जोखिम का स्रोत ओपन सोर्स लाइसेंस

जबकि ओपन सोर्स कोड में कमजोरियां सुर्खियों में बनी रहती हैं, जैसे कि अन्य प्रौद्योगिकियां, जैसे कि हार्टब्लीड और लॉग4शेल, खुले स्रोत के जोखिम के एक छिपे हुए स्रोत द्वारा किसी का ध्यान नहीं जाता है - खुले स्रोत लाइसेंस के साथ गैर-अनुपालन।

पालो ऑल्टो नेटवर्क्स का मानना ​​है कि ओपन सोर्स सॉफ़्टवेयर लाइसेंस जोखिम का एक प्रमुख स्रोत हैं, क्योंकि सॉफ़्टवेयर में एक भी गैर-अनुपालन लाइसेंस कानूनी कार्रवाई, समय लेने वाली उपचारात्मक कार्रवाइयों और उत्पाद को बाज़ार में लाने में देरी का कारण बन सकता है। स्पष्ट जोखिम के बावजूद, लाइसेंसिंग नियमों का अनुपालन करना कोई आसान उपलब्धि नहीं है। ओपन सोर्स लाइसेंस की विविधता और यह निर्धारित करने में कठिनाई कि कौन से लाइसेंस सॉफ्टवेयर के एक टुकड़े पर लागू होते हैं, लाइसेंस का ट्रैक रखना, समझना और प्रबंधित करना मुश्किल हो जाता है।

उच्च-स्तरीय या महत्वपूर्ण कमजोरियों की खोज के साथ, गैर-अनुपालन लाइसेंस की खोज के लिए संगठनों को ओपन-सोर्स और ट्रांज़िटिव डिपेंडेंसी के वेब को उजागर करने की आवश्यकता होती है, जो अक्सर चार या पांच स्तरों से अधिक गहरा होता है। ये निर्भरताएं अक्सर एक ही ओपन सोर्स पैकेज के कई संस्करणों में परिणत होती हैं, और यह असामान्य नहीं है कि इस वेब में अत्यधिक प्रतिबंधात्मक कॉपीलेफ्ट लाइसेंस को ढूंढा जाए। यह सुनिश्चित करने के लिए कि लाइसेंस अनुपालन कर रहे हैं, संगठनों को सॉफ़्टवेयर संरचना के उन्नत, प्रासंगिक विश्लेषण का लाभ उठाना चाहिए। इससे कंपनी को धमकी देने वाले गैर-अनुपालन लाइसेंस की पहचान करना, पता लगाना और प्राथमिकता देना संभव हो जाता है।

ओपन सोर्स लाइसेंस का परिचय

जब उपयोगकर्ता "ओपन सोर्स" शब्द सुनते हैं, तो यह मान लेना आसान होता है कि वे इस पैकेज का उपयोग जैसे चाहें कर सकते हैं, उदा। B. एक व्यावसायिक उत्पाद के विकास के लिए इसका उपयोग करके। लेकिन भले ही सोर्स कोड पूरी दुनिया के लिए खुला हो, ओपन सोर्स कोड उपयोग प्रतिबंधों से मुक्त नहीं है।

ओपन सोर्स पैकेज कोड के उपयोग, पुन: उपयोग, साझाकरण, संशोधन और वितरण को नियंत्रित करने वाले लाइसेंस के साथ आते हैं। सैकड़ों अलग-अलग ओपन सोर्स लाइसेंस तय करते हैं कि उपयोगकर्ता ओपन सोर्स कोड का उपयोग कैसे कर सकते हैं, और गैर-अनुपालन के लिए जुर्माना वास्तविक है। यदि कोई कंपनी एक ओपन-सोर्स पैकेज का उपयोग करती है और लाइसेंस का पालन नहीं करती है, तो उसे अपने मालिकाना कोड को ओपन-सोर्स करने के लिए मजबूर किया जा सकता है या पूरे कोड में गैर-अनुपालन पैकेज को हटाने और बदलने की महंगी और समय लेने वाली प्रक्रिया से गुजरना पड़ सकता है। आधार।

तो जो जिम्मेदार हैं वे कैसे जानते हैं कि आज्ञाकारी बने रहने के लिए उन्हें किन विशिष्ट आवश्यकताओं को पूरा करने की आवश्यकता है? यह वह जगह है जहां यह मुश्किल हो जाता है, क्योंकि लाइसेंस के आधार पर आवश्यकताएं बहुत भिन्न होती हैं। कुछ लाइसेंस - उदा। बी कॉपीलेफ्ट - बहुत ही प्रतिबंधात्मक हैं। अन्य, बदले में, एक शुल्क के अधीन हैं, और यदि सही विशेषता दी जाती है, तो अन्य को फिर से स्वतंत्र रूप से उपयोग किया जा सकता है। हालाँकि, सामान्य तौर पर, ओपन सोर्स लाइसेंस दो मुख्य श्रेणियों में आते हैं: कॉपीलेफ्ट और परमिसिव लाइसेंस।

