• Anasayfa
  • Nesne
  • Kılavuz
  • 2017 Açık Kaynak Güvenliği ve Risk Analizi Raporu, Yaygın GPL Lisans Çatışmalarını Gösteriyor

2017 Açık Kaynak Güvenliği ve Risk Analizi Raporu, Yaygın GPL Lisans Çatışmalarını Gösteriyor

Yayınlanan: 2017-04-27
fotoğraf kredisi: 16. st – (lisans)

Açık kaynaklı yazılım kullanımı tüm sektörlerde artıyor, ancak Black Duck'ın bu yılki Açık Kaynak Güvenliği ve Risk Analizi (OSSRA) raporu, güvenlik açıklarının ve lisans uyumluluğu risklerinin yaygınlığını gösteriyor. Black Duck, 2016 yılında 1.000'den fazla ticari uygulamada denetimler gerçekleştirdi ve anonimleştirilmiş verileri analiz etti. Denetimler öncelikle birleşme ve satın alma işlemleriyle ilgiliydi ancak sağlık, üretim, finansal hizmetler, havacılık, havacılık ve perakende gibi çok çeşitli sektörleri kapsıyordu.

Açık kaynak güvenliği ve lisans uyumluluğu sorunları, bir şirket için ciddi finansal tehditler oluşturabilir. Black Duck'ın bulguları, taranan uygulamaların %96'sının açık kaynaklı yazılım içerdiğini ve ortalama bir uygulamanın 147 benzersiz açık kaynak bileşeni içerdiğini gösteriyor. Bu başvuruların çoğu (%67), ortalama dört yıldır herkes tarafından bilinen güvenlik sorunları içeriyordu. Bunlar, Poodle, Freak, Drown ve Heartbleed gibi yüksek riskli ve iyi bilinen güvenlik açıklarını içeriyordu.

Lisans uyumluluğu sorunları, güvenlik sorunlarından bile daha yaygındı. Black Duck'ın denetimleri, uygulamaların %85'inin lisans çakışması olan bileşenlere sahip olduğunu buldu. Denetlenen uygulamaların %75'i GPL lisanslı bileşenler içermesine rağmen, bunların yalnızca %45'i lisansla tamamen uyumluydu. Denetimler ayrıca, taranan uygulamaların %53'ünün "bilinmeyen" lisanslara sahip bileşenlere sahip olduğunu ortaya çıkardı, bu da genellikle bileşenlerin yaratıcılarının izni olmadan kullanıldığı anlamına geliyor.

GPL Uyumluluk Çalışmaları Copyleft Ekosisteminin Geleceğini Nasıl Etkiler?

Stephen O'Grady'nin Redmonk.com'daki son makalesi, Black Duck tarafından araştırılan ve bir zamanlar baskın olan GPL lisansının "sürekli olarak aşındığını, spektrumun tam tersi, izin veren ucundaki lisanslara yol açtığını" gösteren depolara atıfta bulunarak GPL'nin düşüşünü selamlıyor. Geliştiriciler ve şirketler açık kaynaklı yazılımları kolaylıkla benimsiyor olsalar da, eğilim daha serbest lisanslara doğru gidiyor.

O'Grady, "Black Duck örneğinde, GPL'nin en popüler varyantı olan sürüm 2, eskisinin yarısından daha az popülerdir (%46 ila %19)," dedi. "Aynı süre içinde, izin veren MIT %8'lik paydan %29'a çıkarken, izin veren kuzeni Apache Lisansı 2.0 %5'ten %15'e yükseldi."

Opensource.com'daki bir tepki makalesinde Jono Bacon, GPL'nin siyah beyaz taleplerini karşılamaktan rahatsız olan işletme sahipleri için pratiklik açısından gözden düşmesiyle aynı eğilime tanık olduğunu söyledi.

Bacon, "Son yıllarda, daha az eleştirel olan ve söylemeye cesaret edersem, özgürlüğe daha az dini odaklanan yeni nesil geliştiriciler gördük" dedi. "Onlar için açık kaynak, etik bir seçimin aksine yazılım oluşturmada pragmatik ve pratik bir bileşendir ve MIT ve Apache lisanslarının kullanımında bu kadar büyüme görmemizin nedeninin bu olduğundan şüpheleniyorum."

Uyumluluğun karmaşıklığı, GPL lisanslı kodu kullanmaktan rahatsız olanlar için başlıca dezavantajlardan biridir. Black Duck'ın açık kaynak uygulama denetimleri herhangi bir gösterge ise, GPL'nin ticari olarak benimsenmesi, lisans uyumluluğu konusunda yeterli eğitimle birlikte gelmemiştir.

Ancak, GPL yaptırımı nadiren davaya yol açar. Özgür Yazılım Vakfı'nın (FSF) davaların GPL uyumundaki rolü konusundaki duruşunu özetleyen bir makalede Donald Robertson, uyumun neredeyse her zaman bir eğitim meselesi olduğunu söyledi.

Robertson, "İhlal edenlerin çoğu lisans kapsamındaki yükümlülüklerinin farkında değil ve uyum sağlamak için ek yardıma ihtiyaç duyuyor" dedi. "Neredeyse tüm GPL uyumluluk vakaları, ihlal edenin hatalarını düzeltmesiyle sessizce sona erer ve o sırada ihlal eden dağıtımın geçmiş alıcılarına herhangi bir şey olduğu konusunda yalnızca minimum bir bildirimde bulunur."

