总结了一下程序员们都应该知道的各类开源许可证及合规相关的知识

简介: 总结了一下程序员们都应该知道的各类开源许可证及合规相关的知识

因为我们本身也在做开源,所以比较关注这个问题,最近因为工作需要,总结和分析了一下关于开源许可证相关的知识,也分享给大家一起讨论,希望得到大家的指导。


前言


抖音海外版TikTok上线了一款名为TikTok Live Studio的APP,但不久其下载页面就被删除。TikTok官方对此事做出回应,原因是该APP违反GPL许可证,其使用GPL许可证下的开源软件源码,却没有按照GPL许可证要求开源。


随着开源软件的发展,其数量和影响力在不断的上升。开源软件具有成本低、升级快的特点,因此越来越多的企业选择使用开源软件。但是“天下没有免费的午餐”,在开源许可证的约束下,开源软件的使用并非想象中的自由。不恰当地使用开源软件,可能会给企业造成负面舆论甚至经济损失的风险。


开源许可证(“Open Source License”)是什么


开源许可证是一种针对开源软件使用者的约束,目的在于规范受著作权保护的软件的使用或者分发行为。


常见许可证及其差异


常见的许可证主要有GPL、LGPL、AGPL、MPL、MIT、BSD和Apache,各个许可证还包含不同版本。根据使用条件不同,可以将这些许可证大致分为两类:Copyleft 许可证和宽松许可证(permissive license),主要对使用、修改和分发的场景作出相应约束。

1.png

1.BSD许可证——特点是可以自由使用、修改、再发布。但是在商用或者个人分发过程中必须带有原来代码的许可证,且不能用原作者相关信息去做宣传。


2.MIT许可证——源自麻省理工学院(Massachusetts Institute of Technology, MIT),是使用最广泛的一种开源许可证。其特点和BSD许可证类似,只要在项目的所有副本中包含版权声明和许可声明,就无需承担任何责任。


3.Apache许可证——作为permissive license中的一员,Apache多了几个限制条件,禁止使用其商标与作者的相关信息进行商业行为,必须明确指出所有修改过的文件。


4.GPL许可证——GPL和BSD区别还是很大的,GPL主张代码及衍生代码的开源,不允许修改后和衍生的代码做为闭源的商业软件进行发布和出售。如果已发布商业软件源码里含有GPL开源软件源码,则必须对该商业软件进行开源或者下架处理。


5.AGPL许可证——AGPL是GPL的一个补充, 在GPL的基础上加了一些限制。GPL的约束生效前提是该软件"发布",有的公司就使用GPL组件编写web系统,但是不发布系统,只用这个系统在线提供服务,这样就避免了开源系统代码。而AGPL要求如果云服务(即saas)用到的代码是该许可证,那云服务的代码也必须开源。


6.LGPL许可证——LGPL允许商业软件通过类库引用的方式使用LGPL类库,而不需要开源商业软件源码。


7.MPL许可证——在商业软件中,如果含有MPL许可证的代码在单独的文件内,其他新增的文件就可以避免开源。

我们针对C/C++、Java两类常用编程语言的开源组件许可证分布进行统计,可以发现:

C/C++中主要使用MIT、BSD、Apache许可证,GPL/LGPL约占16%,整体使用更严格

Java中主要使用Apache、MIT许可证,GPL/LGPL占比约1%,整体使用更宽松

1.png


开源许可证在标准化


SPDX 是Linux基金会推出的用于交流软件材料清单信息的开放标准,SPDX当前已经对超过400个开源许可证的名称、标识符等信息进行标准化,并在持续更新。


SPDX还给出了开源许可证的匹配指南,鼓励开发者在代码中加入诸如SPDX-License-Identifier: MIT的简短标识。


可以预见,未来开源许可证将变得更标准,更容易被机器识别处理。


开源合规风险


2008 年,美国联邦巡回上诉法院首次在Jacobsen v.Katzer一案中主张了开源许可证的著作权效力。中国在2019年的「柚子案」中默认了GPL许可证的法律效力。相关判例的产生,意味着开源许可证不再是君子协定,违反开源许可证会对企业带来经济和声誉上的损失。


如GPL许可证和MPL许可证,GPL许可证要求「用户使用该许可证下的源码,必须以GPL许可证的许可发布整个程序的源码」,而MPL则要求「MPL许可证的代码在单独的文件内,其他新增的文件就可以避免开源。」因此企业在使用同时附带GPL和MPL许可证的开源软件时,就可能因为开源许可证的冲突,面临违反其中之一的风险。


国内外的相关案例


一、2019年,在数字天堂北京网络技术有限公司 诉 柚子北京科技有限公司的案件中,柚子北京 由于开发人员在2015年使用了 数字天堂 的 HBuilder 软件工具中三款插件的部分源代码,未遵守开源软件许可证,将具有开源要求的软件产品作为商业产品,被开源软件的著作权人诉请违约和侵权,故而承担法律责任。


二、2021 年 4 月 30 日,罗盒公司状告风灵公司侵权获赔 50 万元,同时要求风灵公司停止侵权行为。


在该案件中原告罗盒公司,独立开发“罗盒(Virtual App)插件化框架虚拟引擎系统 V1.0”(简称VirtualApp V1.0),在2016年引入GPL3.0 许可证,于2017年取得计算机软件著作权登记证书,且声明


用于商业用途请购买商业授权。


2018年原告发现名为“点心桌面”的软件使用了VirtualApp V1.0 的代码,经过源码分析对比,发现两者之间高度相似,遂起诉被告福建风灵公司。


经法院审判被告赔偿原告为制止侵权行为而支出的合理费用50万元。此次判决是中国首个明确 GPL3.0 许可证具有法律效力的案例。


三、2021年12月中旬,抖音海外版TikTok上线一款名为TikTok Live Studio的APP,有网友发现,此软件违反GPL许可证,违规使用开源软件OBS(一个免费的开源视频录制和视频实时流软件,且允许任何人免费应用和商用)的源代码,既然允许商用,但是为什么还会被曝违规呢?