कॉपीलेफ्ट लाइसेंस

कॉपीलेफ्ट सॉफ़्टवेयर लाइसेंस बहुत ही प्रतिबंधात्मक लाइसेंस हैं जिनके लिए कंपनियों को ओपन सोर्स सॉफ़्टवेयर का उपयोग करने वाले किसी भी कोड को खोलने की आवश्यकता होती है। इन लाइसेंसों के लिए उन्हें अपने सॉफ़्टवेयर के स्रोत कोड फ़ाइलों को वितरित करने की आवश्यकता होती है, जिसमें आमतौर पर लाइसेंस शर्तों की एक प्रति शामिल होती है और कोड के लेखकों को श्रेय दिया जाता है। सबसे प्रसिद्ध कॉपीलेफ्ट लाइसेंस जीएनयू जनरल पब्लिक लाइसेंस (जीपीएल) है।

अनुमेय लाइसेंस

अनुमत लाइसेंस में केवल न्यूनतम प्रतिबंध होते हैं कि सॉफ़्टवेयर का उपयोग, संशोधित और वितरित कैसे किया जा सकता है। इन लाइसेंसों में आमतौर पर वारंटी का अस्वीकरण शामिल होता है। अनुमेय लाइसेंस के कुछ उदाहरण जीएनयू ऑल-परमिसिव लाइसेंस, एमआईटी लाइसेंस, बीएसडी लाइसेंस, एप्पल पब्लिक सोर्स लाइसेंस और अपाचे लाइसेंस हैं। 2016 में, सबसे लोकप्रिय मुफ्त सॉफ्टवेयर लाइसेंस एमआईटी लाइसेंस है। कुबेरनेट्स एक उल्लेखनीय और सफल ओपन सोर्स सॉफ्टवेयर पैकेज है जो अपाचे लाइसेंस का उपयोग करता है।

केस स्टडी: कॉपीलेफ्ट लाइसेंस का गैर-अनुपालन

2008 में, Free Software Foundation (FSF) ने Cisco पर LinkSys- ब्रांडेड सॉफ़्टवेयर बेचने के लिए मुकदमा दायर किया, जो उसके द्वारा उपयोग किए जा रहे ओपन-सोर्स कोड के अनुरूप नहीं था। जैसा कि अक्सर होता है, जीपीएल कॉपीराइट उल्लंघन का कारण बनने वाले गैर-अनुपालन सॉफ़्टवेयर को अधिग्रहण के हिस्से के रूप में सिस्को के सॉफ़्टवेयर में एकीकृत किया गया था। ओपन सोर्स सॉफ़्टवेयर की सर्वव्यापकता, अधिग्रहण के उदय और निर्भरता संरचनाओं की गहराई के साथ, ऐसे ओपन सोर्स लाइसेंस की पहचान करना कठिन होता जा रहा है जो व्यावसायिक सॉफ़्टवेयर पेशकशों में गहराई से उलझे हुए हैं। हालांकि, अनुपालन में विफलता व्यावसायिक बौद्धिक संपदा को निजी रखने के प्रयासों को विफल कर सकती है। उदाहरण के लिए, एक कंपनी जो लाइसेंस का पालन नहीं करती है, उसे अपने सॉफ़्टवेयर को खोलने या उस सॉफ़्टवेयर को बेचने से रोकने के लिए मजबूर किया जा सकता है। और यहां तक ​​​​कि अगर कोई लाइसेंस कॉपीलेफ्ट लाइसेंस के रूप में प्रतिबंधात्मक नहीं है, तो टीमों को एक प्रमुख निर्भरता को तोड़ने के लिए अपने सॉफ़्टवेयर का पुनर्निर्माण करना पड़ सकता है, जो महंगा है और रिलीज की गति को धीमा कर देता है।

