• Pagina inicial
  • Artigos
  • Guia
  • Relatório de análise de risco e segurança de código aberto de 2017 mostra conflitos de licença GPL generalizados

Relatório de análise de risco e segurança de código aberto de 2017 mostra conflitos de licença GPL generalizados

Publicados: 2017-04-27
Crédito da foto: 16th st – (licença)

O uso de software de código aberto está crescendo em todos os setores, mas o relatório Open Source Security and Risk Analysis (OSSRA) deste ano da Black Duck mostra a difusão das vulnerabilidades de segurança e riscos de conformidade de licença. A Black Duck realizou auditorias em mais de 1.000 aplicativos comerciais em 2016 e analisou os dados anônimos. As auditorias foram principalmente relacionadas a transações de fusão e aquisição, mas abrangem uma ampla gama de setores, como saúde, manufatura, serviços financeiros, aeroespacial, aviação e varejo.

Problemas de segurança de código aberto e conformidade com licenças podem representar sérias ameaças financeiras para uma empresa. As descobertas da Black Duck mostram que 96% dos aplicativos verificados incluem software de código aberto e o aplicativo médio inclui 147 componentes exclusivos de código aberto. A maioria desses aplicativos (67%) continha problemas de segurança que eram conhecidos publicamente há uma média de quatro anos. Isso inclui vulnerabilidades de alto risco e conhecidas, como Poodle, Freak, Drown e Heartbleed.

Os problemas de conformidade de licença foram ainda mais difundidos do que os problemas de segurança. As auditorias da Black Duck descobriram que 85% dos aplicativos tinham componentes com conflitos de licença. Embora 75% dos aplicativos auditados incluíssem componentes licenciados pela GPL, apenas 45% deles estavam totalmente em conformidade com a licença. As auditorias também revelaram que 53% dos aplicativos verificados tinham componentes com licenças “desconhecidas”, o que geralmente significa que os componentes foram usados ​​sem permissão de seus criadores.

Como os esforços de conformidade com a GPL afetam o futuro do ecossistema copyleft

O artigo recente de Stephen O'Grady no Redmonk.com elogia o declínio da GPL, fazendo referência a repositórios pesquisados ​​pela Black Duck que demonstram que a licença GPL, outrora dominante, está “erodindo constantemente, dando lugar a licenças no extremo oposto e permissivo do espectro”. Embora desenvolvedores e empresas estejam adotando prontamente o software de código aberto, a tendência é para licenças mais permissivas.

“Na amostra de Black Duck, a variante mais popular da GPL – versão 2 – é menos da metade da popularidade que era (46% a 19%)”, disse O'Grady. “No mesmo período, o MIT permissivo passou de 8% para 29%, enquanto seu primo permissivo, o Apache License 2.0, saltou de 5% para 15%.”

Em um artigo de reação no Opensource.com, Jono Bacon disse que testemunhou essa mesma tendência com a GPL caindo em desuso em termos de praticidade para os empresários que estão desconfortáveis ​​em atender às suas demandas em preto e branco.

“Nos últimos anos, vimos uma nova geração de desenvolvedores se formar para quem há um foco menos crítico e, se me atrevo a dizer, menos religioso na liberdade”, disse Bacon. “Para eles, o código aberto é um componente pragmático e prático na construção de software, em oposição a uma escolha ética, e suspeito que seja por isso que vimos um crescimento tão grande no uso de licenças do MIT e Apache.”

A complexidade da conformidade é uma das principais desvantagens para aqueles que se sentem desconfortáveis ​​ao usar o código licenciado pela GPL. Se as auditorias de aplicativos de código aberto da Black Duck são alguma indicação, a adoção comercial da GPL não veio com uma educação adequada sobre a conformidade com as licenças.

No entanto, a aplicação da GPL raramente leva a litígios. Em um artigo que descreve a posição da Free Software Foundation (FSF) sobre o papel das ações judiciais no cumprimento da GPL, Donald Robertson disse que o cumprimento é quase sempre uma questão educacional.

“A maioria dos infratores não tem conhecimento de suas obrigações sob a licença e simplesmente precisa de ajuda adicional para entrar em conformidade”, disse Robertson. “Quase todos os casos de conformidade com a GPL terminam silenciosamente com o infrator corrigindo seus erros, com apenas uma notificação mínima dos destinatários anteriores da distribuição então violadora de que algo aconteceu.”

