本文來(lái)自：

小馬哥 極狐(GitLab) 技術(shù)布道師

開源許可證是開源軟件的法律武器，是第三方正確使用開源軟件的安全合規(guī)依據(jù)。

根據(jù) Linux 發(fā)布的 SBOM 報(bào)告顯示，98% 的企業(yè)都在使用開源軟件（中文版報(bào)告詳情）。隨著開源使用率持續(xù)提升，企業(yè)必須要重視許可證安全合規(guī)問(wèn)題，因?yàn)槠渲苯雨P(guān)乎企業(yè)品牌，使用不當(dāng)可能導(dǎo)致經(jīng)濟(jì)損失。

根據(jù)?OSI 官網(wǎng)顯示?，由 OSI Approved 的許可證就多達(dá) 100+ 多種，這還不包括一些企業(yè)/組織自定義的開源軟件許可證。另外，不同許可證之間的兼容性也是一個(gè)很復(fù)雜的問(wèn)題。

圖片來(lái)源：如何選擇開源許可證？ - 阮一峰的網(wǎng)絡(luò)日志

正是由于這種開源軟件許可證的復(fù)雜性，讓企業(yè)在使用開源軟件時(shí)，違反許可證安全合規(guī)的問(wèn)題時(shí)有發(fā)生。

違反許可證合規(guī)的那些事

---

國(guó)外事件

2020 年，CoKinetic Systems Corporation 公司對(duì) Panasonic Avionics Corporation 公司發(fā)起訴訟，要求索賠 1 億美元。原因是 CoKinetic 公司指控 Panasonic 違反了 GPL v2 協(xié)議。

根據(jù) CoKinetic 供述的法律文件，其認(rèn)為 Panasonic 的機(jī)上娛樂(lè)設(shè)施硬件使用了基于 Linux 的操作系統(tǒng)，而 Linux 操作系統(tǒng)是以 GPL 協(xié)議分發(fā)的，GPL 的特殊性在于當(dāng)軟件使用了 GPL 協(xié)議的組件時(shí)，該軟件本身就必須遵從 GPL 協(xié)議規(guī)定，對(duì)源碼進(jìn)行公開。但 Panasonic 卻拒絕開放其操作系統(tǒng)的源碼，以此阻止競(jìng)爭(zhēng)對(duì)手開發(fā)基于機(jī)上娛樂(lè)硬件的軟件。關(guān)于此事件的詳細(xì)信息可以查看?The $100 Million Court Case for Open Source License Compliance。

上述例子中，兩家商業(yè)公司走向法律訴訟的直接原因就是開源軟件許可證安全合規(guī)問(wèn)題。

國(guó)內(nèi)事件

2020 年，國(guó)內(nèi)某云廠商使用了某 Top APM 開源項(xiàng)目，但是沒(méi)有遵循該開源項(xiàng)目的 Apache ?License Version 2.0 協(xié)議，在產(chǎn)品中對(duì)于該項(xiàng)目的使用進(jìn)行相關(guān)聲明，因此收到了 Apache 基金會(huì)關(guān)于 Open Source License Violation 郵件。事件發(fā)生后，該云廠商和該 APM 項(xiàng)目進(jìn)行溝通并做了相應(yīng)調(diào)整。關(guān)于該事件的詳細(xì)經(jīng)過(guò)可以查看國(guó)內(nèi)某內(nèi)容平臺(tái)對(duì)于此事件的報(bào)道。這也是一起典型的開源許可證安全合規(guī)事件。

上述例子只是眾多違反許可證合規(guī)事件中的冰山一角。

在開源滲透率如此之高的今天，沒(méi)有一個(gè)企業(yè)可以完全 “隔離” 開源軟件。如何保障企業(yè)在研發(fā)過(guò)程中安全合規(guī)使用許可證，是企業(yè)實(shí)現(xiàn)穩(wěn)健發(fā)展不容忽視的問(wèn)題。

企業(yè)如何實(shí)現(xiàn)許可證安全合規(guī)？

---

如開篇所說(shuō)，許可證本身繁瑣復(fù)雜，因此，安全合規(guī)使用許可證也是一件極其復(fù)雜的事情，需要從文化構(gòu)建、流程制定、工具選型等方面入手。