लाइसेंस अनुपालन निगरानी

जैसे कि सभी लाइसेंस की पहचान करना काफी जटिल नहीं था, एक ओपन सोर्स लाइसेंस किसी भी समय बदल सकता है। उदाहरण के लिए, व्यापक रूप से उपयोग किए जाने वाले ओपन सोर्स पैकेज एलिस्टिक्स खोज को 2021 में पूर्व अनुमेय लाइसेंस से अधिक प्रतिबंधात्मक लाइसेंस में बदल दिया गया। लाइसेंस अनुपालन सत्यापित करना एक बार की बात नहीं है। इसके बजाय, अनुपालन प्रबंधन के लिए एक सतत दृष्टिकोण की आवश्यकता होती है जिसके लिए अन्य खुले स्रोत सुरक्षा प्रक्रियाओं के समान उचित परिश्रम की आवश्यकता होती है, उदा। B. तीसरे पक्ष के पैकेज को नए और अधिक सुरक्षित संस्करणों में अपडेट करना।

ओपन सोर्स प्रबंधन रणनीति

पहली नज़र में, ओपन सोर्स लाइसेंस का अनुपालन सरल लग सकता है। हकीकत में, हालांकि, यह ओपन सोर्स की प्रकृति के रूप में जटिल है और दुखद सच्चाई यह है कि भले ही मौजूदा ओपन सोर्स सुरक्षा रणनीति में निर्भरताओं और भेद्यता प्रबंधन प्रक्रियाओं की गहन समीक्षा शामिल हो, फिर भी महत्वपूर्ण खुलापन हो सकता है - स्रोत जोखिम जो कंपनियां संबोधित नहीं करती हैं। लाइसेंस आवश्यकताओं के साथ गैर-अनुपालन करने वाले संपूर्ण एप्लिकेशन को प्रस्तुत करने के लिए केवल एक गैर-अनुपालन पैकेज पर्याप्त है। इसलिए संगठनों को अपनी आपूर्ति श्रृंखला को पर्याप्त रूप से संरक्षित करने के लिए अपनी रणनीति में एक सक्रिय और व्यापक ओपन सोर्स सुरक्षा रणनीति शामिल करनी चाहिए। एक सक्रिय दृष्टिकोण अपनाकर जो विकास चक्र की शुरुआत में ही ओपन सोर्स लाइसेंसिंग मुद्दों की पहचान और उपचार करता है, संगठन डेवलपर उत्पादकता बढ़ा सकते हैं। साथ ही, वे बाद में विकास चक्र में अपने सॉफ़्टवेयर से गैर-अनुपालन पैकेजों को हटाने और बदलने के तनाव को कम कर सकते हैं।

व्यापक ओपन सोर्स सुरक्षा को अपनाना कठिन लग सकता है, लेकिन यह करने योग्य है। अगर सही तरीके से किया जाए, तो यह डेवलपर के अनुकूल भी हो सकता है। VSCode और Jetbrains के PyCharm जैसे IDE के साथ Checkov जैसे ओपन-सोर्स टूल को एकीकृत करके, एप्लिकेशन डेवलपर्स और DevOps टीमें कमजोरियों और संभावित लाइसेंस अनुपालन मुद्दों में जल्द से जल्द विकास चक्र में दृश्यता प्राप्त कर सकती हैं। यह उन्हें गैर-अनुपालन पैकेजों के साथ मुद्दों को सक्रिय रूप से ठीक करने और उनकी रिलीज की गति को बनाए रखने की अनुमति देता है।

PaloAltoNetworks.com पर अधिक

 

---

पालो अल्टो नेटवर्क के बारे में

पालो अल्टो नेटवर्क्स, साइबर सुरक्षा समाधानों में वैश्विक अग्रणी, क्लाउड-आधारित भविष्य को उन तकनीकों के साथ आकार दे रहा है जो लोगों और व्यवसायों के काम करने के तरीके को बदल देती हैं। हमारा मिशन पसंदीदा साइबर सुरक्षा भागीदार बनना और हमारे डिजिटल जीवन के तरीके की रक्षा करना है। हम आर्टिफिशियल इंटेलिजेंस, एनालिटिक्स, ऑटोमेशन और ऑर्केस्ट्रेशन में नवीनतम सफलताओं का लाभ उठाते हुए निरंतर नवाचार के साथ दुनिया की सबसे बड़ी सुरक्षा चुनौतियों का समाधान करने में आपकी सहायता करते हैं। एक एकीकृत मंच प्रदान करके और भागीदारों के बढ़ते पारिस्थितिकी तंत्र को सशक्त बनाकर, हम क्लाउड, नेटवर्क और मोबाइल उपकरणों में हजारों व्यवसायों की सुरक्षा करने में अग्रणी हैं। हमारा विजन एक ऐसी दुनिया है जहां हर दिन पहले से ज्यादा सुरक्षित है।

---

 

विषय से संबंधित लेख