2017년 오픈 소스 보안 및 위험 분석 보고서는 광범위한 GPL 라이선스 충돌을 보여줍니다

게시 됨: 2017-04-27

모든 산업 분야에서 오픈 소스 소프트웨어 사용이 증가하고 있지만 Black Duck의 올해 OSSRA(오픈 소스 보안 및 위험 분석) 보고서는 보안 취약성과 라이선스 준수 위험이 만연해 있음을 보여줍니다. Black Duck은 2016년에 1,000개 이상의 상용 애플리케이션에 대한 감사를 실시하고 익명화된 데이터를 분석했습니다. 감사는 주로 합병 및 인수 거래와 관련되었지만 의료, 제조, 금융 서비스, 항공우주, 항공, 소매와 같은 다양한 산업에 걸쳐 있습니다.

오픈 소스 보안 및 라이선스 준수 문제는 둘 다 회사에 심각한 재정적 위협이 될 수 있습니다. Black Duck의 조사 결과에 따르면 스캔한 애플리케이션의 96%에는 오픈 소스 소프트웨어가 포함되어 있으며 평균적인 앱에는 147개의 고유한 오픈 소스 구성 요소가 포함되어 있습니다. 이러한 애플리케이션의 대부분(67%)에는 평균 4년 동안 공개적으로 알려진 보안 문제가 포함되어 있습니다. 여기에는 Poodle, Freak, Drown 및 Heartbleed와 같은 고위험 및 잘 알려진 취약점이 포함되었습니다.

라이선스 준수 문제는 보안 문제보다 훨씬 더 광범위했습니다. Black Duck의 감사에 따르면 응용 프로그램의 85%에 라이선스 충돌이 있는 구성 요소가 있었습니다. 감사 대상 응용 프로그램의 75%가 GPL 라이선스 구성 요소를 포함했지만 그 중 45%만이 라이선스를 완전히 준수했습니다. 감사 결과 스캔한 응용 프로그램의 53%에 "알 수 없는" 라이선스가 있는 구성 요소가 있는 것으로 나타났습니다. 이는 일반적으로 구성 요소가 작성자의 허가 없이 사용되었음을 의미합니다.

GPL 준수 노력이 카피레프트 생태계의 미래에 미치는 영향

Redmonk.com에 대한 Stephen O'Grady의 최근 기사는 Black Duck이 조사한 리포지토리를 참조하여 한때 지배적이었던 GPL 라이선스가 "지속적으로 침식되어 스펙트럼의 반대편에 있는 라이선스로 자리를 내주고 있습니다." 개발자와 회사는 오픈 소스 소프트웨어를 쉽게 수용하고 있지만 추세는 보다 관대한 라이선스로 향하고 있습니다.

O'Grady는 "Black Duck의 샘플에서 가장 인기 있는 GPL 변종인 버전 2는 이전(46%~19%)의 절반 미만입니다."라고 말했습니다. "같은 기간 동안 허용적인 MIT의 점유율은 8%에서 29%로, 허용적인 사촌인 Apache License 2.0은 5%에서 15%로 뛰어올랐습니다."

Opensource.com의 반응 기사에서 Jono Bacon은 흑백 요구 사항을 충족하는 데 불편한 비즈니스 소유자에게 실용성 측면에서 GPL이 선호되지 않는 동일한 추세를 목격했다고 말했습니다.

“최근 몇 년 동안 우리는 덜 비판적이며, 감히 말할 수 있지만 자유에 대한 종교적 관심이 덜한 새로운 세대의 개발자를 보았습니다.”라고 Bacon이 말했습니다. "그들에게 오픈 소스는 윤리적 선택이 아닌 소프트웨어 구축의 실용적이고 실용적인 구성 요소이며, 이것이 MIT 및 Apache 라이선스 사용이 증가하는 이유라고 생각합니다."

규정 준수의 복잡성은 GPL 라이선스 코드를 사용하는 데 불편함을 느끼는 사람들의 주요 단점 중 하나입니다. Black Duck의 오픈 소스 애플리케이션 감사가 어떤 징후라면 GPL의 상업적 채택은 라이선스 준수에 대한 적절한 교육과 함께 제공되지 않습니다.

그러나 GPL 집행이 소송으로 이어지는 경우는 거의 없습니다. GPL 준수에서 소송의 역할에 대한 자유 소프트웨어 재단(FSF)의 입장을 설명하는 기사에서 Donald Robertson은 준수는 거의 항상 교육적인 문제라고 말했습니다.

Robertson은 "대부분의 위반자는 라이센스에 따른 의무를 인식하지 못하고 단순히 추가 지원이 필요합니다. "거의 모든 GPL 준수 사례는 위반자가 자신의 실수를 수정하는 것으로 조용히 끝납니다. 당시 위반 배포에 대해 과거 수신자에게 어떤 일이 발생했음을 최소한의 알림만 제공합니다."