文化構(gòu)建

許可證安全合規(guī)屬于安全范疇，在提倡 “人人為軟件研發(fā)安全負(fù)責(zé)” 的今天，需要構(gòu)建企業(yè)安全文化。例如通過(guò)安全培訓(xùn)，讓軟件研發(fā)相關(guān)人員建立起對(duì)于軟件許可證的基本認(rèn)知，明白違反許可證會(huì)危害企業(yè)和每個(gè)人的利益。

同時(shí)，文化需要通過(guò)流程來(lái)避免人為疏忽。

流程制定

流程制定是實(shí)現(xiàn)許可證安全合規(guī)的關(guān)鍵。企業(yè)內(nèi)部需要根據(jù)自身情況制定應(yīng)對(duì)許可證安全合規(guī)的響應(yīng)流程，諸如：

• 明確對(duì)應(yīng)不同許可證應(yīng)該采取何種策略；

• 如何自動(dòng)檢測(cè)軟件代碼變更所帶來(lái)的許可證合規(guī)風(fēng)險(xiǎn)；

• 一旦發(fā)生違反許可證合規(guī)事件，如何及時(shí)、正確應(yīng)對(duì)，避免進(jìn)一步發(fā)酵等。

流程制定需要跨職能團(tuán)隊(duì)的協(xié)作，比如 OSPO、法務(wù)、DevOps 等部門和人員都需要一起協(xié)作制定出符合企業(yè)自身發(fā)展的安全合規(guī)流程。當(dāng)然，好流程也需要工具協(xié)助落地。

工具選型

市面上用于保障許可證安全合規(guī)的工具很多，選擇適合企業(yè)自身發(fā)展的工具是關(guān)鍵。但有一點(diǎn)需要明確：工具是手段而不是目的。使用工具是為了支撐安全合規(guī)流程能夠自動(dòng)、快速執(zhí)行，不需要將大量精力花費(fèi)在工具選擇、安裝、優(yōu)化、運(yùn)維等方面上。對(duì)于工具選擇維度，應(yīng)該從以下三個(gè)方面入手：

• 易用性：學(xué)習(xí)成本低；

• 可擴(kuò)展性：方便和其他工具進(jìn)行集成，打通數(shù)據(jù)流；

• 安全性：工具自身的安全性足夠高。

最終達(dá)到以工具支撐流程，以流程助力構(gòu)建 “人人為安全負(fù)責(zé)” 的企業(yè)文化。

極狐GitLab 許可證安全合規(guī)功能優(yōu)勢(shì)

---

許可證合規(guī)（License Compliance）是極狐GitLab?DevSecOps 九大功能之一。其他幾個(gè)分別為：依賴項(xiàng)掃描、SAST（包括 IaC 掃描）、DAST、敏感信息檢測(cè)、容器鏡像掃描、模糊測(cè)試（包括基于 API 與 Code Coverage 兩種模糊測(cè)試）。

許可證合規(guī)功能在 11.0 版本引入，主要用來(lái)檢測(cè)應(yīng)用程序引入的外部依賴的許可證是否和自身的許可證策略相兼容，以此來(lái)安全合規(guī)的使用外部依賴，避免發(fā)生違反許可證合規(guī)的事件，給企業(yè)帶來(lái)不必要的麻煩。

極狐GitLab 許可證安全合規(guī)功能具有以下優(yōu)勢(shì)：

? 一體化 DevSecOps 平臺(tái)

許可證安全合規(guī)功能和源代碼托管、CI/CD 無(wú)縫 “集成”。當(dāng)有代碼變更的時(shí)候，嵌入到 CI/CD 中的許可證安全掃描功能會(huì)自動(dòng)進(jìn)行許可證信息掃描，并最終展示到 Merge Request 中。一切操作都在同一個(gè)平臺(tái)上進(jìn)行，真正實(shí)現(xiàn)了安全測(cè)試手段 “左移” 與安全數(shù)據(jù) “左移”。

