Alors que les vulnérabilités du code open source continuent de faire la une des journaux, telles que D'autres technologies, telles que Heartbleed et Log4Shell, passent inaperçues par une source cachée de risque open source - le non-respect des licences open source.
Les licences de logiciels open source sont une source majeure de risque, estime Palo Alto Networks, car même une seule licence non conforme dans le logiciel peut entraîner des poursuites judiciaires, des mesures correctives chronophages et des retards dans la mise sur le marché d'un produit. Malgré le risque évident, se conformer aux réglementations en matière de licences n'est pas une mince affaire. La variété des licences open source et la difficulté de déterminer quelles licences s'appliquent à un logiciel rendent difficile le suivi, la compréhension et la gestion des licences.
Comme pour la recherche de vulnérabilités de haut niveau ou critiques, la recherche de licences non conformes oblige les organisations à démêler le réseau de dépendances open source et transitives, souvent à plus de quatre ou cinq niveaux de profondeur. Ces dépendances se traduisent souvent par plusieurs versions du même package open source, et il n'est pas rare de trouver des licences de copyleft trop restrictives nichées sur ce site Web. Pour s'assurer que les licences sont conformes, les entreprises doivent tirer parti d'une analyse contextuelle avancée de la composition des logiciels. Cela permet d'identifier, de détecter et de hiérarchiser les licences non conformes qui menacent l'entreprise.
Introduction aux licences open source
Lorsque les utilisateurs entendent le terme "open source", il est facile de supposer qu'ils peuvent utiliser ce package comme ils le souhaitent, par ex. B. en l'utilisant pour le développement d'un produit commercial. Mais même si le code source est ouvert au monde entier, le code source ouvert n'est pas exempt de restrictions d'utilisation.
Les packages open source sont livrés avec des licences régissant l'utilisation, la réutilisation, le partage, la modification et la distribution du code. Des centaines de licences open source différentes dictent la manière dont les utilisateurs peuvent utiliser le code open source, et la pénalité en cas de non-conformité est réelle. Si une entreprise utilise un package open-source et ne respecte pas la licence, elle pourrait être contrainte d'ouvrir son code propriétaire ou de passer par le processus coûteux et long de suppression et de remplacement du package non conforme dans tout le code. base.
Alors, comment les responsables savent-ils quelles exigences spécifiques ils doivent respecter pour rester en conformité ? C'est là que ça devient délicat, car les exigences varient considérablement en fonction de la licence. Certaines licences – par ex. B. Copyleft - sont très restrictifs. D'autres, à leur tour, sont soumis à des frais, et d'autres encore peuvent être utilisés librement si l'attribution correcte est donnée. En général, cependant, les licences open source se répartissent en deux catégories principales : les licences copyleft et permissives.
Licences de copyleft
Les licences logicielles copyleft sont des licences très restrictives qui obligent les entreprises à ouvrir tout code utilisant le logiciel open source en question. Ces licences les obligent à distribuer les fichiers de code source de leur logiciel, qui incluent généralement une copie des termes de la licence et créditent les auteurs du code. La licence copyleft la plus connue est la GNU General Public License (GPL).
Licences permissives
Les licences permissives ne contiennent que des restrictions minimales sur la façon dont le logiciel peut être utilisé, modifié et distribué. Ces licences incluent généralement une exclusion de garantie. Quelques exemples de licences permissives sont la licence GNU All-permissive, la licence MIT, les licences BSD, la licence Apple Public Source et la licence Apache. En 2016, la licence de logiciel libre la plus populaire est la licence permissive MIT. Kubernetes est un progiciel open source notable et réussi qui utilise la licence Apache.
