GSS資安電子報0161期【回顧2018年前10大Open Source License趨勢及預測】
撰文及整理:叡揚資訊 資安事業處
Redis Labs和MongoDB在2018年最後一個月針對一些受歡迎的Open Source資料庫的License進行更換時,Open Source License成為重要的因素,因此在整個軟體界造成很大的轟動。
Open Source的授權問題常常被開發人員視作沉悶的問題,法律顧問們必須在他們開發軟體產品同時審核授權合規性。因此,開發人員傾向優先處理他們喜歡的資料庫專案,更不用說當提及雲端基礎架構時對未來的願景。但是當Open Source產品授權遭到破壞時,Open Source社群創作者的躁動更容易影響到他們的情緒。
本指南希望能降低企業所需之安全程式與開發人員技能間的落差。將引導您了解需要知道的所有事項,以確保軟體工程師獲得最有效的SCE並符合實際需求。
2018年Open Source Licenses : 趨勢是什麼?
雖然今年Open Source Licenses和條款的新浪潮仍然有待觀察,但是今年即將結束,現在是了解2018年Open Source Licenses的趨勢且進行比較的好時機。我們Whitesource資料庫的研究團隊收集了很多資訊,其中包含7000萬以上個檔案、支援超過200個程式語言,並且了解2018年和2017、2016年相比之中,最受歡迎的Open Source Licenses。研究結果顯示,寬鬆的Open Source Licenses使用量持續增加,而Copyleft Licenses使用量持續減少,尤其是GPL類型的Open Source。
寬鬆Open Source Licenses依然是趨勢
在2017年,我們從趨勢中看見,使用 ”寬鬆的” 或 ”什麼都可以的” Open Source Licenses仍持續上升。在今年的前十大最受歡迎Open Source Licenses中,MIT和Apache 2.0依然再次獲得第一名和第二名。寬鬆的Open Source Licenses,被稱為 ”什麼都可以的”,對使用者所使用Open Source元件的限制是最小的。這個類型的Licenses允許自由的使用、修改和重新分配到Open Source的程式碼,而且在使用到其他產品時,也不需儘任何的義務。
根據今年的資料,64 % Open Source元件是寬鬆的Licenses。這比去年的56 % 增加了 8 %。前十大最受歡迎的Open Source Licenses之中,只有36 % 是Copyleft,而去年是40 % 。這數字顯示,開發人員和組織則會持續的選擇比較寬鬆的Licenses。這可以解釋為Open Source的使用量持續的增加,也已經成為主流,而且Open Source社群已經得到商業軟體社群的支持與擁護。像是微軟和Google等等的公司,積極參與並為Open Source社群做出巨大的貢獻。”他們” 在早期想統治Open Source的心態早已經不見。為了這種廣泛的合作並鼓勵Open Source的使用,寬鬆的Licenses使用量依然持續上漲。相對的,較多的使用者似乎選擇附加條款較少Licenses的元件。較寬鬆Licenses的Open Source元件,就可以提供他們在開發時的需求,有助於減緩法律部門對Open Source Licenses的挑戰。
MIT Open Source Licenses使用量衛冕冠軍
MIT Licenses成為最有名的Open Source Licenses,占了66 % 成為第一名。其實這不用太訝異,自2015年起,在GitHub上,一直保有一定的熱度。Ben Balter他是律師,也是Open Source開發人員和GitHub的高階產品經理表示,開發人員會選擇MIT License是因為它“條款極短且確切”,它告訴要使用此元件的使用者,什麼是不能做的,其中包括版權(作者的身份)和聲明免責條款(使用者自行負擔風險),這個License很明顯的就是開發人員的最佳選擇,不需要有法律的知識而且也可以很簡單的執行”。
根據GitHub的choosealicense.com網站顯示,要使用您的MIT License的元件時,只要向您提供使用的原因而且不用負擔任何責任,則可以隨意的使用您的程式碼。像是去年,Facebook將MIT License取代有爭議的React License。在MIT License之下,其他有名的Open Source專案為Angular.js、rails和 .NET Core。
