Отчет по безопасности и анализу рисков с открытым исходным кодом 2017 показывает широко распространенные конфликты лицензий GPL

фото кредита: 16-й – (лицензия)

Использование программного обеспечения с открытым исходным кодом растет во всех отраслях, но в этом году отчет Black Duck по безопасности и анализу рисков с открытым исходным кодом (OSSRA) показывает распространенность уязвимостей безопасности и риски соответствия лицензии. В 2016 году Black Duck провела аудит более 1000 коммерческих приложений и проанализировала анонимизированные данные. Аудит был в основном связан с сделками по слиянию и поглощению, но охватывает широкий спектр отраслей, таких как здравоохранение, производство, финансовые услуги, аэрокосмическая промышленность, авиация и розничная торговля.

Вопросы безопасности с открытым исходным кодом и соответствия лицензии могут представлять серьезную финансовую угрозу для компании. Выводы Black Duck показывают, что 96% отсканированных приложений включают программное обеспечение с открытым исходным кодом, а среднее приложение включало 147 уникальных компонентов с открытым исходным кодом. Большинство из этих приложений (67%) вопросы безопасности, которые были публично известны в среднем в течение четырех лет. К ним относятся такие уязвимости высокого риска, как пудель, урод, утопление и heartbleed.

Вопросы соответствия лицензии были еще более распространены, чем вопросы безопасности. Проверки Black Duck показали, что 85% приложений имели компоненты с лицензионными конфликтами. Хотя 75% проверенных заявок включали в себя лицензированные GPL компоненты, только 45% из них полностью соответствовали лицензии. Аудит также показал, что 53% отсканированных приложений имели компоненты с «неизвестными» лицензиями, что обычно означает, что компоненты использовались без разрешения их создателей.

Как усилия GPL по соблюдению влияют на будущее экосистемы Copyleft

Недавняя статья Стивена О’Грейди о Redmonk.com приветствует снижение GPL, ссылаясь на репозитории, опрошенные Black Duck, которые демонстрируют, что некогда доминирующая лицензия GPL “устойчиво размывается, уступая место лицензиям на противоположном, вседозволенном конце спектра”. Хотя разработчики и компании легко принимают программное обеспечение с открытым исходным кодом, тенденция к более разрешительным лицензиям.

“В образце Black Duck, самый популярный вариант GPL – версия 2 – менее чем в два раза популярнее, чем это было (46% до 19%) “, сказал О’Грейди. “За тот же промежуток, разрешительный MIT пошел с 8% до 29%, в то время как его разрешительный двоюродный брат Apache Лицензия 2.0 подскочил с 5% до 15%”.

В реакции статьи о Opensource.com, Джоно Бэкон сказал, что он стал свидетелем этой же тенденции с GPL падения в немилость с точки зрения практичности для владельцев бизнеса, которые неудобны с удовлетворением своих черно-белых требований.

“В последние годы, хотя мы видели новое поколение разработчиков форме, для которых есть менее критические, и если я осмелюсь сказать, меньше религиозного внимания на свободу”, сказал Бэкон. “Для них, с открытым исходным кодом является прагматическим и практическим компонентом в создании программного обеспечения, в отличие от этического выбора, и я подозреваю, что именно поэтому мы видели такой рост в использовании MIT и Apache лицензий”.

Сложность соответствия является одним из главных недостатков для тех, кто чувствует себя некомфортно, используя gPL-лицензированный код. Если аудит приложений с открытым исходным кодом Black Duck является каким-либо признаком, коммерческое принятие GPL не пришло с адекватным образованием по соблюдению лицензии.

Тем не менее, правоприменение GPL редко приводит к судебным разбирательствам. В статье, в которой излагается позиция Фонда свободного программного обеспечения (FSF) о роли судебных исков в соблюдении GPL,Дональд Робертсон сказал, что соблюдение почти всегда является образовательным вопросом.

“Большинство нарушителей не знают о своих обязательствах по лицензии и просто нуждаются в дополнительной помощи, чтобы прийти в соответствие”, сказал Робертсон. “Почти все случаи соблюдения GPL спокойно заканчиваются тем, что нарушитель исправляет свои ошибки, и только с минимальным уведомлением прошлых получателей тогдашнего нарушения дистрибутива о том, что что-то произошло”.

Робертсон подчеркнул, что судебные иски должны быть крайней мерой, но должны оставаться законным вариантом. Усилия ФСПО по обеспечению соблюдения направлены на просвещение нарушителей, но организация оставляет за собой право принимать меры в отношении тех, кто сознательно решит нарушать.