Robertson enfatizou que as ações judiciais devem ser o último recurso, mas devem continuar sendo uma opção legítima. Os esforços de conformidade da FSF se concentram em educar os infratores, mas a organização se reserva o direito de agir contra aqueles que conscientemente optam por violar.

“A ameaça de litígio fornece a alavanca que precisamos com os raros violadores cujos problemas de conformidade com a GPL não são meros erros, mas são tentativas intencionais de limitar a liberdade de seus usuários”, disse Robertson. “Embora o trabalho de compliance seja principalmente educacional, precisamos de uma ferramenta que possa funcionar com os raros poucos que já são educados, mas optaram por violar de qualquer maneira. Copyleft foi projetado desde o início para servir como essa ferramenta.”

O presidente e diretor executivo do Software Freedom Law Center, Eben Moglen, falou na conferência da SFLC em outubro passado sobre a conformidade com licenças de código aberto. Ele instou os ouvintes a considerar a percepção da GPL na indústria em geral ao pesar os custos de litigar a conformidade.

“Nós não somos e nunca fomos maximalistas de direitos autorais”, disse Moglen. “Nós não fizemos o que temos feito nos últimos 30 anos para construir software livre com base na suposição de que a liberdade exigia que perseguíssemos e puníssemos todos que cometeram um erro ou que deliberadamente usaram indevidamente software protegido por direitos autorais feito para compartilhamento. .”

Moglen disse que em situações em que é apropriado dar um exemplo, é importante declarar que você está em uma situação de último recurso, sem outras opções além do litígio. Garantir a conformidade pela força pode prejudicar a confiança das empresas no uso da GPL.

“Se Richard Stallman e eu tivéssemos ido ao tribunal e processado uma grande empresa pública global por uma alegação de violação de direitos autorais que era fraca o suficiente para ser expulsa do tribunal em uma moção para indeferir, teríamos destruído a GPL imediatamente”, disse Moglen. . “Se tivéssemos mostrado que estávamos preparados para arriscar muito em coerção, mesmo contra um mau ator em nosso próprio julgamento – se tivéssemos feito isso sem preparação adequada para ter certeza de que venceríamos – teríamos perdido um exemplo de coerção e ninguém teria confiado em nós novamente.”

Moglen alertou os ouvintes para não serem muito rápidos em tomar medidas que possam levar as pessoas a questionar se há algo errado com o copyleft. Ele defendia o cumprimento espontâneo, em oposição ao policiamento constante de violações, como a maneira mais eficaz de garantir o futuro da GPL.

“Temos a oportunidade de colocar esse software livre onde quisermos, que está em todos os lugares, e fazê-lo fazer o que queremos, que é espalhar a liberdade”, disse Moglen. “Não estamos em um lugar onde a dificuldade é como conseguir munição suficiente para forçar todos a obedecer. Não precisamos de munição. Precisamos de diplomacia. Precisamos de habilidade. Precisamos trabalhar melhor juntos. Precisamos entender como esse trabalho conjunto intencionalmente nos leva ao ponto em que todos não têm mais medo de FOSS e não estamos mais preocupados com sua conformidade. Estamos todos engajados e liderando a tarefa de fazer software livre.”

Moglen encorajou a diplomacia e a discrição quando se trata de conformidade porque a credibilidade de longo prazo da comunidade de software livre está em jogo.

“Concordo com as pessoas que sugeriram que, se uma campanha de conformidade coercitiva for levada longe demais, a disposição de usar copyleft entre os negócios racionais do mundo diminuirá a um ponto que é perigoso para a liberdade”, disse Moglen. . “Porque acredito que o copyleft é importante para a liberdade.”

Embora as auditorias recentes da Black Duck mostrem que as empresas lutam com o gerenciamento de risco de código aberto e os conflitos de licença são excessivos, a boa notícia é que o mundo está adotando o software de código aberto em todos os setores. Engenheiros e gerentes de produto podem não ter uma compreensão completa dos requisitos da GPL, mas uma abordagem de conformidade que se concentre na educação ajudará bastante na construção de um futuro que inclua software copyleft no centro da inovação.