Apache 2.0 Licenses強勢位列第二名
去年,寬鬆的Apache 2.0 License在十大Open Source Licenses的排名中,躍升成為第二名,取代了Copyleft GPL 3.0 License。今年,Apache 2.0持續的受到歡迎,因此,再次的上漲1 %,並以22 % 強勢位居第二名。
根據GitHub的choosealicense.com網站顯示,Apache 2.0 License主要的條件是保護版權和License的通知,並提供明確的專利授權、允許將程式進行修改,可將大型專案分開發佈至不同的License條款,而且不需要提供源始碼。Apache 2.0的License中,少數幾個有名的Open Source專案,包括Kubernetes、Swift和PDF.js。
GNU GPL Open Source Licenses使用逐漸減少
在今年,GPLv3和GPLv2再次的受到打擊,GPLv3仍然是第三名,和2017年相比,下降2 %,變成16 %,則2017年是18 %。GPLv2保持第四名,但是和2018年相比下降1 %,變成10 %,則2018年為11 %。去年,全部的Open Source元件中,有35 % 是使用GNU GPL家族的Licenses。今年GPLv3、GPLv2和LGPLv2.1,全部都排在前十名,總計32 %,這表示GNU GPL家族的Licenses,使用的普及程度顯著下降。我們預測這種趨勢,會持續多年。
GPL 是Open Source開始革命時的開路先鋒,是Copyleft或像是病毒感染式License的主要範例。意思是說,當使用者使用了包含GPL License的套件,則必須也要將自己的程式碼公開,並修改整個程式碼的授權方式。不只如此,還需要在相同的GPL License之下,發佈整個專案的程式碼。在早期使用Open Source的時候,GPL License對於考慮使用Open Source的人或者是公司來說,是一個難題。對於很多人來說,選擇了可依使用方式允許多種Licenses的元件,試圖減少GPL License和公司需求之間的差距。雖然從那時已經有大量的Open Source出現,但是資料顯示,很多公司都避免使用GNU GPL,這些公司在Open Source社群中佔據了中心位置。隨著Open Source License的種類越來越豐富,使用者似乎選擇要求較少、限制也比較寬鬆的License。
2019年Open Source Licenses 的未來?
雖然 “GNU GPL“ 沒有進入到我們2018年的Open Source Licenses Top 10,甚至是Top 20,但是已經在過去一年Open Source License的領域中嶄露頭角。在Open Source中,擁有領先地位的專案,例如Mongo DB和Redis,隨著Open Source使用量增加,License的變更提醒了使用者其License的重要性,相關的組織正在研究如何與Open Source的社群互相學習成長,而且又能更新業務模式以保持領先的地位。
根據Tidelift’s Luis Villa,在未來的License條款中,例如公共條款或Redis的新Open Source License,仍然有待觀察。但也許在幾年後試圖抑制Open Source License的擴散問題,Open Source社群還是需要解決這些新的License問題。非常受歡迎的Ansible專案的開創者Michael DeHaan指出,Open Source的開發人員和Open Source的使用者可能需要一個針對新Open Source License的解決方案來確保社群能夠不斷的發展。
從過去一年裡,在我們所看到Open Source License的標題和我們的研究中,可以肯定的是 : 開發人員和商業組織都持續的使用Open Source元件,使他們所建立的新產品能夠在Open Source生態系統中成長茁壯。此群組正在盡最大的努力去確保Open Source易於取用和遵守,確保他們知道自己正在使用哪些Open Source License,並且滿足他們使用的需求。
相關解決方案:
相關文章分享:
GSS資安電子報0157期【5個常見開發工程師使用Open Source會犯的錯誤】
GSS資安電子報0149期【最新網頁常見10大風險- OWASP TOP 10 2017】
相關分類主題:軟體開發專區、軟體安全、OWASP Top10
