18.05.2021 | Fachthema

OSS Compliance - Lizenzfallen vermeiden

OSS Compliance - Lizenzfallen vermeiden

Open Source Software erfolgreich einsetzen

 

Wie im ersten Teil des Techtalks OSS Stolperfallen vermeiden beschäftigen wir uns auch diesmal mit den Ergebnissen des wirklich interessanten Synopsys Berichts zur Open Source Risiko Analyse.

Bei der Open Source Compliance geht es darum, ob man die eingesetzten Softwarekomponenten auch entsprechend ihrer Lizenz einsetzt. Bei diesen gibt es ganz vereinfacht ausgedrückt zwei Typen:

  • Permissive Lizenzen
  • CopyLeft Lizenzen

 

 


Bei permissiven Lizenzen kann die Lizenz relativ einfach in kommerzieller Software eingesetzt werden. Bei der CoypLeft Lizenz hingegen ist eine Klausel in den urheberrechtlichen Nutzungslizenzen verankert. Diese verpflichtet den Lizenznehmer, jegliche Bearbeitung des Werks (zum Beispiel Erweiterung und Veränderung) unter die Lizenz des ursprünglichen Werkes zu stellen. Das bedeutet also, das die eigene Software mit CopyLeft unter die Open Source Lizenz gestellt wird, ob man will oder nicht. Verstößt man dagegen, kann man auf teures Geld geklagt werden.

 

Bild: Auditergebnisse bezüglich inkorrekter OSS Lizenzierung.

Bild: Auditergebnisse bezüglich inkorrekter OSS Lizenzierung.



Gemäß Synopsis Bericht zur richtigen Verwendung der Open Source Lizenzen sind von den über 1500 Codebasen 65% mit Lizenzkonflikten behaftet!
Dies bedeutet, dass die Codebase entweder eine falsche Verwendung einer Lizenz einsetzt (zB. Copyleft), oder gar keine Lizenz für die eingesetzte Open Source Software nennt.

 


Besonders interessant ist hier, dass der Anteil der Lizenzsünder mit über 80% besonders im Energy und Clean Tech Bereich, sowie im Bereich Manufacturing, Industries und Robotics besonders hoch ist. Ebenso spannend ist der Punkt Nachhaltigkeit und langfristiger Support: 91% der untersuchten Codebases hatten Libraries, die in den letzten zwei Jahren keinen Codeänderung hatten. Das bedeutet, diese wurden nicht gepflegt und sind daher anfälliger auf Schwachstellen.

 

 

OSS sicherer als Closed Source 

Eine Lösung für diese Missstände ist eine (automatisch) gepflegte Software Bill of Material. Sie macht neben den Software-Versionen auch die Lizenztypen sichtbar. Damit wird umgehend erkannt, ob problematische CopyLeft Softwarekomponenten vorhanden sind, um sie dann auch entsprechend behandeln zu können.

Grundsätzlich darf man behaupten, dass OSS sicherer ist als sogenannte „Closed Source“.

 

Frei nach Eric Raymond, einem bekannten US-amerikanischen Softwarentwickler aus der Hacker- und Open-Source-Szene: „with many eyes looking at code, “all bugs become shallow”.“ Ungepflegter Code aus Projekten, die vielleicht nicht mehr weiterbetrieben werden, sind davon natürlich auszuklammern. Denn 85% aller Codebases hatten OSS Komponenten, die vier Jahre oder noch länger nicht mehr aktualisiert wurden.

 

GELin als Garant für sichere Produkte

Ginzinger electronic systems bietet für die beschriebenen tückischen Fallen eine einfache Lösung. Mit GELin, dem eigenen Linux Betriebssystem setzen wir auf aktives Monitoring der Softwarekomponenten, auf ein stabiles und langfristig gewartetes Mainline Linux, sowie auf einer einfach zu erstellenden Software BOM.

Damit kann ein Projekt rasch und ohne große Mühe umgesetzt werden. GELin ist so Garant für langfristig erfolgreiche und sichere Produkte.

Die passenden Ginzinger-Webinare zum Thema Security und OSS finden Sie hier

 

Link zum Bericht: https://www.synopsys.com/software-integrity/resources/analyst-reports/open-source-security-risk-analysis.html

Kontakt

Sie haben Fragen

oder möchten Kontakt aufnehmen?