Отчет об анализе безопасности и рисков с открытым исходным кодом за 2017 г. показывает широко распространенные конфликты лицензий GPL

Использование программного обеспечения с открытым исходным кодом растет во всех отраслях, но отчет Black Duck по безопасности и анализу рисков с открытым исходным кодом (OSSRA) этого года показывает распространенность уязвимостей в системе безопасности и риски соблюдения условий лицензии. Black Duck провел аудит более 1000 коммерческих приложений в 2016 году и проанализировал обезличенные данные. Аудиты в основном касались сделок по слияниям и поглощениям, но охватывают широкий спектр отраслей, таких как здравоохранение, производство, финансовые услуги, аэрокосмическая промышленность, авиация и розничная торговля.

Проблемы с безопасностью открытого исходного кода и соблюдением требований лицензии могут представлять серьезную финансовую угрозу для компании. Выводы Black Duck показывают, что 96% отсканированных приложений содержат программное обеспечение с открытым исходным кодом, а среднее приложение включает 147 уникальных компонентов с открытым исходным кодом. Большинство этих приложений (67%) содержали проблемы безопасности, о которых было известно в среднем четыре года. К ним относятся известные уязвимости высокого риска, такие как Poodle, Freak, Drown и Heartbleed.

Проблемы с соблюдением условий лицензии были даже более распространенными, чем проблемы с безопасностью. Аудиты Black Duck показали, что 85% приложений содержат компоненты с конфликтами лицензий. Хотя 75% проверенных приложений включали компоненты под лицензией GPL, только 45% из них полностью соответствовали лицензии. Аудиты также показали, что 53% проверенных приложений имели компоненты с «неизвестными» лицензиями, что обычно означает, что компоненты использовались без разрешения их создателей.

Как усилия по соблюдению GPL влияют на будущее экосистемы авторского лева

Недавняя статья Стивена О'Грэйди на Redmonk.com приветствует закат GPL, ссылаясь на репозитории, проверенные Black Duck, которые демонстрируют, что когда-то доминирующая лицензия GPL «неуклонно разрушается, уступая место лицензиям на противоположном, разрешительном конце спектра». Хотя разработчики и компании с готовностью используют программное обеспечение с открытым исходным кодом, существует тенденция к более либеральным лицензиям.

«В выборке Black Duck самый популярный вариант GPL — версия 2 — менее чем в два раза менее популярен, чем был (46% против 19%)», — сказал О'Грейди. «За тот же период доля разрешительного MIT увеличилась с 8% до 29%, в то время как его разрешительный двоюродный брат Apache License 2.0 подскочил с 5% до 15%».

В ответной статье на Opensource.com Джоно Бэкон сказал, что он стал свидетелем той же тенденции, когда GPL потеряла популярность с точки зрения практичности для владельцев бизнеса, которым неудобно выполнять ее черно-белые требования.

«Однако в последние годы мы наблюдаем формирование нового поколения разработчиков, для которых существует менее критическая и, если я осмелюсь сказать, менее религиозная ориентация на свободу», — сказал Бэкон. «Для них открытый исходный код является прагматичным и практичным компонентом в создании программного обеспечения, а не этическим выбором, и я подозреваю, что именно поэтому мы наблюдаем такой рост использования лицензий MIT и Apache».

Сложность соблюдения — один из главных недостатков для тех, кто чувствует себя некомфортно, используя код под лицензией GPL. Если аудит приложений с открытым исходным кодом Black Duck является показателем, то коммерческое внедрение GPL не сопровождалось адекватным обучением соблюдению требований лицензии.

Однако применение GPL редко приводит к судебным разбирательствам. В статье, в которой излагается позиция Free Software Foundation (FSF) в отношении роли судебных исков в соблюдении GPL, Дональд Робертсон сказал, что соблюдение требований почти всегда является образовательным вопросом.

«Большинство нарушителей не знают о своих обязательствах по лицензии и просто нуждаются в дополнительной помощи, чтобы выполнить их», — сказал Робертсон. «Почти все дела о соответствии GPL заканчиваются тем, что нарушитель исправляет свои ошибки, с минимальным уведомлением бывших получателей дистрибутива, нарушившего тогда, о том, что что-то произошло».

