• Pagina principala
  • Articole
  • Ghid
  • Raportul de analiză a riscurilor și securității open source din 2017 arată conflicte larg răspândite de licențe GPL

Raportul de analiză a riscurilor și securității open source din 2017 arată conflicte larg răspândite de licențe GPL

Publicat: 2017-04-27
credit foto: 16th st – (licență)

Utilizarea software-ului open source este în creștere în toate industriile, dar raportul Open Source Security and Risk Analysis (OSSRA) din acest an de la Black Duck arată amploarea vulnerabilităților de securitate și a riscurilor de conformitate cu licențe. Black Duck a efectuat audituri asupra a peste 1.000 de aplicații comerciale în 2016 și a analizat datele anonimizate. Auditurile au fost legate în primul rând de tranzacții de fuziune și achiziție, dar acoperă o gamă largă de industrii, cum ar fi asistența medicală, producția, serviciile financiare, aerospațiale, aviația și comerțul cu amănuntul.

Problemele de securitate cu sursă deschisă și de conformitate cu licența pot reprezenta amenințări financiare serioase pentru o companie. Descoperirile lui Black Duck arată că 96% dintre aplicațiile scanate includ software open source, iar aplicația medie includea 147 de componente open source unice. Majoritatea acestor aplicații (67%) conțineau probleme de securitate care au fost cunoscute public de o medie de patru ani. Acestea includ vulnerabilități cu risc ridicat și bine-cunoscute, cum ar fi Poodle, Freak, Drown și Heartbleed.

Problemele de conformitate cu licența au fost chiar mai răspândite decât problemele de securitate. Auditurile Black Duck au constatat că 85% dintre aplicații aveau componente cu conflicte de licență. Deși 75% dintre aplicațiile auditate includeau componente cu licență GPL, doar 45% dintre ele erau pe deplin în conformitate cu licența. Auditurile au mai arătat că 53% dintre aplicațiile scanate aveau componente cu licențe „necunoscute”, ceea ce înseamnă, în general, că componentele au fost utilizate fără permisiunea creatorilor lor.

Cum afectează eforturile de conformitate cu GPL viitorul ecosistemului Copyleft

Articolul recent al lui Stephen O'Grady pe Redmonk.com salută declinul GPL, făcând referire la depozitele sondate de Black Duck care demonstrează că licența GPL, odinioară dominantă, „se erodează constant, dând loc licențelor la capătul opus, permisiv al spectrului”. Deși dezvoltatorii și companiile adoptă cu ușurință software-ul open source, tendința este către licențe mai permisive.

„În eșantionul lui Black Duck, cea mai populară variantă a GPL – versiunea 2 – este mai puțin de jumătate mai populară decât era (46% până la 19%)”, a spus O'Grady. „În același interval, permisiv MIT a trecut de la 8% la 29%, în timp ce vărul său permisiv, Apache License 2.0, a sărit de la 5% la 15%.

Într-un articol de reacție pe Opensource.com, Jono Bacon a spus că a asistat la aceeași tendință, GPL-ul căzând în disfavoare în ceea ce privește caracterul practic pentru proprietarii de afaceri care nu se simt confortabil să-și îndeplinească cerințele alb-negru.

„În ultimii ani, am văzut că se formează o generație mai nouă de dezvoltatori pentru care există un accent mai puțin critic și, dacă îndrăznesc să spun asta, mai puțin accent religios pe libertate”, a spus Bacon. „Pentru ei, sursa deschisă este o componentă pragmatică și practică în construirea de software, spre deosebire de o alegere etică și bănuiesc că acesta este motivul pentru care am văzut o astfel de creștere a utilizării licențelor MIT și Apache.”

Complexitatea conformității este unul dintre principalele dezavantaje pentru cei care se simt inconfortabil folosind codul licențiat GPL. Dacă auditurile aplicațiilor open source ale Black Duck sunt vreo indicație, adoptarea comercială a GPL nu a venit cu o educație adecvată privind conformitatea cu licența.

Cu toate acestea, aplicarea GPL rareori duce la litigii. Într-un articol care subliniază poziția Free Software Foundation (FSF) cu privire la rolul proceselor în conformitatea cu GPL, Donald Robertson a spus că conformitatea este aproape întotdeauna o chestiune educațională.

„Majoritatea contravenienților nu sunt conștienți de obligațiile care le revin în baza licenței și pur și simplu au nevoie de ajutor suplimentar pentru a se conforma”, a spus Robertson. „Aproape toate cazurile de conformitate cu GPL se termină în liniște, cu contravenientul corectându-și greșelile, cu doar o notificare minimă a destinatarilor foștilor despre distribuția care a încălcat atunci că s-a întâmplat ceva.”

