Open-Source-Lizenz-Scanning: Was Entwickler wissen müssen

Inhalt

Scannen von Open-Source-Lizenzen

Open-Source-Frameworks und -Bibliotheken sind zu unverzichtbaren Bausteinen für schnelle Innovationen geworden, bringen aber auch große Verantwortung mit sich. Wenn Sie Open-Source-Tools mit Lizenzen einsetzen, die nicht mit dem Compliance-Rahmen Ihres Unternehmens vereinbar sind, könnten Sie sich auf kostspielige Umstrukturierungen oder rechtliche Probleme einstellen.

Open-Source-Lizenz-Scan-Tools durchsuchen systematisch Ihren Abhängigkeitsbaum nach Änderungen an den Lizenzen, die mit jeder Komponente verbunden sind, die Sie Ihrer Software hinzugefügt haben. Mit diesen Informationen, die in Ihren Entwicklungszyklus integriert sind, können Sie sich problemlos im komplexen Lizenzierungsumfeld von Open-Source, Source-Available, Business Source und darüber hinaus bewegen.

Auch bekannt als

Überprüfung der Einhaltung von Lizenzbestimmungen

Software-Zusammensetzungsanalyse (SCA)

Lizenzmanagement

96%

der Codebases enthalten Open-Source-Komponenten, durchschnittlich 526 Komponenten pro Anwendung.

Quelle

Synopsys

120+

verschiedene Arten und Varianten von Open-Source-Lizenzen sowie andere, die nicht von der OSI anerkannt sind.

Quelle

Open-Source-Initiative (OSI)

Nur 21%

der Unternehmen erstellen derzeit Software-Stücklisten, um die Lizenzierung transparent zu machen.

Quelle

GitLab

Ein Beispiel für das Scannen von Open-Source-Lizenzen und wie es funktioniert

Diese Tools scannen in der Regel die Dateien und Abhängigkeiten Ihres Projekts und vergleichen die gescannten Informationen mit einer Datenbank bekannter Lizenzen. Anschließend wird ein Bericht erstellt, der alle identifizierten Lizenzen auflistet und mögliche Konflikte mit den rechtlichen Rahmenbedingungen Ihres Unternehmens aufzeigt.

Wie hilft das Scannen von Open-Source-Lizenzen den Entwicklern?

Vorteile

Verhindert versehentliche Lizenzverstöße, die zu rechtlichen Problemen führen könnten, wie z. B. die Übernahme einer neuen Bibliothek mit einer Lizenz, die Sie wiederum dazu zwingen würde, den Quellcode Ihres Unternehmens zu veröffentlichen.

Hilft bei der Einhaltung von Open-Source-Lizenzen und Unternehmensrichtlinien, insbesondere in Branchen mit höheren Compliance-Standards.

Visualisiert den Umfang der Open-Source-Komponenten in Ihren Projekten für eine bessere langfristige Verwaltung.

Anwendungsfälle

Durchführung einer Due-Diligence-Prüfung vor der Freigabe eines neuen Produkts oder einer stark veränderten Version eines bestehenden Projekts.

Identifizierung und Dokumentation von Risiken im Vorfeld eines Software-Audits durch einen externen Anbieter oder eine Aufsichtsbehörde oder als Teil eines Fusions- oder Übernahmeprozesses.

Sicherstellung der Einhaltung der Unternehmensrichtlinien zur Nutzung von Open Source.

Sichern Sie Ihre App im Handumdrehen

Aikido gibt Ihnen einen sofortigen Überblick über all Ihre Code- und Cloud-Sicherheitsprobleme, so dass Sie risikoreiche Schwachstellen schnell erkennen und beheben können.

Start Frei

Implementierung von Open-Source-Lizenzprüfungen: ein Überblick

Es gibt viele Open-Source-Tools zum Scannen der Lizenzen Ihrer Projekte - FOSSology, ScanCode und FOSSA sind nur einige Beispiele -, aber jedes von ihnen ist mit Implementierungs- und Verwaltungsaufwand verbunden.

So würden Sie anfangen:

Implementierung einer Open-Source-Lizenzprüfung

Wählen Sie ein Tool zum Lizenz-Scannen, das den Anforderungen und dem Umfang Ihres Projekts entspricht.

Integrieren Sie das Scan-Tool in Ihren Entwicklungs-Workflow oder Ihre CI/CD-Pipeline.

Führen Sie einen ersten Scan Ihrer gesamten Codebasis und Abhängigkeiten durch.

Überprüfen Sie den erstellten Bericht und klären Sie etwaige Lizenzierungskonflikte oder -probleme.

Speichern Sie Ihre Lizenz-Scandaten, so dass Sie mehrere Scans leicht vergleichen und sehen können, wie sich Ihr Lizenzrisiko im Laufe der Zeit verändert.

Manuelle Priorisierung von Änderungen auf der Grundlage ihres Schweregrads und ihrer Implementierungskomplexität.

Richten Sie regelmäßige Überprüfungen ein, um neue Lizenzprobleme zu erkennen, wenn sich Ihr Projekt weiterentwickelt.

Ausspülen und wiederholen.

Oder mit Aikido

Aikido

Verbinden Sie Ihr GitHub-, GitLab-, Bitbucket- oder Azure DevOps-Konto.

Wählen Sie, welche Repos/Clouds/Container gescannt werden sollen.

Sie erhalten in wenigen Minuten priorisierte Ergebnisse und Ratschläge zur Behebung.

Bewährte Praktiken für eine effektive Überprüfung von Open-Source-Lizenzen

Das Wichtigste, was Sie tun können, ist die frühzeitige Überprüfung von Lizenzen im Entwicklungsprozess, um Probleme zu erkennen, bevor sie tief in Ihre Codebasis eindringen. Diese anfängliche Bestandsaufnahme wird schnell von unschätzbarem Wert sein, wenn Ihre Anwendung an Umfang und Komplexität zunimmt.

Das Gleiche gilt für die Richtlinien: Je früher Sie festlegen, welche Arten von Open-Source-Lizenzen für Ihre Anwendungen und Bereitstellungen akzeptabel sind, desto besser kann Ihr Team mit Problemen umgehen, die rechtliche Schritte oder schmerzhafte Überarbeitungen erfordern.

Stellen Sie bei der Entwicklung und Bereitstellung sicher, dass Ihre Entwicklungsmitarbeiter verstehen, warum diese Scans wichtig sind und warum sie von Anfang an auf potenzielle Risiken achten sollten. npm-Installationdes potenziellen Risikos. Ihre Open-Source-Lizenz-Scan-Tools sollten in regelmäßigen Abständen oder sogar bei jedem Commit als Teil Ihrer CI/CD-Pipeline ausgeführt werden, aber wenn Sie den Open-Source-Weg gewählt haben, stellen Sie sicher, dass Sie sie regelmäßig in Ihrem paket.json oder eine gleichwertige Datei, um sicherzustellen, dass die Scans neue Lizenztypen und -varianten kennen.

Kostenloses Scannen von Open-Source-Lizenzen

Verbinden Sie Ihre Git-Plattform mit Aikido und starten Sie das Scannen von Open-Source-Lizenzen mit sofortigem Triaging, intelligenter Priorisierung und punktgenauem Kontext für schnelle Abhilfe.

Scannen Sie Ihre Repos und Container kostenlos

Erste Ergebnisse in 60 Sekunden bei schreibgeschütztem Zugriff.

SOC2 Typ 2 und

ISO27001:2022 zertifiziert