Açık kaynak kodundaki güvenlik açıkları, örneğin Heartbleed ve Log4Shell gibi diğer teknolojiler, açık kaynak lisanslarına uyulmaması gibi gizli bir açık kaynak riski kaynağı tarafından fark edilmemektedir.
Palo Alto Networks, açık kaynak yazılım lisanslarının önemli bir risk kaynağı olduğuna inanıyor, çünkü yazılımdaki tek bir uyumsuz lisans bile yasal işlemlere, zaman alıcı düzeltici işlemlere ve bir ürünün piyasaya sürülmesinde gecikmelere yol açabilir. Bariz riske rağmen, lisans düzenlemelerine uymak kolay bir başarı değildir. Açık kaynak lisanslarının çeşitliliği ve bir yazılım parçası için hangi lisansların geçerli olduğunu belirlemenin zorluğu lisansları takip etmeyi, anlamayı ve yönetmeyi zorlaştırır.
Üst düzey veya kritik güvenlik açıklarını ararken olduğu gibi, uyumlu olmayan lisansları aramak için kuruluşların, genellikle dört veya beş düzeyden daha derin olan açık kaynaklı ve geçişli bağımlılıklar ağını çözmesi gerekir. Bu bağımlılıklar genellikle aynı açık kaynak paketinin birden çok sürümüyle sonuçlanır ve bu web'de gizlenmiş aşırı derecede kısıtlayıcı copyleft lisansları bulmak alışılmadık bir durum değildir. Lisansların uyumlu olmasını sağlamak için kuruluşlar, yazılım kompozisyonunun gelişmiş, bağlamsal analizinden yararlanmalıdır. Bu, şirketi tehdit eden uyumsuz lisansların belirlenmesini, tespit edilmesini ve önceliklendirilmesini mümkün kılar.
Açık kaynak lisanslarına giriş
Kullanıcılar "açık kaynak" terimini duyduklarında, bu paketi istedikleri gibi kullanabileceklerini varsaymak kolaydır; B. ticari bir ürün geliştirmek için kullanarak. Ancak kaynak kodu tüm dünyaya açık olsa bile, açık kaynak kodu kullanım kısıtlamalarından muaf değildir.
Açık kaynak paketleri, kodun kullanımını, yeniden kullanımını, paylaşılmasını, değiştirilmesini ve dağıtımını yöneten lisanslarla birlikte gelir. Yüzlerce farklı açık kaynak lisansı, kullanıcıların açık kaynak kodunu nasıl kullanabileceklerini belirler ve uyumsuzluğun cezası gerçektir. Bir şirket açık kaynaklı bir paket kullanıyorsa ve lisansa uymuyorsa, kendi özel kodunu açık kaynak yapmak zorunda kalabilir veya kod boyunca uyumlu olmayan paketi kaldırıp değiştirmek gibi maliyetli ve zaman alan bir süreçten geçebilir. temel.
Öyleyse sorumlular, uyumlu kalmak için hangi özel gereklilikleri karşılamaları gerektiğini nasıl bilebilirler? Gereksinimler lisansa bağlı olarak büyük ölçüde değiştiğinden, işin zorlaştığı yer burasıdır. Bazı lisanslar – örn. B. Copyleft - çok kısıtlayıcıdır. Diğerleri ise bir ücrete tabidir ve doğru atıf yapılırsa diğerleri yine serbestçe kullanılabilir. Bununla birlikte, genel olarak, açık kaynak lisansları iki ana kategoriye ayrılır: copyleft ve permissive lisanslar.
Copyleft Lisansları
Copyleft yazılım lisansları, şirketlerin söz konusu açık kaynak yazılımı kullanan herhangi bir kodu açık kaynak olarak kullanmasını gerektiren oldukça kısıtlayıcı lisanslardır. Bu lisanslar, yazılımlarının, genellikle lisans koşullarının bir kopyasını içeren ve kodun yazarlarına atıfta bulunan kaynak kod dosyalarını dağıtmalarını gerektirir. En iyi bilinen copyleft lisansı GNU Genel Kamu Lisansıdır (GPL).
İzin Veren Lisanslar
İzin verilen lisanslar, yazılımın nasıl kullanılabileceği, değiştirilebileceği ve dağıtılabileceği konusunda yalnızca minimum kısıtlamalar içerir. Bu lisanslar genellikle bir garanti reddi içerir. İzin verilen lisanslara bazı örnekler GNU Her Şeye İzin Veren Lisans, MIT Lisansı, BSD Lisansları, Apple Kamu Kaynak Lisansı ve Apache Lisansıdır. 2016'da en popüler ücretsiz yazılım lisansı, izin veren MIT lisansıdır. Apache lisansını kullanan dikkate değer ve başarılı bir açık kaynak yazılım paketi Kubernetes'tir.