«Угроза судебного разбирательства предоставляет рычаги воздействия, которые нам нужны, с редкими нарушителями, проблемы с соблюдением GPL которых являются не просто ошибками, а преднамеренными попытками ограничить свободу своих пользователей», – сказал Робертсон. “Хотя работа по обеспечению соответствия в первую очередь образовательные, нам нужен инструмент, который может работать с редкими немногими, кто уже получил образование, но решил нарушить в любом случае. Авторское лево было разработано с самого начала, чтобы служить в качестве этого инструмента “.

Software Freedom Law Center президент и исполнительный директор Эбен Моглен выступил на конференции SFLC в октябре прошлого года о соответствии лицензии с открытым исходным кодом. Он настоятельно призвал слушателей учитывать восприятие GPL в отрасли в целом при взвешивании расходов на судебное решение о соблюдении.

“Мы не являемся и никогда не были максималистами авторского права”, сказал Моглен. “Мы не сделали то, что мы делали в течение последних 30 лет, чтобы построить свободные программы на основе предположения, что свобода требует от нас преследовать и наказывать всех, кто когда-либо сделал ошибку или кто даже намеренно злоупотребляли защищенными авторским правом программ, сделанных для обмена”.

Моглен сказал, что в ситуациях, когда уместно сделать пример, важно заявить, что вы находитесь в последней ситуации, не имея других вариантов, кроме судебного разбирательства. Обеспечение соблюдения силой может нанести ущерб доверию компаний к использованию GPL.

“Если ричард Столмен и я пошел в суд и подал в суд на крупную глобальную публичную компанию по иску о нарушении авторских прав, который был достаточно слабым, чтобы быть выброшены из суда по ходатайству об увольнении, мы бы уничтожили GPL сразу”, сказал Моглен. “Если бы мы показали, что мы были готовы рисковать большим принуждением, даже против плохого актера в нашем собственном суждении – если бы мы сделали это без надлежащей подготовки, чтобы быть уверенным, что мы выиграли – мы потеряли бы пример принуждения, и никто бы не доверял нам снова”.

Моглен предупредил слушателей не быть слишком быстро, чтобы принять меры, которые могут заставить людей задаться вопросом, есть ли что-то не так с авторским левом. Он выступает за спонтанное соблюдение, а не постоянное полицейское нарушение, как наиболее эффективный способ обеспечения будущего ГПЛ.

“У нас есть возможность разместить это свободное программное обеспечение там, где мы хотим его, что есть везде, и заставить его делать то, что мы хотим, а именно распространять свободу”, – сказал Моглен. “Мы не в месте, где трудность заключается в том, как мы получаем достаточно боеприпасов, чтобы заставить всех соблюдать. Нам не нужны боеприпасы. Нам нужна дипломатия. Нам нужен навык. Мы должны работать вместе лучше. Мы должны понять, как это совместное дело подводит нас к тому моменту, когда все больше не боятся FOSS, и мы больше не беспокоимся об их соблюдении. Мы просто все вовлечены и возглавляем задачу создания свободных программ».

Моглен поощрял дипломатию и осмотрительность, когда речь идет о соблюдении, потому что на карту поставлено долгосрочное доверие к сообществу свободного программного обеспечения.

“Я согласен с людьми, которые предложили, что если кампания принуждения соблюдения осуществляется только момент слишком далеко, готовность использовать авторское лево среди рациональных предприятий мира будет снижаться до точки, которая опасна для свободы”, сказал Моглен. “Потому что я считаю, что авторское лево имеет важное значение для свободы”.

Хотя последние проверки Black Duck показывают, что компании борются с открытым исходным кодом управления рисками и лицензионных конфликтов безудержной, хорошая новость заключается в том, что мир охватывает программное обеспечение с открытым исходным кодом в каждой отрасли. Инженеры и менеджеры по продуктам могут не иметь полного понимания требований GPL, но подход к соблюдению, который фокусируется на образовании, будет иметь большое значение для построения будущего, которое включает в себя программное обеспечение для авторских левых в основе инноваций.

Хотите написать для WP таверне? Мы всегда принимаем гостевые сообщения от сообщества и ищем новых участников. Свяжитесь с нами и давайте обсудим ваши идеи.

 

Оригинал: wptavern.com

Добавить комментарий

%d такие блоггеры, как: