• 主頁
  • 文章
  • 指導
  • 2017 年開源安全和風險分析報告顯示廣泛的 GPL 許可沖突

2017 年開源安全和風險分析報告顯示廣泛的 GPL 許可沖突

已發表: 2017-04-27
圖片來源:16th st –(執照)

開源軟件的使用在所有行業都在增長,但今年 Black Duck 的開源安全和風險分析 (OSSRA) 報告顯示了安全漏洞和許可證合規風險的普遍性。 Black Duck 在 2016 年對 1000 多個商業應用程序進行了審計,並分析了匿名數據。 審計主要與併購交易有關,但涉及廣泛的行業,如醫療保健、製造、金融服務、航空航天、航空和零售。

開源安全和許可證合規問題都可能對公司構成嚴重的財務威脅。 Black Duck 的調查結果顯示,96% 的掃描應用程序包含開源軟件,平均應用程序包含 147 個獨特的開源組件。 這些應用程序中的大多數 (67%) 包含已公開平均四年的安全問題。 其中包括高風險和眾所周知的漏洞,例如 Poodle、Freak、Drown 和 Heartbleed。

許可證合規性問題甚至比安全問題更為普遍。 Black Duck 的審計發現 85% 的應用程序的組件存在許可證衝突。 儘管 75% 的審核應用程序包含 GPL 許可組件,但其中只有 45% 完全符合許可。 審計還顯示,53% 的掃描應用程序的組件具有“未知”許可證,這通常意味著這些組件是在未經其創建者許可的情況下使用的。

GPL 合規性工作如何影響 Copyleft 生態系統的未來

Stephen O'Grady 最近在 Redmonk.com 上發表的一篇文章讚揚了 GPL 的衰落,引用了 Black Duck 調查的存儲庫,這些存儲庫表明曾經占主導地位的 GPL 許可證正在“不斷侵蝕,讓位於相反的許可端的許可”。 儘管開發人員和公司很容易接受開源軟件,但趨勢是趨向於更寬鬆的許可證。

“在 Black Duck 的樣本中,最流行的 GPL 變體 - 第 2 版 - 不到以前的一半(46% 到 19%),”O'Grady 說。 “在同一時間段內,寬鬆的 MIT 份額從 8% 上升到 29%,而其寬鬆的表親 Apache License 2.0 從 5% 躍升至 15%。”

在 Opensource.com 上的一篇反應文章中,Jono Bacon 說他目睹了同樣的趨勢,因為 GPL 在實用性方面對那些不願意滿足其黑白需求的企業主來說已經失寵。

“近年來,儘管我們看到了新一代的開發人員形式,他們對他們的批評不那麼重要,如果我敢說的話,他們對自由的宗教關注減少了,”培根說。 “對他們來說,開源是構建軟件的務實和實用的組成部分,而不是道德選擇,我懷疑這就是為什麼我們看到 MIT 和 Apache 許可證的使用如此增長的原因。”

對於那些對使用 GPL 許可代碼感到不舒服的人來說,合規性的複雜性是主要缺點之一。 如果 Black Duck 的開源應用程序審計有任何跡象,那麼 GPL 的商業採用並沒有帶來關於許可證合規性的充分教育。

然而,GPL 的執行很少會導致訴訟。 在一篇概述自由軟件基金會 (FSF) 關於訴訟在 GPL 合規中的作用的文章中,Donald Robertson 說合規幾乎總是一個教育問題。

“大多數違規者不知道他們在許可證下的義務,只是需要額外的幫助才能合規,”羅伯遜說。 “幾乎所有的 GPL 合規案例都會在違規者糾正錯誤時悄悄結束,只有極少的通知會通知過去違規分發的過去接收者發生了任何事情。”

羅伯遜強調,訴訟應該是最後的手段,但必須是合法的選擇。 FSF 的合規工作側重於教育違規者,但該組織保留對故意選擇違規者採取行動的權利。

“訴訟的威脅提供了我們需要的槓桿,我們需要對罕見的違規者進行 GPL 合規性問題不僅僅是錯誤,而是故意限制其用戶的自由,”羅伯遜說。 “雖然合規工作主要是教育性的,但我們需要一種工具,可以與少數已經受過教育但仍選擇違規的人一起工作。 Copyleft 從一開始就被設計為該工具。”

軟件自由法律中心總裁兼執行董事 Eben Moglen 在去年 10 月的 SFLC 會議上就開源許可證合規性發表了講話。 他敦促聽眾在權衡訴訟合規成本時考慮整個行業對 GPL 的看法。

“我們不是,我們從來都不是版權最大化主義者,”莫格倫說。 “我們並沒有像過去 30 年所做的那樣構建自由軟件,因為自由要求我們追捕並懲罰所有犯過錯誤的人,甚至故意濫用為共享而製作的受版權保護的軟件的人。 。”

莫格倫說,在適合舉例的情況下,重要的是要宣布你處於最後的情況,除了訴訟之外別無選擇。 強制遵守可能會損害公司對使用 GPL 的信任。

“如果我和 Richard Stallman 到法庭起訴一家大型全球上市公司,指控其侵犯版權的程度不足以在駁回動議時將其趕出法庭,我們會直接銷毀 GPL,”Moglen 說. “如果我們已經表明我們準備冒很大的脅迫風險,即使是在我們自己的判斷中面對一個壞演員——如果我們沒有充分準備來確保我們贏了——我們就會失去一個脅迫的例子,沒有人會再次信任我們的。”

Moglen 告誡聽眾不要太快採取可能導致人們質疑 Copyleft 是否有問題的行動。 他主張自發合規,而不是不斷監管違規行為,這是確保 GPL 未來的最有效方式。

“我們有機會將這個免費軟件放在我們想要的地方,它無處不在,讓它做我們想做的事,那就是傳播自由,”莫格倫說。 “我們所處的困難不是我們如何獲得足夠的彈藥來迫使每個人都遵守。 我們不需要彈藥。 我們需要外交。 我們需要技巧。 我們需要更好地合作。 我們需要了解這種合作是如何有目的地使我們達到每個人不再害怕 FOSS 並且我們不再擔心他們的遵守的地步。 我們都在參與並領導製作自由軟件的任務。”

Moglen 在合規方面鼓勵外交和謹慎,因為自由軟件社區的長期信譽受到威脅。

莫格倫說:“我同意有人提出的建議,即如果強制合規運動進行得太過片刻,世界理性企業使用 Copyleft 的意願將下降到危及自由的地步。” . “因為我確實相信 Copyleft 對自由很重要。”

雖然 Black Duck 最近的審計表明,公司在開源風險管理方面苦苦掙扎,並且許可證衝突十分猖獗,但好消息是世界正在每個行業都接受開源軟件。 工程師和產品經理可能無法完全掌握 GPL 的要求,但以教育為重點的合規方法將大大有助於構建以創新為核心的 Copyleft 軟件的未來。