Örnek Olay: Copyleft Lisanslarına Uyumsuzluk
2008'de Özgür Yazılım Vakfı (FSF), Cisco'ya, kullandığı açık kaynak koduyla uyumlu olmayan LinkSys markalı yazılımları sattığı için dava açtı. Çoğu zaman olduğu gibi, GPL telif hakkı ihlaline neden olan uyumlu olmayan yazılım, satın alma işleminin bir parçası olarak Cisco'nun yazılımına entegre edildi. Açık kaynak yazılımın her yerde bulunması, satın almaların artması ve bağımlılık yapılarının derinliği ile birlikte, ticari yazılım tekliflerine derinlemesine yerleşmiş açık kaynak lisanslarını belirlemek giderek daha zor hale geliyor. Ancak, uyulmaması ticari fikri mülkiyeti gizli tutma çabalarını engelleyebilir. Örneğin, bir lisansa uymayan bir şirket, yazılımını açık kaynak kodlu hale getirmeye veya bu yazılımın satışını durdurmaya zorlanabilir. Ve bir lisans, bir copyleft lisansı kadar kısıtlayıcı olmasa bile, ekiplerin, maliyetli olan ve sürüm hızını yavaşlatan önemli bir bağımlılığı kırmak için yazılımlarını yeniden oluşturması gerekebilir.
Lisans uyumluluğu izleme
Tüm lisansları belirlemek yeterince karmaşık değilmiş gibi, bir açık kaynak lisansı her an değişebilir. Örneğin, yaygın olarak kullanılan açık kaynak paketi Elasticsearch, 2021'de daha önce izin veren bir lisanstan daha kısıtlayıcı bir lisansa geçti. Lisans uygunluğunun doğrulanması tek seferlik bir şey değildir. Bunun yerine uyumluluk yönetimi, diğer açık kaynak güvenlik süreçleriyle aynı özeni gerektiren sürekli bir yaklaşım gerektirir; B. Üçüncü taraf paketlerini daha yeni ve daha güvenli sürümlere güncelleme.
Açık Kaynak Yönetimi Stratejisi
Açık kaynak lisanslarına uyum sağlamak ilk bakışta basit görünebilir. Ancak gerçekte, açık kaynağın doğası kadar karmaşıktır ve üzücü gerçek şu ki, mevcut açık kaynak güvenlik stratejisi, bağımlılıkların ve güvenlik açığı yönetim süreçlerinin kapsamlı bir incelemesini içerse bile, yine de önemli ölçüde açıklık olabilir -Kaynak şirketlerin ele almadığı riskler. Tek bir uyumlu olmayan paket, tüm bir uygulamayı lisans gereklilikleriyle uyumlu olmayan hale getirmek için yeterlidir. Bu nedenle kuruluşlar, tedarik zincirlerini yeterince korumak için stratejilerine proaktif ve kapsamlı bir açık kaynak güvenlik stratejisi dahil etmelidir.Geliştirme döngüsünün başlarında açık kaynak lisanslama sorunlarını belirleyen ve düzelten proaktif bir yaklaşım benimseyen kuruluşlar, geliştirici üretkenliğini artırabilir. Aynı zamanda, geliştirme döngüsünün sonraki aşamalarında uyumlu olmayan paketleri yazılımlarından çıkarıp değiştirme stresini azaltabilirler.
Kapsamlı açık kaynak güvenliğini benimsemek göz korkutucu görünebilir, ancak yapılabilir. Doğru yapılırsa, geliştirici dostu bile olabilir. Uygulama geliştiricileri ve DevOps ekipleri, Checkov gibi açık kaynaklı araçları VSCode ve Jetbrains'in PyCharm'ı gibi IDE'lerle entegre ederek, geliştirme döngüsünün mümkün olduğunca erken aşamalarında güvenlik açıkları ve olası lisans uyumluluğu sorunları hakkında görünürlük elde edebilir. Bu, uyumlu olmayan paketlerle ilgili sorunları proaktif olarak düzeltmelerine ve sürümlerinin hızını korumalarına olanak tanır.
PaloAltoNetworks.com'da daha fazlası
Palo Alto Ağları Hakkında Siber güvenlik çözümlerinde dünya lideri olan Palo Alto Networks, insanların ve işletmelerin çalışma şeklini değiştiren teknolojilerle bulut tabanlı geleceği şekillendiriyor. Misyonumuz, tercih edilen siber güvenlik ortağı olmak ve dijital yaşam biçimimizi korumaktır. Yapay zeka, analitik, otomasyon ve orkestrasyondaki en son atılımlardan yararlanan sürekli yenilikle dünyanın en büyük güvenlik sorunlarını çözmenize yardımcı oluyoruz. Entegre bir platform sunarak ve büyüyen bir iş ortağı ekosistemini güçlendirerek, bulutlar, ağlar ve mobil cihazlar genelinde on binlerce işletmeyi korumada lideriz. Vizyonumuz, her günün bir öncekinden daha güvenli olduğu bir dünyadır.