が含まれていました。

ライセンスコンプライアンスの問題は、セキュリティの問題よりもさらに広範囲に及んでいました。 Black Duckの監査では、アプリケーションの85%にライセンスの競合があるコンポーネントが含まれていることがわかりました。 監査されたアプリケーションの75%にはGPLライセンスのコンポーネントが含まれていましたが、ライセンスに完全に準拠しているのは45%のみでした。 監査では、スキャンされたアプリケーションの53%に「不明な」ライセンスのコンポーネントが含まれていることも明らかになりました。これは、通常、コンポーネントが作成者の許可なしに使用されたことを意味します。

GPLコンプライアンスの取り組みがコピーレフトエコシステムの将来にどのように影響するか

Redmonk.comに関するStephenO'Gradyの最近の記事は、GPLの衰退を称賛し、かつて支配的だったGPLライセンスが「着実に侵食されており、反対の許容範囲の端にあるライセンスに取って代わられている」ことを示すBlackDuckが調査したリポジトリを参照しています。 開発者や企業はオープンソースソフトウェアを容易に採用していますが、傾向はより寛容なライセンスに向かっています。

「BlackDuckのサンプルでは、​​GPLの最も人気のあるバリアントであるバージョン2は、以前の半分以下(46%から19%)です」とO'Grady氏は述べています。 「同じスパンで、寛容なMITは8%のシェアから29%になりましたが、寛容ないとこであるApache License 2.0は5%から15%に跳ね上がりました。」

Opensource.comのリアクション記事で、Jono Baconは、GPLが白黒の要求を満たすことに不安を感じている事業主にとって実用性の点で支持されなくなったことで、これと同じ傾向を目撃したと述べました。

「近年、それほど批判的ではない新世代の開発者が形成されているのを見てきましたが、あえて言うなら、自由への宗教的な焦点は少なくなっています」とベーコンは言いました。 「彼らにとって、オープンソースは倫理的な選択とは対照的に、ソフトウェアを構築する上で実用的かつ実用的なコンポーネントです。これが、MITおよびApacheライセンスの使用がこのように増加している理由だと思います。」

コンプライアンスの複雑さは、GPLライセンスのコードを使用することに不快感を感じる人にとっての主な欠点の1つです。 Black Duckのオープンソースアプリケーション監査が何らかの兆候である場合、GPLの商業的採用には、ライセンスコンプライアンスに関する十分な教育がありません。

ただし、GPLの施行が訴訟につながることはめったにありません。 ドナルド・ロバートソン氏は、GPLコンプライアンスにおける訴訟の役割に関するフリーソフトウェアファウンデーション(FSF)の姿勢を概説した記事の中で、コンプライアンスはほとんどの場合教育的な問題であると述べました。

「ほとんどの違反者は、免許に基づく義務に気づいておらず、コンプライアンスを遵守するために追加の支援が必要なだけです」とロバートソン氏は述べています。 「ほとんどすべてのGPLコンプライアンスのケースは、違反者が間違いを訂正することで静かに終わり、その時点で違反している配布の過去の受信者に何かが起こったことを最小限に通知するだけです。」

ロバートソンは、訴訟は最後の手段であるべきであるが、正当な選択肢であり続けなければならないと強調した。 FSFのコンプライアンスの取り組みは違反者の教育に重点を置いていますが、組織は故意に違反することを選択した人に対して行動を起こす権利を留保します。

「訴訟の脅威は、GPLコンプライアンスの問題が単なる間違いではなく、ユーザーの自由を制限する意図的な試みであるまれな違反者に必要な影響力を提供します」とロバートソン氏は述べています。 「コンプライアンス作業は主に教育的なものですが、すでに教育を受けているが、とにかく違反することを選択したまれな少数の人々と連携できるツールが必要です。 コピーレフトは最初からそのツールとして機能するように設計されました。」

Software Freedom LawCenterの社長兼常務取締役のEbenMoglenは、昨年10月のSFLCの会議で、オープンソースライセンスのコンプライアンスについて話しました。 彼は、コンプライアンス訴訟のコストを比較検討する際に、業界全体でのGPLの認識を考慮するようリスナーに促しました。

「私たちはそうではなく、著作権の最大主義者ではありませんでした」とモグレンは言いました。 「私たちは、自由が私たちに、これまでに間違いを犯した人、または共有のために作成された著作権で保護されたソフトウェアを故意に悪用した人を追いかけ、罰することを要求するという仮定に基づいて、過去30年間行ってきたことを実行しませんでした。 。」

モグレン氏は、例を示すことが適切な状況では、訴訟以外の選択肢がない最後の手段の状況にあることを宣言することが重要であると述べました。 強制的にコンプライアンスを確保することは、GPLの使用に対する企業の信頼を損なう可能性があります。

「リチャード・ストールマンと私が法廷に出廷し、却下の申し立てで法廷から投げ出されるほど弱い著作権侵害の主張で大手グローバル公開会社を訴えたとしたら、私たちはすぐにGPLを破壊したでしょう」とモグレンは言いました。 。 「私たち自身の判断で悪役に対してさえ、強制で大きなリスクを冒す準備ができていることを示した場合、勝つことを確認するための十分な準備なしにそれを行った場合、強制の例を失い、誰もいなかったでしょう。再び私たちを信頼していたでしょう。」

モグレンは、コピーレフトに何か問題があるかどうかを人々に疑わせるような行動をとるのが早すぎないようにリスナーに警告しました。 彼は、GPLの将来を確実にするための最も効果的な方法として、違反を絶えず取り締まるのではなく、自発的なコンプライアンスを提唱しました。

「私たちは、この自由ソフトウェアを私たちが望む場所に、どこにでも置いて、自由を広めるという私たちが望むことを実行させる機会があります」とモグレンは言いました。 「私たちは、すべての人に従わせるのに十分な弾薬をどのように入手するかが難しい状況にありません。 弾薬は必要ありません。 外交が必要です。 スキルが必要です。 私たちはよりよく協力する必要があります。 私たちは、それが目的を持って協力することで、誰もがFOSSを恐れなくなり、彼らが準拠することを心配しなくなるまでの道のりを理解する必要があります。 私たちは皆、自由ソフトウェアを作るという仕事に従事し、主導しています。」

モグレンは、フリーソフトウェアコミュニティの長期的な信頼性が危機に瀕しているため、コンプライアンスに関しては外交と裁量を奨励しました。

「私は、強制的なコンプライアンスのキャンペーンがほんの一瞬で実行された場合、世界の合理的なビジネスの間でコピーレフトを使用する意欲が自由に危険なポイントに低下することを示唆した人々に同意します」とモグレンは言いました。 。 「私はコピーレフトが自由にとって重要であると信じているからです。」

Black Duckの最近の監査では、企業がオープンソースのリスク管理に苦労しており、ライセンスの競合が蔓延していることが示されていますが、幸いなことに、世界はあらゆる業界でオープンソースソフトウェアを採用しています。 エンジニアや製品マネージャーはGPLの要件を完全に把握していない可能性がありますが、教育に焦点を当てたコンプライアンスアプローチは、イノベーションの中核にコピーレフトソフトウェアを含む未来を構築するのに大いに役立ちます。