Étude de cas : non-conformité avec les licences de copyleft
En 2008, la Free Software Foundation (FSF) a poursuivi Cisco pour avoir vendu un logiciel de marque LinkSys qui n'était pas conforme au code open source qu'il utilisait. Comme c'est souvent le cas, le logiciel non conforme à l'origine de la violation du droit d'auteur GPL a été intégré au logiciel de Cisco dans le cadre d'une acquisition. Avec l'omniprésence des logiciels open source, l'augmentation des acquisitions et la profondeur des structures de dépendance, il devient de plus en plus difficile d'identifier les licences open source profondément ancrées dans les offres de logiciels commerciaux. Cependant, le non-respect peut contrecarrer les efforts visant à préserver la confidentialité de la propriété intellectuelle commerciale. Par exemple, une entreprise qui ne respecte pas une licence peut être forcée d'ouvrir son logiciel ou de cesser de vendre ce logiciel. Et même si une licence n'est pas aussi restrictive qu'une licence copyleft, les équipes peuvent avoir à reconstruire leur logiciel pour briser une dépendance clé, ce qui est coûteux et ralentit la vitesse de publication.
Surveillance de la conformité des licences
Comme si l'identification de toutes les licences n'était pas assez compliquée, une licence open source peut changer à tout moment. Par exemple, le package open source largement utilisé Elasticsearch est passé d'une licence auparavant permissive à une licence plus restrictive en 2021. La vérification de la conformité des licences n'est pas une opération ponctuelle. Au lieu de cela, la gestion de la conformité nécessite une approche continue qui nécessite la même diligence raisonnable que les autres processus de sécurité open source, par ex. B. Mise à jour des packages tiers vers des versions plus récentes et plus sécurisées.
Stratégie de gestion open source
À première vue, se conformer aux licences open source peut sembler simple. En réalité, cependant, c'est aussi complexe que la nature de l'open source lui-même. Et la triste vérité est que, même si la stratégie de sécurité open source existante comprend un examen approfondi des dépendances et des processus de gestion des vulnérabilités, il peut encore y avoir une ouverture importante -Source des risques auxquels les entreprises ne font pas face. Un seul package non conforme suffit à rendre une application entière non conforme aux exigences de licence. Les organisations doivent donc intégrer une stratégie de sécurité open source proactive et complète dans leur stratégie pour protéger adéquatement leur chaîne d'approvisionnement.En adoptant une approche proactive qui identifie et corrige les problèmes de licence open source tôt dans le cycle de développement, les organisations peuvent augmenter la productivité des développeurs. Dans le même temps, ils peuvent réduire le stress lié au retrait et au remplacement des packages non conformes de leur logiciel plus tard dans le cycle de développement.
Adopter une sécurité open source complète peut sembler décourageant, mais c'est faisable. S'il est bien fait, il peut même être convivial pour les développeurs. En intégrant des outils open source tels que Checkov à des IDE tels que VSCode et PyCharm de Jetbrains, les développeurs d'applications et les équipes DevOps peuvent obtenir une visibilité sur les vulnérabilités et les problèmes potentiels de conformité des licences le plus tôt possible dans le cycle de développement. Cela leur permet de résoudre de manière proactive les problèmes liés aux packages non conformes et de maintenir la vitesse de leurs versions.
Plus sur PaloAltoNetworks.com
À propos des réseaux de Palo Alto Palo Alto Networks, le leader mondial des solutions de cybersécurité, façonne l'avenir basé sur le cloud avec des technologies qui transforment la façon dont les gens et les entreprises travaillent. Notre mission est d'être le partenaire privilégié en matière de cybersécurité et de protéger notre mode de vie numérique. Nous vous aidons à relever les plus grands défis de sécurité au monde grâce à une innovation continue tirant parti des dernières avancées en matière d'intelligence artificielle, d'analyse, d'automatisation et d'orchestration. En fournissant une plate-forme intégrée et en renforçant un écosystème croissant de partenaires, nous sommes les leaders dans la protection de dizaines de milliers d'entreprises sur les clouds, les réseaux et les appareils mobiles. Notre vision est un monde où chaque jour est plus sûr que le précédent.