同時(shí)，一體化 DevSecOps 平臺(tái)讓研發(fā)、安全、測(cè)試人員都基于一個(gè)平臺(tái)協(xié)作，溝通效率大幅提升而成本相應(yīng)降低。

??簡(jiǎn)單易用，配置靈活

極狐GitLab 提供針對(duì)許可證安全合規(guī)的相關(guān)配置，能夠?qū)⑵髽I(yè)自身的許可證安全合規(guī)流程 “映射” 到極狐GitLab 對(duì)應(yīng)功能上，通過(guò)強(qiáng)制配置的方式，讓流程保障安全合規(guī)。諸如：

• 針對(duì)不同類型的許可證采取不同的使用策略（允許 “寬松型”，拒絕 “嚴(yán)格型”）;

• 配置許可證審核人員，當(dāng)有問(wèn)題出現(xiàn)時(shí)，需要一定數(shù)量的審批人來(lái)對(duì)“有問(wèn)題”的許可證進(jìn)行審核。

當(dāng)然，最重要的是，極狐GitLab 許可證合規(guī)功能是可以嵌入到 CI/CD 中，實(shí)現(xiàn)許可證安全合規(guī)的持續(xù)自動(dòng)化掃描，僅需數(shù)行代碼即可完成 CI/CD 配置，而無(wú)需額外安裝、學(xué)習(xí)、配置第三方工具。

??透明性高，追溯性強(qiáng)

許可證掃描信息都展示在 Merge Request 與安全面板中，項(xiàng)目相關(guān)人員均可查看，通過(guò)透明性提升安全性。

此外，審核信息可追溯、可審計(jì)，可以從安全掃描結(jié)果回溯到對(duì)應(yīng)的代碼變更，找到“有問(wèn)題”許可證引入的源頭，以及 “有問(wèn)題” 許可證被審核的信息。

極狐GitLab 許可證合規(guī)實(shí)踐

---

極狐GitLab 許可證合規(guī)功能的實(shí)現(xiàn)原理為：

1.?利用自身的許可證掃描工具進(jìn)行許可證信息掃描，出具許可證報(bào)告，對(duì)比目標(biāo)分支和源分支之間的許可證信息，并將信息展示在 Merge Request 中；

2.?配合安全測(cè)試配置，判斷變更代碼的許可證信息是否符合企業(yè)許可證合規(guī)。

極狐GitLab 許可證合規(guī)掃描功能可以通過(guò)以下三步來(lái)開啟：

配置許可證合規(guī)策略

前文提到了不同的許可證有不同的約束條件，比如 GPL 的 “傳染性” 就讓很多企業(yè)在使用 GPL 協(xié)議的第三方依賴時(shí)很謹(jǐn)慎，甚至禁止使用 GPL 協(xié)議的第三方依賴；而對(duì)于 “寬松型” 的 MIT 協(xié)議則沒(méi)有那么多芥蒂，允許使用這類協(xié)議的第三方依賴包。這種針對(duì)不同許可證采取不同使用策略的方法，是為了確保應(yīng)用程序研發(fā)過(guò)程中，對(duì)于許可證的使用是符合企業(yè)安全合規(guī)要求的。

可在極狐GitLab 的安全面板上，通過(guò)配置來(lái)實(shí)現(xiàn)上述功能：

在每個(gè)項(xiàng)目的安全與合規(guī)（Security & Compliance） → 許可證合規(guī)（License Compliance）?中可以通過(guò)點(diǎn)擊添加許可證策略（Add License Policy）。比如將 “寬松型” 協(xié)議（諸如 MIT、Apache 2.0 等）設(shè)置為允許使用（Allow）；而對(duì)于 “嚴(yán)格型” 協(xié)議（諸如 GPL、LGPL、SGPL 等）設(shè)置為拒絕使用（Deny）。

上述配置策略最終會(huì)在 Merge Request 中展現(xiàn)出來(lái)，方便研發(fā)、安全等人員查看此次代碼變更引入依賴的許可證信息。

配置許可證準(zhǔn)入規(guī)則

許可證準(zhǔn)入規(guī)則的配置能夠?yàn)榘踩弦?guī)使用許可證額外加一層保障：當(dāng) Merge Request 中出現(xiàn)了拒絕使用的許可證信息，此時(shí)需要有審批人（Approver）來(lái)決定此次代碼變更是否可以合入。如果在經(jīng)過(guò)評(píng)估之后認(rèn)為代碼可以合入，則選擇 “批準(zhǔn)”，否則選擇 “拒絕”。

