干货!杜绝开源依赖风险,许可证扫描让高效&合规「两不误」
应用开源软件已经成为软件行业的重大趋势。开源软件为企业和开发者提供了巨大便利,促进了创新与协作。但如果忽视开源软件许可证及其权利义务与限制,很可能会面临法律纠纷、安全隐患以及高昂的依赖管理成本。
开源许可证及其常见类型
开源软件许可证(Open Source Software License)是一种法律许可,是开源软件供应商用于授权软件使用者使用、修改和发布其开源软件的协议。其目的是规范软件(受著作权保护的软件)使用或者分发行为。
世界上有上百种开源许可证,目前主流的有 6 种:
- Apache:发布于 Apache 软件基金会。此许可证允许商业使用,不强制要求源代码开放,是目前使用最广的开源软件许可证之一。
- MIT:极其宽松的许可证,允许商业使用和私有化修改后的代码。MIT 许可证要求保留版权信息,但不强制开源修改后的代码。案例项目有 GitLab CE、Ruby、JQuery、Rails 、Vue、React 等。
- GPL:GNU 通用公共许可协议(GNU General Public License),是自由软件基金会发布的许可证。GPL 要求使用软件的修改版本必须采用同样的 GPL 协议发布,即如果项目包含了 GPL 许可证的代码,那么整个项目都必须使用 GPL 许可证。
- BSD:宽松的开源许可证,允许商业使用和修改私有化。与 MIT 许可证的主要区别是不要求保留版权信息。案例项目有 Curl 等。
- LGPL:Lesser General Public License,是 GPL 的补充,区别在 LGPL 只要求修改的开源组件开源,而不要求整个衍生软件开源。
- MPL:Mozilla Public License,发布于 Mozilla 基金会。MPL 要求修改版本必须以 MPL 许可证开源发布,但可以用于商业应用。
而许可证由其宽松程度,可分为:
- Copyleft 许可证:使开源软件及其衍生版本的开源属性代代相传。它强制要求软件必须持续开源,以确保开发者与用户的权利得到最大范围内的保障,实现开源精神的延续。
- 宽松式许可证:也称为非 Copyleft 许可证,对软件再发布和衍生产品的许可证选择要求更加宽松,允许软件商业使用与闭源,提供更大灵活性与选择性。
从上述概念可以看出,Apache、MIT、BSD 属于宽松式许可证(Permissive License),如下图左侧;GPL 、LGPL、MPL 属于 Copyleft 许可证,如下图右侧。我们需要根据软件属性与商业模式选择恰当的许可证,在开源理念与商业需求间取得平衡。
开源许可证扫描是软件研发过程中不可或缺的工具
开源软件许可证如此之多,不同许可证之间存在较大差异,许可证错误使用的事件时有发生,可能给企业带来法律、运营、安全与采购等领域的重大风险与损失。
根据 Synopsys 发布的《2023 年开源安全与风险分析报告》显示:54% 的代码库存在许可证冲突;31% 的代码库包含没有许可证或使用定制许可证的开源代码。
开源软件应用风险突出,开源许可证扫描成为企业推动开源管理与风险控制的重要手段之一。
许可证扫描(License Scanning)是指对软件、代码库或系统进行许可证冲突检查的过程。它通过自动扫描软件的依赖与组件,检测其许可证之间是否存在不兼容或冲突的问题。
开源许可证扫描作为帮助企业安全采用开源关键技术,其重要性与必要性是显而易见的。因此越来越多的软件企业关注并实施开源许可证扫描,常见方式有:
- 集成第三方扫描工具。在代码 Push、Build 等时触发扫描。这需要购买第三方工具许可与维护成本,集成过程比较复杂。
- 定期人工扫描。开发团队定期分析代码与依赖,手工识别开源组件与许可证,更新许可证清单。这种方式效率低下,无法覆盖全部依赖,难以持续进行。
- CI 流程集成。在持续集成流程中增加开源许可证扫描步骤,在每次构建时运行扫描工具,生成报告。这需要选择与 CI/CD 工具兼容的扫描工具,也增加了配置与维护难度。
- 增加管理流程。制定开源许可证管理流程,在组件引入、版本升级等环节进行审核,要求提供相应的许可证清单与合规性证明。其缺点是大量增加了开发与管理成本,实施难度也较大。
极狐GitLab 开源许可证扫描的优势与应用
相比上述方式,极狐GitLab 的开源许可证扫描具有明显优势:
- 原生集成。极狐GitLab 内置开源许可证扫描功能,深度集成在极狐GitLab CI/CD 流程中,无需集成第三方工具,即可使用,配置简单,无额外维护成本。
- 高度自动化。极狐GitLab 会自动实时监测开源依赖变化,并触发扫描,每一次代码提交若产生新的许可证都有记录,可逆追踪。
- 简单易用。极狐GitLab 扫描结果以简明方式展示,并提供修复建议,降低开源管理的使用门槛;并支持多种语言和包管理器,方便开发者参与。
- 灵活自定义。极狐GitLab 支持自定义许可证与扫描规则,可以完全匹配企业的开源管理要求。同时也提供丰富的预置规则,覆盖主流开源许可证。
- 持续优化。极狐GitLab 会继续扩充许可证库,增强扫描准确性,并结合用户反馈持续完善与优化扫描功能,确保项目符合法规要求和企业政策、审计政策等。
图:极狐GitLab 许可证扫描支持多种语言和包管理器
Step 1:启用及设置许可证策略
极狐GitLab 许可证扫描的前提条件是:
- 具有 Docker 或 Kubernetes 执行器的 Runner;
- Docker Engine 版本高于 18.09.03。
在流水线中启用许可证扫描(将在下文中详解):
include: - template: License-Scanning.gitlab-ci.yml
MR 审核者十分关心:在 MR 合并审批请求过程当中,当前新源头分支引入了哪些新的许可证?
