Raport dotyczący bezpieczeństwa i analizy ryzyka Open Source z 2017 r. pokazuje powszechne konflikty licencji GPL

Wykorzystanie oprogramowania typu open source rośnie we wszystkich branżach, ale tegoroczny raport „Open Source Security and Risk Analysis (OSSRA)” firmy Black Duck pokazuje powszechność luk w zabezpieczeniach i zagrożeń związanych z brakiem zgodności licencji. Firma Black Duck przeprowadziła audyty ponad 1000 aplikacji komercyjnych w 2016 roku i przeanalizowała zanonimizowane dane. Audyty dotyczyły głównie transakcji fuzji i przejęć, ale obejmowały wiele branż, takich jak opieka zdrowotna, produkcja, usługi finansowe, lotnictwo, lotnictwo i handel detaliczny.

Kwestie związane z bezpieczeństwem open source i zgodnością licencji mogą stanowić poważne zagrożenie finansowe dla firmy. Wyniki firmy Black Duck pokazują, że 96% przeskanowanych aplikacji zawiera oprogramowanie typu open source, a średnia aplikacja zawiera 147 unikalnych komponentów typu open source. Większość z tych aplikacji (67%) zawierała problemy z zabezpieczeniami, które były znane publicznie średnio od czterech lat. Należą do nich dobrze znane luki wysokiego ryzyka, takie jak Pudel, Freak, Drown i Heartbleed.

Kwestie zgodności licencji były jeszcze bardziej rozpowszechnione niż kwestie bezpieczeństwa. Audyty firmy Black Duck wykazały, że 85% aplikacji zawiera komponenty z konfliktami licencji. Chociaż 75% skontrolowanych aplikacji zawierało komponenty na licencji GPL, tylko 45% z nich było w pełni zgodne z licencją. Audyty wykazały również, że 53% przeskanowanych aplikacji posiada komponenty z „nieznanymi” licencjami, co ogólnie oznacza, że ​​komponenty były używane bez zgody ich twórców.

Jak działania w zakresie zgodności z GPL wpływają na przyszłość ekosystemu Copyleft

Niedawny artykuł Stephena O'Grady'ego na Redmonk.com chwali upadek GPL, odwołując się do repozytoriów zbadanych przez Black Duck, które pokazują, że niegdyś dominująca licencja GPL „stale eroduje, ustępując miejsca licencjom z przeciwnego, liberalnego końca spektrum”. Chociaż programiści i firmy chętnie przyjmują oprogramowanie typu open source, trend zmierza w kierunku bardziej liberalnych licencji.

„W próbce Black Duck najpopularniejszy wariant GPL – wersja 2 – jest o połowę mniej popularny niż był (46% do 19%),” powiedział O'Grady. „W tym samym okresie liberalny MIT spadł z 8% do 29%, podczas gdy jego permisywny kuzyn, Apache License 2.0, wzrósł z 5% do 15%”.

W artykule reakcyjnym na Opensource.com Jono Bacon powiedział, że był świadkiem tego samego trendu, gdy GPL wypadła z łask pod względem praktycznym dla właścicieli firm, którzy nie czują się komfortowo w spełnianiu jej czarno-białych wymagań.

„W ostatnich latach widzieliśmy jednak nowsze pokolenie programistów, dla których jest mniej krytyczny, a jeśli ośmielę się to powiedzieć, mniej religijnego skupienia się na wolności” – powiedział Bacon. „Dla nich open source jest pragmatycznym i praktycznym elementem tworzenia oprogramowania, w przeciwieństwie do etycznego wyboru i podejrzewam, że właśnie dlatego zaobserwowaliśmy taki wzrost wykorzystania licencji MIT i Apache”.

Złożoność zgodności jest jedną z głównych wad dla tych, którzy czują się niekomfortowo podczas korzystania z kodu na licencji GPL. Jeśli audyty aplikacji open source firmy Black Duck są jakąkolwiek wskazówką, komercyjne przyjęcie GPL nie wiązało się z odpowiednią edukacją w zakresie zgodności z licencją.

Jednak egzekwowanie GPL rzadko prowadzi do sporów. W artykule, który przedstawia stanowisko Free Software Foundation (FSF) w sprawie roli procesów sądowych w przestrzeganiu GPL, Donald Robertson powiedział, że zgodność jest prawie zawsze kwestią edukacyjną.

„Większość naruszeń nie jest świadoma swoich zobowiązań wynikających z licencji i po prostu potrzebuje dodatkowej pomocy, aby spełnić wymagania” – powiedział Robertson. „Prawie wszystkie przypadki zgodności z GPL kończą się po cichu, gdy naruszający poprawia swoje błędy, przy minimalnym powiadomieniu byłych odbiorców naruszającej wówczas dystrybucji, że coś się stało”.

Robertson podkreślił, że procesy sądowe powinny być ostatecznością, ale muszą pozostać uzasadnioną opcją. Wysiłki FSF w zakresie zgodności koncentrują się na edukacji osób naruszających zasady, ale organizacja zastrzega sobie prawo do podjęcia działań wobec tych, którzy świadomie zdecydują się naruszyć.

