推荐收藏!年度Top20开源许可证风险等级

简介: 收下这份常见许可证风险等级表,快速判断合规风险

开源许可现状

开发人员经常在软件中引入开源的代码片段、函数、方法和操作代码。因此,软件代码中经常会包含各种声明不同许可证的子组件。这些子组件的许可证条款和条件与项目整体主许可证的条款和条件冲突时,就会产生许可证合规风险。

Synopsys 2023 Open Source Security and Risk Analysis(《2023开源安全和风险分析(OSSRA)》)报告显示,在2022年审计的所有代码库中,54%的代码库包含与主许可证冲突的开源内容。

Creative Commons ShareAlike 3.0(CC BY-SA 3.0)是今年最常见的引发许可证冲突的许可证。该许可证要求署名、非商业性使用及相同方式共享。在开发人员中很流行的在线问答平台Stack Overflow对这一许可证的流行起到了很大的助推作用。

从行业角度来看,去年,计算机硬件和半导体行业中93%的代码库存在开源许可证冲突;今年这一数字下降到了75%。总体而言,全行业的许可证冲突情况都有类似的改善。今年,冲突比例最高的是物联网行业(78%)。

第一部分.png

许可证合规风险

软件产品默认受版权保护;未经创作者/作者以许可形式授予的明确许可,任何人不得非法使用、复制、分发或修改该软件。即使是相对宽松友好的开源许可证也规定了用户使用、修改和分发开源软件的一些行为准则。

当代码库中包含的开源代码的许可证与代码库的整体许可证相冲突时,就会产生潜在的许可证风险。GPL许可证族是开源项目中比较常见的许可证,当使用GPL许可证的代码被包含在商业或闭源软件中时,很大概率会产生许可证合规风险。

此外,通用开源许可证的变体可能会对代码的授权提出附加要求。例如,JSON许可证就是在MIT许可证的基础上增加了“软件仅限用于善意用途,严禁用于恶意用途”的限制。但这一表述在实际情况中又过于模糊,可能需要进一步法律专业层面的评估。

按风险划分的开源许可证

下表列出了过去一年(2022-2023)被使用最多的开源许可证及它们在合规问题上的风险等级以供参考(整理自《2023开源安全和风险分析(OSSRA)》)。

排序图.jpg

*包括组件声明公开但未声明具体的公共许可的情况,如Unlicense或CC。

开源安全共建

感谢每一位开源社区成员对OpenSCA的支持和贡献。OpenSCA的代码会在GitHub和Gitee持续迭代,欢迎Star和Fork,也欢迎向我们提交ISSUE和PR,参与我们的开源安全共建计划,与社区成员共同建设充满可能性的开源解决方案。

相关文章
|
3月前
|
测试技术 持续交付
低风险发布
低风险发布
29 0
|
6月前
|
监控 搜索推荐 安全
企业出海数据合规:GDPR和CCPA差异知多少
GDPR和CCPA在地域管辖、跨境传输活动的管控、针对儿童个人信息处理活动的规制以及数据主体反对数据处理的权利等方面存在差异。GDPR管辖范围更广,更注重保护用户数据,而CCPA更侧重于促进数据的流动和经济价值。在跨境传输方面,GDPR有严格的限制,而CCPA没有明确规定。
258 0
|
11月前
|
安全 定位技术
企业出海数据合规:CCPA与CPRA的关系
加州消费者隐私法(CCPA)和加利福尼亚隐私权法案(CPRA)是加州的消费者隐私法律框架的两个重要法律。虽然CPRA修改了CCPA,但它们共同构成了该州的隐私法律框架。两者最明显的区别在于适用范围、敏感个人信息、处罚、消费者请求和消费者权利。CPRA扩大了消费者可以向企业请求的信息范围,增加了新的消费者权利,如更正权、限制敏感个人信息的权利、访问和选择退出的权利以及数据可移植的权利。
138 0
|
JSON 安全 Unix
版本升级 | v1.0.12发布,许可证风险早知道
v1.0.12新版本升级啦,优化了许可证检出功能和HTML页面分页,走过路过别错过~
107 0
版本升级 | v1.0.12发布,许可证风险早知道
|
供应链 安全
一键检测你的代码项目中的开源软件供应链安全风险,快速导出报告
一键检测你的代码项目中的开源软件供应链安全风险,快速导出报告
一键检测你的代码项目中的开源软件供应链安全风险,快速导出报告
|
安全 网络安全 调度
信息安全等级保护等级划分五级及等保级别适用行业
网络信息系统安全等级保护分为五级,一级防护水平最低,最高等保为五级:
|
安全 数据安全/隐私保护
安全公司Carbon Black被指控泄漏TB级的客户数据,涉及多个全球1000强企业
本文讲的是安全公司Carbon Black被指控泄漏TB级的客户数据,涉及多个全球1000强企业,近日,根据管理安全策略提供商DirectDefense的调查显示,不少财富1000强企业的敏感数据存在泄露风险,而这些公司都采用了EDR安全公司Carbon Black的解决方案。
1597 0
下一篇
无影云桌面