可以在每個(gè)項(xiàng)目的設(shè)置（Settings）→ 合并請(qǐng)求（Merge Request）→ 合并請(qǐng)求批準(zhǔn)（Merge Request Approve）?中通過(guò)點(diǎn)擊 “啟用”（Enable）來(lái)開啟 License-Check 功能。

在出現(xiàn)的界面中填寫需要核準(zhǔn)的人數(shù)閾值（最少需要幾人同意）與核準(zhǔn)人員即可。

接下來(lái)只需要簡(jiǎn)單配置 CI/CD Pipeline 就可以開啟使用了。

配置 CI/CD Pipeline

僅需兩行代碼即可將極狐GitLab 許可證合規(guī)掃描功能嵌入到極狐GitLab CI/CD 中，代碼如下：

include:-?template:?Security/License-Scanning.gitlab-ci.yml

以檢測(cè) Python 代碼中的許可證為例來(lái)演示整個(gè)過(guò)程。

對(duì)于 Python 代碼中的許可證檢測(cè)是通過(guò) requirements.txt 文件或 Pipfile.lock 文件來(lái)實(shí)現(xiàn)的。

Source Branch 上的 requirements.txt 文件包含如下內(nèi)容：

pycurl==7.45.2??#?LGPL/MIT?協(xié)議

Target Branch 上的 requirements.txt 文件包含如下內(nèi)容：

pytest==7.2.1??????#?MIT?協(xié)議
urllib3==1.26.14???#?MIT?協(xié)議
Jinja2==3.1.2??????#?BSD?License?(BSD-3-Clause)?協(xié)議
flask==2.2.2???????#?BSD?License?(BSD-3-Clause)
requests==2.28.0???#?Apache?Software?License?(Apache?2.0)
rss2email==3.14????#?GPL/GPL?v2/GPL?v3/LGPL
wurlitzer==3.0.3???#?MIT?協(xié)議
pycurl==7.45.2?????#?LGPL/MIT?協(xié)議
Flask-Login==0.6.2?#?MIT?協(xié)議

上述模塊的選擇，只是為了在多種協(xié)議的情況下，演示極狐GitLab 許可證合規(guī)功能。上述模塊的許可證信息來(lái)自 PyPI · The Python Package Index。

接著創(chuàng)建 Merge Request 即可觸發(fā) CI/CD Pipeline，在構(gòu)建成功后可以在 Merge Request 中看到許可證掃描信息：

所有模塊及其依賴的許可證信息都掃描了出來(lái)，配合之前配置的許可證合規(guī)策略進(jìn)行了分類展示，上述顯示 Apache License 2.0 和 MIT License 是被允許使用的；而下圖展示的信息顯示 GPL 和 MPL 2.0 是被禁止使用的。

此時(shí)需要審批人員對(duì)于此次許可證掃描結(jié)果做出 “拒絕” 或者 “允許” 的決策。

極狐GitLab 許可證合規(guī)功能能夠幫助研發(fā)團(tuán)隊(duì)在軟件研發(fā)過(guò)程中嚴(yán)格遵守企業(yè)的許可證合規(guī)策略，讓企業(yè)避免因許可證合規(guī)問(wèn)題而造成經(jīng)濟(jì)損失，同時(shí)也能夠以更加安全的方式給客戶提供更加優(yōu)質(zhì)的軟件，提升客戶滿意度。

當(dāng)然，許可證合規(guī)只是保障軟件安全的關(guān)鍵手段之一，需要同時(shí)配合其他安全手段來(lái)為應(yīng)用程序研發(fā)過(guò)程構(gòu)建堅(jiān)固的安全防護(hù)體系。比如極狐GitLab 的其他 DevSecOps 功能。點(diǎn)擊👉獲取更多 DevSecOps 干貨資料。