Robertson, davaların son çare olması gerektiğini, ancak meşru bir seçenek olarak kalması gerektiğini vurguladı. FSF'nin uyum çabaları, ihlal edenleri eğitmeye odaklanır, ancak kuruluş, bilerek ihlal etmeyi seçenler hakkında harekete geçme hakkını saklı tutar.

Robertson, "Dava tehdidi, GPL uyumluluk sorunları yalnızca hatalar değil, aynı zamanda kullanıcılarının özgürlüğünü kısıtlamaya yönelik kasıtlı girişimler olan nadir ihlalcilere ihtiyacımız olan kaldıracı sağlıyor" dedi. “Uyumluluk çalışması öncelikle eğitici olsa da, zaten eğitim almış ancak yine de ihlal etmeyi seçen nadir birkaç kişiyle çalışabilecek bir araca ihtiyacımız var. Copyleft, başından beri bu araç olarak hizmet etmek üzere tasarlandı.”

Yazılım Özgürlüğü Hukuk Merkezi başkanı ve icra direktörü Eben Moglen, geçen Ekim ayında SFLC'nin konferansında açık kaynak lisans uyumu hakkında konuştu. Dinleyicileri, uyumluluk davalarının maliyetlerini tartarken sektördeki genel olarak GPL algısını dikkate almaya çağırdı.

Moglen, "Biz telif hakkı maksimalist değiliz ve asla olmadık" dedi. “Son 30 yıldır yaptığımız şeyi, özgürlüğün bir hata yapan veya hatta telif hakkıyla korunan yazılımı paylaşım için kasıtlı olarak kötüye kullanan herkesi takip etmemizi ve cezalandırmamızı gerektirdiği varsayımı temelinde özgür yazılım oluşturmak için yapmadık. ”

Moglen, örnek vermenin uygun olduğu durumlarda, dava açmaktan başka seçeneğiniz olmayan bir son çare durumunda olduğunuzu beyan etmenin önemli olduğunu söyledi. Zorla uyumu güvence altına almak, şirketlerin GPL'yi kullanma konusundaki güvenini zedeleyebilir.

Moglen, "Richard Stallman ve ben mahkemeye gitmiş olsaydık ve büyük bir küresel halka açık şirkete telif hakkı ihlali iddiasıyla dava açsaydık, bu iddia mahkemeden reddedilecek kadar zayıftı, GPL'yi derhal yok ederdik" dedi. . “Kendi kararımıza göre kötü bir oyuncuya karşı bile zorlama konusunda büyük risk almaya hazır olduğumuzu gösterseydik - bunu kazandığımızdan emin olmak için yeterli hazırlık yapmadan yapsaydık - bir zorlama örneğini kaybederdik ve hiç kimse bize tekrar güvenirdi.”

Moglen dinleyicileri, insanların copyleft ile ilgili bir sorun olup olmadığını sorgulamasına neden olabilecek şekilde harekete geçmekte çok acele etmemeleri konusunda uyardı. GPL'nin geleceğini garanti altına almanın en etkili yolu olarak, sürekli olarak ihlalleri denetlemek yerine kendiliğinden uyumu savundu.

Moglen, "Bu özgür yazılımı istediğimiz yere, her yere koyma ve istediğimiz şeyi yapmasını sağlama, yani özgürlüğü yayma fırsatımız var" dedi. “Zorluğun, herkesi uymaya zorlamak için yeterli mühimmatı nasıl elde edeceğimiz olduğu bir yerde değiliz. Cephaneye ihtiyacımız yok. Diplomasiye ihtiyacımız var. Beceriye ihtiyacımız var. Birlikte daha iyi çalışmamız gerekiyor. Amaca yönelik olarak birlikte çalışmanın bizi nasıl artık herkesin FOSS'tan korkmadığı ve artık onların uymalarından endişe duymadığımız bir noktaya getirdiğini anlamamız gerekiyor. Biz sadece özgür yazılım yapma göreviyle ilgileniyoruz ve öncülük ediyoruz.”

Moglen, özgür yazılım topluluğunun uzun vadeli güvenilirliği tehlikede olduğundan, uyum söz konusu olduğunda diplomasiyi ve sağduyuyu teşvik etti.

Moglen, "Zorlayıcı bir uyum kampanyası bir an fazla ileri götürülürse, dünyanın rasyonel iş dünyası arasında copyleft kullanma isteğinin özgürlük için tehlikeli bir noktaya düşeceğini öne süren insanlarla aynı fikirdeyim," dedi. . "Çünkü copyleft'in özgürlük için önemli olduğuna inanıyorum."

Black Duck'ın son denetimleri, şirketlerin açık kaynak risk yönetimi ile mücadele ettiğini ve lisans çatışmalarının yaygın olduğunu gösterse de, iyi haber şu ki, dünya her sektörde açık kaynaklı yazılımları benimsiyor. Mühendisler ve ürün yöneticileri, GPL'nin gerekliliklerini tam olarak kavrayamayabilir, ancak eğitime odaklanan bir uyum yaklaşımı, inovasyonun merkezinde copyleft yazılımı içeren bir gelecek inşa etmede uzun bir yol kat edecektir.