【开源风险】开发人员面临的顶级开源许可证和法律风险
了解开发人员使用的顶级开源许可证,包括 20 个最受欢迎的开源许可证及其法律风险类别。
如果您是软件开发人员,您可能会使用开源组件和库来构建软件。您知道这些组件受不同的开源许可证管理,但您知道所有许可证详细信息吗?特别是可能带来合规挑战的技术性和有些复杂的许可条件?
在这种情况下的主要问题是开源许可证是主观的。它们的解释取决于许可软件的技术用途。因此,很难确定使用开源软件的法律风险,尤其是对于通常不是法律专家的开发人员而言。开发人员需要的是根据它们在法律合规方面带来的风险对许可证进行广泛分类。
在这里,我们根据条款和条件以及潜在的法律风险将最受欢迎的开源许可证分为三大类。
风险最高的开源许可证
以下是开发人员使用的最流行的开源许可证列表及其风险分类,如上所述。此分类只是一个指南,不应用于决定使用受每个许可证管理的开源软件。开发人员应咨询其法律/技术团队,以获取有关许可证合规性的进一步指导。
Rank | License | Usage | Risk |
1 | MIT License | 32% | Low |
2 | GNU General Public License (GPL) 2.0 | 18% | High |
3 | Apache License 2.0 | 14% | Low |
4 | GNU General Public License (GPL) 3.0 | 7% | High |
5 | BSD License 2.0 (3-clause, New or Revised) | 6% | Low |
6 | ISC License | 5% | Low |
7 | Artistic License (Perl) | 4% | Medium |
8 | GNU Lesser General Public License (LGPL) 2.1 | 4% | High |
9 | GNU Lesser General Public License (LGPL) 3.0 | 2% | High |
10 | Eclipse Public License (EPL) | 1% | Medium |
11 | Microsoft Public License | 1% | Medium |
12 | Simplified BSD License (BSD) | 1% | Low |
13 | Code Project Open License 1.02 | 1% | Low |
14 | Mozilla Public License (MPL) 1.1 | <1% | Medium |
15 | GNU Affero General Public License 3.0 or later | <1% | High |
16 | Common Development and Distribution License | <1% | Medium |
17 | Do What the F**k You Want To Public License | <1% | Low |
18 | Microsoft Reciprocal License | <1% | High |
19 | Sun GPL with Classpath Exception 2.0 | <1% | High |
20 | zlib/libpng License | <1% | Low |
其他流行的开源许可证风险
这些许可证没有排在首位,但仍在广泛使用中。
License | Risk |
Apache License 1.1 (Historic) | Low |
Apache License 1.0 (Historic) | Low |
ANTLR License | Low |
Boost Software License 1.0 | Low |
ICU License | Low |
INFO-ZIP License | Low |
Jaxen License | Low |
Common Public Attribution License 1.0 (CPAL-1.0) | Medium |
Common Public License | Medium |
IBM Public License 1.0 | Medium |
Mozilla Public License 1.0 | Medium |
Mozilla Public License 2.0 | Medium |
Netscape License 1.1 | Medium |
Creative Commons Attribution Non-Commercial 3.0 | High |
European Union Public License 1.1 | High |
GNU General Public License 1.0 | High |
Creative Commons Licenses | Varies |
低风险:宽容许可证
许可许可证通常没有真正的限制条件。相反,它们通常要求您在分发自己的软件时保留版权声明。这基本上意味着您可以根据需要使用和更改开源软件,只要您保持版权声明不变。此类别中的一些顶级开源许可证是 Apache 和 MIT 许可证。我们将许可许可证评为低风险许可证。
中等风险:半宽容许可证
半许可许可通常要求,如果您修改开源代码,您必须根据给定许可的条款使这些修改可用。其中一些许可证明确定义了修改是什么。例如,他们可能认为将未经修改的开源代码复制到专有代码中是一种修改。为了遵守许可义务,开发人员必须发布源代码(原始的、修改的和新添加的)。此类别中最流行的开源许可证包括 Mozilla 和 Eclipse 公共许可证。我们将半许可许可证评为中等风险许可证。
高风险:限制性许可证
一些顶级开源许可证,例如 GPL 3.0 和 AGPL,具有相当的限制性。根据您将开源软件与专有软件集成的方式,您可能会面临重大风险。在最坏的情况下,您可能需要在相同的许可下发布您的专有软件——免版税。我们将限制性许可证评为高风险许可证。
如何管理开源许可风险
Black Duck 软件组成分析使您能够发现专有软件中的开源组件及其相应的开源许可证和漏洞,以帮助减轻法律和安全风险。 Black Duck 应用最先进的扫描机制来查找您的软件中使用的最全面的开源软件(源代码和二进制文件)列表。此外,Black Duck 提供了通过基于规则的引擎对源自各种许可证和安全漏洞的操作风险进行情境化的功能。
原文:https://www.synopsys.com/blogs/software-security/top-open-source-licens…
本文
- 83 次浏览