这个问题通过「License-Check」来查看。
在极狐GitLab 15.9 之前版本,通过「项目 → 设置 → 合并请求 → 合并请求批准,启用 License - Check」启用检查,如下图:
具体放行和拒绝哪些许可证,则在「安全与合规 → 许可证合规性」中设置策略,如下图。
极狐GitLab 15.9 以及之后的版本,通过「项目 → 安全与合规 → 策略 → 新建策略 → 选择 扫描结果策略」设置:
Step 2:自动创建策略文件存放项目
极狐GitLab 15.9 以及之后的版本,在创建策略后,会自动创建单独的项目存放策略文件(YAML),如下图子目录是 Security policy project,用户可以通过代码方式直接去编写 YAML 文件,实现快速扫描策略编写。
Step 3:查看许可证合规情况
与查看其他安全扫描一样,通过「安全与合规 → 许可证合规」,查看最新的合规情况:当前项目用了哪些开源组件,以及它所遵循的协议;还可以看到每个组件当前是拒绝,还是遵循了策略等。
Step 4:查看 MR 审批结果
只要开启了许可证扫描,就可以看到 License - Check 信息。
如下图,在本次 MR 合并之前,在原分支扫描显示新引入许可证分类,如已拒绝、已通过等提示信息来帮助审核者来判断本次合并是否批准。
如下图,在流水线页面,也可以查看完整许可证详细信息。
YAML 、license-finder、报告文件解析
YAML
上文提到,应用两行代码即可启用许可证扫描:
include: - template: License-Scanning.gitlab-ci.yml
下图就是 YAML 文件的庐山真面目,包含了两个部分:
- variables:定义变量,用于在 job 中引用;
- license_scanning:定义许可证扫描 job。
变量
其中,极狐GitLab 自动预定义了 3 个变量:
- SECURE_ANALYZERS_PREFIX:定义安全分析工具的前缀,用于从极狐GitLab Container Registry 中拉取正确的镜像;
- LICENSE_MANAGEMENT_SETUP_CMD:定义许可证扫描工具的安装命令;
- LICENSE_MANAGEMENT_VERSION:定义许可证扫描工具的版本。目前最新版本为 “4”。
许可证扫描的常用变量如下表。也可以访问极狐GitLab 文档中心查看。
极狐GitLab 文档中心 - 许可证合规:
https://docs.gitlab.cn/jh/user/compliance/license_compliance
license_scanning
license_scanning job 用于执行开源许可证扫描,调用极狐GitLab 内置的 license-scanning 工具对仓库代码进行扫描,检测项目开源依赖与许可证信息。
如下图,license_scanning job 支持的主要字段如下:
- image:定义扫描所使用的镜像;
- variables:定义扫描所需的变量,比如报告存储路径与可见性等;
- script:执行扫描命令;
- artifacts: 定义扫描结果存档配置;
- rules:定义扫描规则。
license-finder
license-finder 是一个帮助扫描项目中所使用的开源软件许可证信息的工具。运行 license-finder 时,它会扫描项目中的依赖项,并尝试查找每个依赖项的许可证信息,详情查看极狐GitLab 许可证查找器。
极狐GitLab 许可证查找器:
https://gitlab.com/gitlab-org/security-products/analyzers/license-finder
以极狐GitLab 前端用 NPM 管理的项目为例:
- 初始化:NPM install 安装相关依赖;
- 扫描:
- 结果报告:收集扫描到的结果到报告里。
那么, license-finder 怎么查找许可证?
1. 包管理器的配置文件,如 package.json,可以用 license 字段声明当前库的许可证:
2. 依赖项的源代码中的许可证声明,如许可证文件或代码中的许可证注释:
报告文件
在 license_scanning job 里,指定保留 gl-license-scanning-report.json 文件。
用户可以在 pipeline 页面的 “Artifacts” 选项卡中下载该报告文件。下载的 json 文件如下所示,dependencies 具体列出所有检出的开源依赖,包括名称、版本、许可证类型等信息。
开源软件是软件企业持续依赖与运用的重要资源。开源许可证扫描必不可少,其广泛应用也将成为企业开源管理的标配与常态,希望今天的分享对大家有帮助。
#极狐Gitlab##技术栈##开发##我的成功项目解析#