Mentre le vulnerabilità nel codice open source continuano a fare notizia, come ad esempio Altre tecnologie, come Heartbleed e Log4Shell, passano inosservate a causa di una fonte nascosta di rischio open source: la non conformità con le licenze open source.
Le licenze software open source sono una delle principali fonti di rischio, ritiene Palo Alto Networks, perché anche una singola licenza non conforme nel software può portare ad azioni legali, azioni correttive che richiedono tempo e ritardi nell'immissione di un prodotto sul mercato. Nonostante l'ovvio rischio, essere conformi alle normative sulle licenze non è un'impresa facile. La varietà di licenze open source e la difficoltà di determinare quali licenze si applicano a un software rende difficile tenere traccia, comprendere e gestire le licenze.
Come per la ricerca di vulnerabilità critiche o di alto livello, la ricerca di licenze non conformi richiede alle organizzazioni di svelare la rete di dipendenze open source e transitive, spesso profonde più di quattro o cinque livelli. Queste dipendenze spesso si traducono in più versioni dello stesso pacchetto open source e non è raro trovare licenze copyleft eccessivamente restrittive nascoste in questo web. Per garantire che le licenze siano conformi, le organizzazioni devono sfruttare l'analisi avanzata e contestuale della composizione del software. Ciò consente di identificare, rilevare e dare priorità alle licenze non conformi che minacciano l'azienda.
Introduzione alle licenze open source
Quando gli utenti sentono il termine "open source", è facile presumere che possano utilizzare questo pacchetto come vogliono, ad es. B. utilizzandolo per lo sviluppo di un prodotto commerciale. Ma anche se il codice sorgente è aperto a tutto il mondo, il codice open source non è esente da restrizioni d'uso.
I pacchetti open source sono dotati di licenze che regolano l'uso, il riutilizzo, la condivisione, la modifica e la distribuzione del codice. Centinaia di diverse licenze open source determinano come gli utenti possono utilizzare il codice open source e la sanzione per la non conformità è reale. Se un'azienda utilizza un pacchetto open source e non rispetta la licenza, potrebbe essere costretta a rendere open source il suo codice proprietario o passare attraverso il processo costoso e dispendioso in termini di tempo e rimozione del pacchetto non conforme in tutto il codice base.
Quindi, come fanno i responsabili a sapere quali requisiti specifici devono soddisfare per rimanere conformi? È qui che diventa complicato, poiché i requisiti variano notevolmente a seconda della licenza. Alcune licenze, ad es. B. Copyleft - sono molto restrittivi. Altri, a loro volta, sono a pagamento, e altri ancora possono essere liberamente utilizzati se viene data la corretta attribuzione. In generale, tuttavia, le licenze open source rientrano in due categorie principali: licenze copyleft e permissive.
Licenze copyleft
Le licenze software copyleft sono licenze molto restrittive che richiedono alle aziende di rendere open source qualsiasi codice che utilizza il software open source in questione. Queste licenze richiedono loro di distribuire i file del codice sorgente del loro software, che di solito includono una copia dei termini di licenza e accreditano gli autori del codice. La licenza copyleft più nota è la GNU General Public License (GPL).
Licenze permissive
Le licenze permissive contengono solo restrizioni minime su come il software può essere utilizzato, modificato e distribuito. Queste licenze di solito includono un'esclusione di garanzia. Alcuni esempi di licenze permissive sono la licenza GNU All-permissive, la licenza MIT, le licenze BSD, la licenza Apple Public Source e la licenza Apache. Nel 2016, la licenza di software libero più popolare è la licenza permissiva MIT. Un pacchetto software open source notevole e di successo che utilizza la licenza Apache è Kubernetes.