Робертсон подчеркнул, что судебные иски должны быть последним средством, но они должны оставаться законным вариантом. Усилия FSF по соблюдению требований сосредоточены на обучении нарушителей, но организация оставляет за собой право принимать меры в отношении тех, кто намеренно решил нарушить правила.

«Угроза судебного разбирательства дает нам необходимые рычаги воздействия на тех редких нарушителей, чьи проблемы с соблюдением GPL являются не просто ошибками, а преднамеренными попытками ограничить свободу своих пользователей», — сказал Робертсон. «Хотя комплаенс-работа носит в первую очередь образовательный характер, нам нужен инструмент, который может работать с теми немногими, кто уже образован, но все равно решил нарушить. Копилефт с самого начала был задуман как такой инструмент».

Президент и исполнительный директор Software Freedom Law Center Эбен Моглен говорил на конференции SFLC в октябре прошлого года о соблюдении условий лицензии на ПО с открытым исходным кодом. Он призвал слушателей учитывать восприятие GPL в отрасли в целом при взвешивании затрат на оспаривание соблюдения.

«Мы не являемся и никогда не были сторонниками авторского права», — сказал Моглен. «Мы не делали того, что делали последние 30 лет, для создания свободного программного обеспечения, исходя из предположения, что свобода требует от нас преследовать и наказывать всех, кто когда-либо совершал ошибку или даже намеренно злоупотреблял защищенным авторским правом программным обеспечением, созданным для совместного использования. ».

Моглен сказал, что в ситуациях, когда уместно подать пример, важно заявить, что вы находитесь в крайнем случае и у вас нет других вариантов, кроме судебного разбирательства. Обеспечение соблюдения с помощью силы может подорвать доверие компаний к использованию GPL.

«Если бы Ричард Столлман и я обратились в суд и подали в суд на крупную международную публичную компанию по иску о нарушении авторских прав, который был достаточно слабым, чтобы быть исключенным из суда по ходатайству об отклонении, мы бы немедленно уничтожили GPL», — сказал Моглен. . «Если бы мы показали, что готовы пойти на большой риск в случае принуждения, даже против плохого, по нашему мнению, актера — если бы мы сделали это без надлежащей подготовки, чтобы быть уверенными в своей победе, — мы потеряли бы образец принуждения, и никто снова доверился бы нам».

Моглен предупредил слушателей, чтобы они не торопились с действиями, которые могут вызвать у людей сомнения в том, что с авторским левом что-то не так. Он выступал за спонтанное соблюдение, а не за постоянное наблюдение за нарушениями, как за наиболее эффективный способ обеспечить будущее GPL.

«У нас есть возможность разместить это бесплатное программное обеспечение там, где мы хотим, то есть везде, и заставить его делать то, что мы хотим, то есть распространять свободу», — сказал Моглен. «Мы не находимся в том месте, где трудность заключается в том, как нам получить достаточно боеприпасов, чтобы заставить всех подчиниться. Нам не нужны боеприпасы. Нам нужна дипломатия. Нам нужно мастерство. Нам нужно лучше работать вместе. Нам нужно понять, как эта совместная целенаправленная работа приводит нас к тому моменту, когда все больше не боятся FOSS, и мы больше не беспокоимся об их соблюдении. Мы просто все вовлечены и возглавляем задачу создания свободных программ».

Моглен поощрял дипломатию и осмотрительность, когда дело доходит до соблюдения, потому что на карту поставлено долгосрочное доверие к сообществу свободного программного обеспечения.

«Я согласен с людьми, которые предположили, что если кампания принудительного подчинения зайдет слишком далеко, готовность использовать авторское лево среди рационального бизнеса мира снизится до точки, опасной для свободы», — сказал Моглен. . «Потому что я верю, что авторское лево важно для свободы».

В то время как недавние аудиты Black Duck показывают, что компании борются с управлением рисками с открытым исходным кодом, а конфликты лицензий широко распространены, хорошая новость заключается в том, что мир использует программное обеспечение с открытым исходным кодом во всех отраслях. Инженеры и продакт-менеджеры могут не иметь полного представления о требованиях GPL, но подход к соответствию, ориентированный на образование, будет иметь большое значение для построения будущего, в котором программное обеспечение с авторским левом станет основой инноваций.