Robertson은 소송이 최후의 수단이 되어야 하지만 합법적인 선택으로 남아 있어야 한다고 강조했습니다. FSF의 규정 준수 노력은 위반자 교육에 중점을 두고 있지만 조직은 고의로 위반을 선택한 사람들에 대해 조치를 취할 권리가 있습니다.

"소송의 위협은 GPL 준수 문제가 단순한 실수가 아니라 사용자의 자유를 제한하려는 의도적인 시도인 드문 위반자에게 필요한 지렛대를 제공합니다."라고 Robertson은 말했습니다. “준법 업무는 주로 교육적이지만 이미 교육을 받았지만 어쨌든 위반하기로 선택한 소수의 사람들과 협력할 수 있는 도구가 필요합니다. 카피레프트는 처음부터 그 도구 역할을 하도록 설계되었습니다.”

소프트웨어 자유 법률 센터(Software Freedom Law Center) 회장이자 전무 이사인 Eben Moglen은 지난 10월 SFLC 컨퍼런스에서 오픈 소스 라이선스 준수에 대해 연설했습니다. 그는 청취자들에게 규정 준수 소송 비용을 평가할 때 업계 전반에 걸쳐 GPL에 대한 인식을 고려할 것을 촉구했습니다.

Moglen은 사례를 만드는 것이 적절한 상황에서는 소송 외에 다른 선택이 없는 최후의 수단 상황에 있음을 선언하는 것이 중요하다고 말했습니다. 강제로 규정 준수를 보장하면 GPL 사용에 대한 회사의 신뢰가 손상될 수 있습니다.

Moglen은 "Richard Stallman과 내가 법원에 가서 기각 신청으로 법원에서 쫓겨날 정도로 약한 저작권 침해 주장으로 주요 글로벌 공기업을 고소했다면 우리는 GPL을 즉시 파기했을 것"이라고 말했습니다. . “만약 우리가 우리 자신의 판단에 따라 나쁜 행위자에 대해서도 큰 위험을 감수할 준비가 되어 있음을 보여주었다면 – 우리가 이겼다는 것을 확신할 수 있는 적절한 준비 없이 그렇게 했다면 – 우리는 강압의 본보기를 잃어버렸을 것이고 아무도 없었을 것입니다. 우리를 다시 믿었을 것입니다.”

Moglen은 청취자들에게 사람들이 카피레프트에 문제가 있는지 의심하게 할 수 있는 조치를 너무 빨리 취하지 말라고 경고했습니다. 그는 GPL의 미래를 보장하기 위한 가장 효과적인 방법으로 지속적으로 위반을 단속하는 것보다 자발적인 준수를 옹호했습니다.

Moglen은 "우리는 이 무료 소프트웨어를 우리가 원하는 곳에, 어디에나 배치할 수 있는 기회가 있으며, 우리가 원하는 대로, 즉 자유를 퍼뜨리도록 할 수 있습니다. “우리는 모든 사람이 준수하도록 강제할 만큼 충분한 탄약을 얻는 방법이 어려운 위치에 있지 않습니다. 탄약은 필요하지 않습니다. 우리는 외교가 필요합니다. 우리는 기술이 필요합니다. 우리는 더 잘 협력해야 합니다. 우리는 함께 일하는 것이 목적적으로 모든 사람이 더 이상 FOSS를 두려워하지 않고 더 이상 그들의 준수에 대해 걱정하지 않는 지점에 이르게 하는 방법을 이해해야 합니다. 우리 모두는 자유 소프트웨어를 만드는 작업에 참여하고 주도할 뿐입니다.”

Moglen은 자유 소프트웨어 커뮤니티의 장기적인 신뢰성이 위험에 처해 있기 때문에 규정 준수와 관련하여 외교와 재량권을 권장했습니다.

Moglen은 "강제 준수 캠페인이 잠시만 지나치면 세계의 이성적인 기업에서 카피레프트를 사용하려는 의지가 자유에 위험한 수준으로 떨어질 것이라고 제안한 사람들에 동의합니다"라고 말했습니다. . “카피레프트가 자유에 중요하다고 믿기 때문입니다.”

Black Duck의 최근 감사에 따르면 기업이 오픈 소스 위험 관리로 어려움을 겪고 있고 라이선스 충돌이 만연하고 있지만 좋은 소식은 전 세계가 모든 산업에서 오픈 소스 소프트웨어를 수용하고 있다는 것입니다. 엔지니어와 제품 관리자는 GPL의 요구 사항을 완전히 이해하지 못할 수도 있지만 교육에 중점을 둔 규정 준수 접근 방식은 혁신의 핵심에 카피레프트 소프트웨어를 포함하는 미래를 구축하는 데 큰 도움이 될 것입니다.