Robertson a subliniat că procesele ar trebui să fie o ultimă soluție, dar trebuie să rămână o opțiune legitimă. Eforturile de conformitate ale FSF se concentrează pe educarea infractorilor, dar organizația își rezervă dreptul de a lua măsuri împotriva celor care aleg cu bună știință să încalce.

„Amenințarea cu litigiile oferă pârghia de care avem nevoie pentru rarii infractori ale căror probleme de conformitate cu GPL nu sunt doar greșeli, ci sunt încercări intenționate de a limita libertatea utilizatorilor lor”, a spus Robertson. „În timp ce munca de conformitate este în primul rând educațională, avem nevoie de un instrument care să poată funcționa cu puținii care sunt deja educați, dar care au ales să încalce oricum. Copyleft a fost conceput de la început pentru a servi drept instrument.”

Președintele și directorul executiv al Software Freedom Law Center, Eben Moglen, a vorbit la conferința SFLC din octombrie anul trecut despre conformitatea cu licența open source. El i-a îndemnat pe ascultători să ia în considerare percepția GPL în industrie în general atunci când cântăresc costurile conformității în litigiu.

„Nu suntem și nu am fost niciodată maximaliști ai drepturilor de autor”, a spus Moglen. „Nu am făcut ceea ce am făcut în ultimii 30 de ani pentru a construi software liber pe baza presupunerii că libertatea ne cere să urmărim și să pedepsim pe toți cei care au greșit vreodată sau care chiar au folosit în mod deliberat software protejat prin drepturi de autor făcut pentru partajare. .”

Moglen a spus că în situațiile în care este cazul să facem un exemplu, este important să declarați că vă aflați într-o situație de ultimă instanță, fără alte opțiuni în afară de litigii. Asigurarea conformității prin forță poate afecta încrederea companiilor în utilizarea GPL.

„Dacă Richard Stallman și cu mine am fi mers în instanță și am fi dat în judecată o mare companie publică globală pentru o acuzație de încălcare a drepturilor de autor care a fost suficient de slabă pentru a fi excluși din instanță la o moțiune de respingere, am fi distrus imediat GPL”, a spus Moglen. . „Dacă am fi arătat că suntem pregătiți să riscăm mult la constrângere, chiar și împotriva unui actor rău, după părerea noastră – dacă am fi făcut asta fără pregătirea adecvată pentru a fi siguri că am câștigat – am fi pierdut un exemplu de constrângere și nimeni. ar fi avut din nou încredere în noi.”

Moglen i-a avertizat pe ascultători să nu se grăbească să ia măsuri care ar putea determina oamenii să se întrebe dacă este ceva în neregulă cu copyleft-ul. El a susținut conformarea spontană, spre deosebire de încălcările constante ale poliției, ca fiind cea mai eficientă modalitate de a asigura viitorul GPL.

„Avem ocazia să punem acest software gratuit acolo unde vrem, care este peste tot, și să-l facem să facă ceea ce ne dorim, adică să răspândim libertatea”, a spus Moglen. „Nu suntem într-un loc în care dificultatea este cum obținem suficientă muniție pentru a forța pe toată lumea să se conformeze. Nu avem nevoie de muniție. Avem nevoie de diplomație. Avem nevoie de pricepere. Trebuie să lucrăm împreună mai bine. Trebuie să înțelegem cum această colaborare intenționată ne duce la punctul în care tuturor nu se mai teme de FOSS și nu ne mai face griji în legătură cu respectarea lor. Doar că suntem cu toții angajați și conducând sarcina de a face software gratuit.”

Moglen a încurajat diplomația și discreția atunci când vine vorba de conformitate, deoarece este în joc credibilitatea pe termen lung a comunității de software liber.

„Sunt de acord cu oamenii care au sugerat că, dacă o campanie de conformare coercitivă este dusă doar un moment prea departe, dorința de a folosi copyleft în rândul afacerilor raționale ale lumii va scădea până la un punct care este periculos pentru libertate”, a spus Moglen. . „Pentru că eu cred că copyleft-ul este important pentru libertate.”

În timp ce auditurile recente ale Black Duck arată că companiile se luptă cu gestionarea riscurilor cu sursă deschisă și conflictele de licențe sunt rampante, vestea bună este că lumea adoptă software cu sursă deschisă în fiecare industrie. Este posibil ca inginerii și managerii de produs să nu aibă o înțelegere completă a cerințelor GPL, dar o abordare a conformității care se concentrează pe educație va contribui în mare măsură către construirea unui viitor care să includă software copyleft în centrul inovației.