Caso di studio: non conformità con le licenze Copyleft
Nel 2008, la Free Software Foundation (FSF) ha citato in giudizio Cisco per aver venduto software a marchio LinkSys non conforme al codice open source che stava utilizzando. Come spesso accade, il software non conforme che ha causato la violazione del copyright GPL è stato integrato nel software di Cisco come parte di un'acquisizione. Con l'ubiquità del software open source, l'aumento delle acquisizioni e la profondità delle strutture di dipendenza, sta diventando sempre più difficile identificare le licenze open source profondamente radicate nelle offerte di software commerciale. Tuttavia, il mancato rispetto può ostacolare gli sforzi per mantenere privata la proprietà intellettuale commerciale. Ad esempio, un'azienda che non rispetta una licenza potrebbe essere costretta a rendere open source il proprio software o a smettere di venderlo. E anche se una licenza non è restrittiva come una licenza copyleft, i team potrebbero dover ricostruire il proprio software per interrompere una dipendenza chiave, il che è costoso e rallenta la velocità di rilascio.
Monitoraggio della conformità delle licenze
Come se identificare tutte le licenze non fosse abbastanza complicato, una licenza open source può cambiare in qualsiasi momento. Ad esempio, il pacchetto open source ampiamente utilizzato Elasticsearch è passato da una licenza precedentemente permissiva a una più restrittiva nel 2021. La verifica della conformità della licenza non è un'operazione una tantum. Invece, la gestione della conformità richiede un approccio continuo che richiede la stessa due diligence di altri processi di sicurezza open source, ad es. B. Aggiornamento di pacchetti di terze parti a versioni più recenti e più sicure.
Strategia di gestione dell'open source
A prima vista, il rispetto delle licenze open source può sembrare semplice. In realtà, tuttavia, è complesso quanto la natura stessa dell'open source e la triste verità è che, anche se l'attuale strategia di sicurezza dell'open source include una revisione approfondita delle dipendenze e dei processi di gestione delle vulnerabilità, potrebbe esserci ancora un'apertura significativa. rischi che le aziende non affrontano. Basta un solo pacchetto non conforme per rendere un'intera applicazione non conforme ai requisiti di licenza. Le organizzazioni devono quindi incorporare una strategia di sicurezza open source proattiva e completa nella loro strategia per proteggere adeguatamente la loro supply chain.Adottando un approccio proattivo che identifichi e risolva i problemi di licenza open source all'inizio del ciclo di sviluppo, le organizzazioni possono aumentare la produttività degli sviluppatori. Allo stesso tempo, possono ridurre lo stress di dover eliminare e sostituire i pacchetti non conformi dal loro software più avanti nel ciclo di sviluppo.
L'adozione di una sicurezza open source completa può sembrare scoraggiante, ma è fattibile. Se fatto bene, può anche essere adatto agli sviluppatori. Integrando strumenti open source come Checkov con IDE come VSCode e PyCharm di Jetbrains, gli sviluppatori di applicazioni e i team DevOps possono ottenere visibilità sulle vulnerabilità e sui potenziali problemi di conformità delle licenze il più presto possibile nel ciclo di sviluppo. Ciò consente loro di risolvere in modo proattivo i problemi con i pacchetti non conformi e mantenere la velocità dei loro rilasci.
Altro su PaloAltoNetworks.com
A proposito di Palo Alto Networks Palo Alto Networks, leader globale nelle soluzioni di sicurezza informatica, sta plasmando il futuro basato sul cloud con tecnologie che trasformano il modo in cui lavorano le persone e le aziende. La nostra missione è essere il partner preferito per la sicurezza informatica e proteggere il nostro stile di vita digitale. Ti aiutiamo ad affrontare le maggiori sfide di sicurezza del mondo con un'innovazione continua che sfrutta le ultime scoperte in termini di intelligenza artificiale, analisi, automazione e orchestrazione. Fornendo una piattaforma integrata e potenziando un ecosistema di partner in crescita, siamo leader nella protezione di decine di migliaia di aziende su cloud, reti e dispositivi mobili. La nostra visione è un mondo in cui ogni giorno è più sicuro di quello precedente.