这里就需要再科普一下GPL许可证,GPL许可证具有很强的传染性,如果一款软件使用GPL许可证的开源软件源码,那么该软件也必须采用GPL许可证,进行开源。


此事曝光之后,OBS开发者证实此事,TikTok也对此事进行了回应,并删除TikTok Live Studio的下载页面。


针对开发者/企业的建议


温馨提醒:开源千万条,合规第一条

一、软件开发者使用开源软件时,需要谨慎选择开源软件,关注其开源许可证的内容及相关条件,避免潜在的法律风险。


二、企业应当建立一个完善机制,识别企业中所使用的开源软件清单,明确对应的开源许可证及权利约束,及时规避相关合规风险。


三、通过隔离机制避免开源许可证传染,如对于MPL许可证下代码的使用,应把该许可证的代码放在单独的文件内避免许可证传染;LGPL下的代码,可采用动态链接调用该许可证的库实现隔离。


解决方案:可以使用murphysec的开源工具


一、使用murphysec开源工具扫描您的代码目录,它会帮您一键识别出来您的代码项目中使用的所有开源组件,包括直接依赖和间接依赖的组件清单,同时列出所有组件对应的开源许可证信息

1.png

二、查看报告,根据报告的提示可以明确看到对应组件的许可证在什么场景下存在许可证合规风险

1.png

三、您可以根据许可证的合规风险提示,来判断您的项目是否存在违反的可能性,并调整您所引入的组件,来解决这个风险。


一些可能你无意中踩到的坑:

1)有一些组件是存在多种许可证的,可能不同目录文件指定的许可证类型不一样,要特别注意,当然我们的开源软件也考虑到了这种情况

2)有些组件你没有直接依赖,但是可能存在间接依赖的情况,你需要特别注意查看相关组件的依赖关系

1.png

开源项目地址:https://github.com/murphysecurity

使用文档:https://www.murphysec.com/docs/


参考链接


https://spdx.org/licenses/

https://opensource.org/licenses/category

相关文章
|
8天前
|
机器学习/深度学习 自然语言处理 算法
3大核心技术,免费开源的智能合同审查分析软件的技术介绍
智能法律文档分析系统基于BERT、GPT等模型,实现高精度的实体识别和关系抽取,准确率分别达95%和90%以上。系统支持跨文档关联分析和实时处理,响应时间小于1秒,显著提升文档处理效率。核心算法包括深度学习模型、关系抽取技术和多层次数据处理能力,适用于复杂的法律文书分析。
3大核心技术,免费开源的智能合同审查分析软件的技术介绍
|
16天前
|
人工智能 Kubernetes API
3分钟掌握合同比对,思通数科开源工具让法律审查更高效
思通数科AI多模态平台提供开放API,支持与法律机构常用的ERP、CRM等企业系统集成。平台具备Docker、Kubernetes兼容性,支持二次开发和模块扩展,使用户能灵活应对不同业务需求。
|
6月前
|
安全 网络安全 区块链
开发一款数藏平台需要哪些资质
开发一款数藏平台需要哪些资质
930 5
|
6月前
|
安全 网络安全
网络安全各类平台汇总(自用/持续更新)
网络安全各类平台汇总(自用/持续更新)
62 1
|
6月前
|
SQL Java BI
有什么好用的企业自动化管理开源软件
有什么好用的企业自动化管理开源软件
|
存储 前端开发 JavaScript
Retool 是什么,怎么样? Retool 低代码工具测评
Retool 是面向企业的低代码开发平台。使用 Retool 可快速搭建后台管理工具,比如快速构建 admin 后台管理、销售 ERP、客户 CRM、数据分析看板、amazon 云端文件上传管理等基于数据库或 API 的企业工具。 新事物刚出现,没亲身体验前,总是很难理解。我们总会把新事物与我们已认知的东西来做对比,有人说 Retool 是帮你配置好的 Vue & React 、是可视化拖拽编程平台、是在线前端生成器(并不是)。这些说法都只描述了 Retool 很小的一个点,Retool 是新一代低代码开发平台,是程序员的新效率工具,是历史上不曾有的新工具,拿旧地图看新世界总会有很大偏差,建
1056 0
|
运维 安全 网络安全
《网络安全等级保护2.0定级测评实施与运维-样章》——第1章 概述
《网络安全等级保护2.0定级测评实施与运维-样章》——第1章 概述
123 0
|
存储 供应链 安全
政府为开发人员发布指导以确保软件供应链安全
政府为开发人员发布指导以确保软件供应链安全
|
供应链 安全 JavaScript
OpenSCA用开源的方式做开源风险治理:Why? What? How?
OpenSCA是什么?为什么会有OpenSCA?使用OpenSCA能解决什么问题?点击详阅~
562 0
OpenSCA用开源的方式做开源风险治理:Why? What? How?
|
Android开发 开发者 iOS开发
一个容易被开发者忽视的强力护盾——软件著作权申请
每年的4月26日是世界知识产权日,旨在呼吁大家尊重知识、崇尚创新、公平竞争、诚信守法。作为IT行业的从业人员,我们往往忽视了软件著作权带给我们的价值。今天从一个知识产权纠纷案例开始,带你了解这个保护个人权益的强力护盾。
1428 1
一个容易被开发者忽视的强力护盾——软件著作权申请