类别
最新消息

帖子邮政:开放源法律的无知是没有防御

法律专业有一件古老的格言:对法律的无知是没有辩护。所以,总法律顾问(GC) - 是他们从软件/互联网(IOT)公司,或开发自己的软件和律师事务所的组织(关于它,知识产权(IP),IOT和/或安全的组织)需要谨防。大多数都不知道软件中意外开源组件的风险以及它们的相应合规性状态。

法律专业有一件古老的格言:对法律的无知是没有辩护。所以,总法律顾问(GC) - 是他们从软件/互联网(IOT)公司,或开发自己的软件和律师事务所的组织(关于它,知识产权(IP),IOT和/或安全的组织)需要谨防。大多数都不知道软件中意外开源组件的风险以及它们的相应合规性状态。

所有软件中使用的多达50%的代码由开源软件组成。虽然开源为软件开发人员提供了高质量的方式,但更为灵活和高效 - 也存在隐藏的风险:法律。

虽然开源组件根据定义,可用于任何人使用,并且有任何用途 - 有局限性。开源组件具有许可义务,组织中的软件开发人员必须遵守。并且根据部件的不同,未能遵守开源许可证的处罚可能是严重的。例如,在某些情况下,可以防止软件公司销售已纳入开源组件的产品。在其他极端示例中,可以要求包含开源组件的整个软件产品作为开源释放,以便遵守。

教育是关键

虽然建立了法律以实现开源许可证的执行,但大多数软件开发人员都没有意识到他们。添加到风险,大多数GCS都没有意识到他们的开发人员正在使用的开源组件。它们没有自动化手段来扫描其用于开源的代码,并确保符合许可术语。 GC和律师事务所需要教育自己关于开源软件许可的合规风险,然后确保其开发团队/客户具有培训,流程和自动化,以确保不断的知识产权和法律遵从性。

开源运动显着改变了我们如何设计和构建软件。虽然开源软件(OSS)已经存在几十年,但商业软件公司已在过去十年中颠倒过颠倒的传统软件设计过程。当经典商业软件包首次创建几年前时,需要很少需要的第三方合规性。购买商业套餐,将使用来自书籍的小块源代码,并且可能会带来有限分布的一些准“开源”工具包或图书馆。

从20世纪80年代后期开始并在20世纪90年代和2000年代进入自己,开源组件已成为软件行业的骨干。典型的商业产品包含数百个高质量的开源组件,但数据显示,这些组件只有少量的百分比具有开源许可义务。发展规范拓宽了内部流程来管理法律义务,并作为副作用,大多数公司都不合规。

断开连接

在采访和讨论法律团队和开发团队的访谈和讨论中,它变得清晰导致这种断开连接。法律团队受到误认为,开发人员了解使用开源库的要求,并在选择组件并使用它们时照顾它们。开发正在寻找指导和政策,但同时往往是在巨大的时间压力下,让产品出门。虽然可能存在关于开源使用情况的高级别公司政策,但开发团队非常罕见,难以满足开源义务是运输产品的门。

当需要一个公司建立软件产品的公司来生成其使用的所有开源和商业代码的公司都需要进行独立验证的披露时,这种断开非常清晰。这是在原始设备制造商关系期间和大型企业公司的要求期间的兼并和收购期间的一个非常共同的要求。组织非常惊讶地看到他们认为他们正在使用的20次或更多差异,以及他们真正使用的东西。它们通常不符合先前未知的组件。

收购者和客户通常要求技术公司从法律角度迅速遵守合规性,以及漏洞的角度。这意味着技术提供商需要更新其软件以履行他们正在使用的开源的义务。所需的操作包括在文档和关于框中​​填写适当的许可证通知和版权声明,更改库的链接或使用以及为某些组件或整个软件产品提供源代码。这些操作并不总是容易或可能执行。

一般公共许可证

在别人的时间限制下工作时可能影响这些公司的问题是,并不总是可以遵守已经运输产品中的开源义务。该产品可能依赖于需要与公司商业模式相反的义务的某些库。例如,遇到在普通公共许可证(GPL)下许可的使用中遇到的组件非常常见。 GPL是一个受欢迎的许可证,并且是众所周知的项目使用的许可,如Linux内核。如果在分布式产品中使用,则此许可证需要将其链接到的任何源代码,以便为最终用户提供。这包括公司自己的源代码,他们希望保留封闭来源或专有。在GPL下运送和链接到来源,同时希望保留一些源代码的信息导致法律冲突。在许多情况下,进入合规性需要删除或重写依赖于它们的这些库和功能。

最近在美国的普通人/ Ameriprise Court案例中,展示了未履行其义务的意外开源组件的影响。这导致最终用户的混乱和法律问题,以及在法庭上捆绑原始软件生产者。它并不意外,更多的公司将在不公开的开源依赖作为无关的企业诉讼中的辩护。

其他最近的法院案件在美国和欧洲已经明确表示,当他们的软件产品分配时,公司负责遵守情况。这可能导致法律意外由于未托管的依赖关系,他们的开发人员已选择,以及由供应商引入的开源组件,作为其软件供应链的一部分。这意味着一家公司负责对其开发人员制定的选择,以及为公司提供软件开发套件,组件,操作系统和其他可执行文件的开发人员的合规性。如果不清楚谁将提供适当的合规性任务,它通常会落到链中的最后一个组织,以提供通知,来源和其他所需的义务。这是一个困难且昂贵的任务,并且通常需要只有以前的供应链成员掌握的信息。越来越多的公司正在向供应商协议编写开源合规要求,以便接受任何通过义务,如许可证文本和源捆绑包,也可以鼓励对第三方依赖的适当和及时管理。此合同语言有助于向供应链提供案件,以至于他们应该认真对待开放源合规性。此外,这些协议可以明确讨论处理警报和升级的漏洞报告和程序。

漏洞和补丁

不跟踪第三方组件的另一个副作用是您无法响应报告的漏洞或修补程序,以使这些组件保持最新和安全。这具有使产品容易受到外部攻击的副作用。这些攻击可能导致数据丢失或金融损失。法律团队正在越来越多地参与安全响应,以及这些袭击的法律和财务影响。作为回应,法律团队正在制定各部分的政策,作为他们为其公司降低风险的努力的一部分。

管理开源组件的公司通常会建立一个开源审查板(OSRB)。本集团的成员来自各种团队,他们可以帮助管理组织中第三方和开源软件的使用。该集团通常包含组织中法律,工程,安全和企业团队的代表。他们负责制定政策,教育其他员工,并成为本公司开放源知识的来源。他们设置的策略可以由各种工程团队实施,并且在需要时,任何新情况都可以升级回OSRB。

通过牵头,法律团队可以减少其组织的风险,同时允许他们公司成为良好的开源公民。即使我们使用的开源许可证背后的版权强权,开源开发生态系统也取决于开源的用户,尊重他们使用的哲学许可证,也可以在可能的情况下回馈。随着越来越多的公司开始了解他们对开源的真实依赖性,我们应该预期更多的财务和技术支持返回这些项目。更好的合规性使我们能够提供更高的质量,更安全和更好的支持产品,以及帮助支持更强大的开源生态系统。

关于作者

Jeff Luszcz(图为)是产品管理的VP Flexera软件。此前,杰夫是Palamida的创始人和CTO。他帮助软件公司如何使用开源,同时遵守许可证义务并保持安全问题。