„Zagrożenie procesem stanowi dźwignię, której potrzebujemy w przypadku rzadkich naruszeń, których problemy ze zgodnością z GPL nie są zwykłymi błędami, ale są celowymi próbami ograniczenia wolności ich użytkowników” — powiedział Robertson. „Podczas gdy praca w zakresie zgodności ma przede wszystkim charakter edukacyjny, potrzebujemy narzędzia, które może współpracować z nielicznymi nielicznymi osobami, które są już wykształcone, ale i tak zdecydowały się naruszyć zasady. Copyleft został zaprojektowany od początku jako takie narzędzie.”

Prezes i dyrektor wykonawczy Software Freedom Law Center, Eben Moglen, przemawiał na konferencji SFLC w październiku ubiegłego roku na temat zgodności z licencją open source. Zachęcał słuchaczy do rozważenia ogólnego postrzegania GPL w branży przy rozważaniu kosztów postępowania sądowego dotyczącego zgodności.

„Nie jesteśmy i nigdy nie byliśmy maksymalistami prawa autorskiego” – powiedział Moglen. „Nie zrobiliśmy tego, co robiliśmy przez ostatnie 30 lat, aby budować wolne oprogramowanie w oparciu o założenie, że wolność wymaga od nas ścigania i karania każdego, kto kiedykolwiek popełnił błąd lub nawet celowo nadużył oprogramowania chronionego prawem autorskim, stworzonego do udostępniania ”.

Moglen powiedział, że w sytuacjach, w których należy podać przykład, ważne jest, aby zadeklarować, że znajdujesz się w sytuacji ostatniej szansy i nie ma innych opcji poza sporem sądowym. Zapewnienie zgodności na siłę może podważyć zaufanie firm do korzystania z GPL.

„Gdyby Richard Stallman i ja poszli do sądu i pozwali dużą globalną spółkę publiczną w sprawie naruszenia praw autorskich, która była na tyle słaba, że ​​można ją było wyrzucić z sądu z wnioskiem o odrzucenie, natychmiast zniszczylibyśmy GPL” – powiedział Moglen. . „Gdybyśmy pokazali, że jesteśmy gotowi na duże ryzyko przymusu, nawet przeciwko złemu aktorowi w naszym własnym osądzie – gdybyśmy zrobili to bez odpowiedniego przygotowania, aby mieć pewność, że wygraliśmy – stracilibyśmy przykład przymusu i nikogo znów by nam zaufali”.

Moglen ostrzegł słuchaczy, aby nie spieszyli się zbytnio z podejmowaniem działań, które mogą spowodować, że ludzie będą kwestionować, czy coś jest nie tak z copyleft. Opowiadał się za spontanicznym podporządkowaniem się, w przeciwieństwie do ciągłego nadzorowania naruszeń, jako najskuteczniejszego sposobu zapewnienia przyszłości GPL.

„Mamy okazję umieścić to wolne oprogramowanie tam, gdzie chcemy, czyli wszędzie, i sprawić, by robiło to, czego chcemy, czyli szerzyć wolność” – powiedział Moglen. „Nie jesteśmy w miejscu, w którym trudność polega na tym, jak zdobyć wystarczającą ilość amunicji, aby zmusić wszystkich do podporządkowania się. Nie potrzebujemy amunicji. Potrzebujemy dyplomacji. Potrzebujemy umiejętności. Musimy lepiej współpracować. Musimy zrozumieć, w jaki sposób ta wspólna praca prowadzi nas do punktu, w którym wszyscy nie boją się już FOSS i nie martwimy się już o ich przestrzeganie. Po prostu wszyscy angażujemy się i kierujemy zadaniem tworzenia wolnego oprogramowania”.

Moglen zachęcał do dyplomacji i dyskrecji, jeśli chodzi o zgodność, ponieważ w grę wchodzi długoterminowa wiarygodność społeczności wolnego oprogramowania.

„Zgadzam się z ludźmi, którzy sugerowali, że jeśli kampania przymusowego przestrzegania prawa zostanie posunięta o chwilę za daleko, gotowość do używania copyleft wśród racjonalnych biznesów na świecie spadnie do punktu, który jest niebezpieczny dla wolności” – powiedział Moglen. . „Ponieważ wierzę, że copyleft jest ważny dla wolności”.

Podczas gdy ostatnie audyty Black Duck pokazują, że firmy zmagają się z zarządzaniem ryzykiem związanym z oprogramowaniem open source, a konflikty licencyjne są powszechne, dobrą wiadomością jest to, że świat przyjmuje oprogramowanie open source w każdej branży. Inżynierowie i menedżerowie produktu mogą nie mieć pełnego zrozumienia wymagań GPL, ale podejście do zgodności, które koncentruje się na edukacji, pozwoli na budowanie przyszłości, która obejmuje oprogramowanie typu copyleft w centrum innowacji.