Linux

的企业都在使用开源软件#xff08;中文版报告详情#xff09;。

随着开源使用…

本文来自

开源许可证是开源软件的法律武器是第三方正确使用开源软件的安全合规依据。

Linux

的企业都在使用开源软件中文版报告详情。

随着开源使用率持续提升企业必须要重视许可证安全合规问题因为其直接关乎企业品牌使用不当可能导致经济损失。

OSI

多种这还不包括一些企业/组织自定义的开源软件许可证。

另外不同许可证之间的兼容性也是一个很复杂的问题。

正是由于这种开源软件许可证的复杂性让企业在使用开源软件时违反许可证安全合规的问题时有发生。

国外事件

却拒绝开放其操作系统的源码以此阻止竞争对手开发基于机上娱乐硬件的软件。

关于此事件的详细信息可以查看

The

上述例子中两家商业公司走向法律诉讼的直接原因就是开源软件许可证安全合规问题。

国内事件

项目进行沟通并做了相应调整。

关于该事件的详细经过可以查看国内某内容平台对于此事件的报道。

这也是一起典型的开源许可证安全合规事件。

“隔离”

开源软件。

如何保障企业在研发过程中安全合规使用许可证是企业实现稳健发展不容忽视的问题。

如开篇所说许可证本身繁琐复杂因此安全合规使用许可证也是一件极其复杂的事情需要从文化构建、流程制定、工具选型等方面入手。

文化构建

的今天需要构建企业安全文化。

例如通过安全培训让软件研发相关人员建立起对于软件许可证的基本认知明白违反许可证会危害企业和每个人的利益。

流程制定

流程制定是实现许可证安全合规的关键。

企业内部需要根据自身情况制定应对许可证安全合规的响应流程诸如

一旦发生违反许可证合规事件如何及时、正确应对避免进一步发酵等。

OSPO、法务、DevOps

等部门和人员都需要一起协作制定出符合企业自身发展的安全合规流程。

当然好流程也需要工具协助落地。

工具选型

市面上用于保障许可证安全合规的工具很多选择适合企业自身发展的工具是关键。

但有一点需要明确工具是手段而不是目的。

使用工具是为了支撑安全合规流程能够自动、快速执行不需要将大量精力花费在工具选择、安装、优化、运维等方面上。

对于工具选择维度应该从以下三个方面入手

易用性学习成本低

版本引入主要用来检测应用程序引入的外部依赖的许可证是否和自身的许可证策略相兼容以此来安全合规的使用外部依赖避免发生违反许可证合规的事件给企业带来不必要的麻烦。

极狐GitLab

平台让研发、安全、测试人员都基于一个平台协作沟通效率大幅提升而成本相应降低。

简单易用配置灵活

提供针对许可证安全合规的相关配置能够将企业自身的许可证安全合规流程

“映射”

配置许可证审核人员当有问题出现时需要一定数量的审批人来对“有问题”的许可证进行审核。

CI/CD

此外审核信息可追溯、可审计可以从安全扫描结果回溯到对应的代码变更找到“有问题”许可证引入的源头以及

“有问题”

利用自身的许可证扫描工具进行许可证信息扫描出具许可证报告对比目标分支和源分支之间的许可证信息并将信息展示在

Merge

配合安全测试配置判断变更代码的许可证信息是否符合企业许可证合规。

极狐GitLab

协议则没有那么多芥蒂允许使用这类协议的第三方依赖包。

这种针对不同许可证采取不同使用策略的方法是为了确保应用程序研发过程中对于许可证的使用是符合企业安全合规要求的。

Compliance

中展现出来方便研发、安全等人员查看此次代码变更引入依赖的许可证信息。

Merge

中出现了拒绝使用的许可证信息此时需要有审批人Approver来决定此次代码变更是否可以合入。

如果在经过评估之后认为代码可以合入则选择

“批准”否则选择

在出现的界面中填写需要核准的人数阈值最少需要几人同意与核准人员即可。

接下来只需要简单配置

Security/License-Scanning.gitlab-ci.yml以检测

Python

协议上述模块的选择只是为了在多种协议的情况下演示极狐GitLab

PyPI

所有模块及其依赖的许可证信息都扫描了出来配合之前配置的许可证合规策略进行了分类展示上述显示

Apache

许可证合规功能能够帮助研发团队在软件研发过程中严格遵守企业的许可证合规策略让企业避免因许可证合规问题而造成经济损失同时也能够以更加安全的方式给客户提供更加优质的软件提升客户满意度。

当然许可证合规只是保障软件安全的关键手段之一需要同时配合其他安全手段来为应用程序研发过程构建坚固的安全防护体系。

比如极狐GitLab

DevSecOps