杜绝开源依赖风险，许可证扫描让高效 & 合规「两不误」

🌟 在「DevSecOps 软件安全开发实践」课程上，极狐(GitLab) 专业服务交付经理居文峰、极狐(GitLab) 前端工程师万里欣，分享了许可证扫描的原理、配置及应用，并演示了极狐 GitLab 许可证扫描功能，帮助大家安全使用开源软件。

 

以下内容整理自本次直播，Enjoy～

应用开源软件已经成为软件行业的重大趋势。开源软件为企业和开发者提供了巨大便利，促进了创新与协作。但如果忽视开源软件许可证及其权利义务与限制，很可能会面临法律纠纷、安全隐患以及高昂的依赖管理成本。

开源许可证及其常见类型

开源软件许可证（Open Source Software License）是一种法律许可，是开源软件供应商用于授权软件使用者使用、修改和发布其开源软件的协议。其目的是规范软件（受著作权保护的软件）使用或者分发行为。

世界上有上百种开源许可证，目前主流的有 6 种：

1. Apache：发布于 Apache 软件基金会。此许可证允许商业使用，不强制要求源代码开放，是目前使用最广的开源软件许可证之一。
2. MIT：极其宽松的许可证，允许商业使用和私有化修改后的代码。MIT 许可证要求保留版权信息，但不强制开源修改后的代码。案例项目有 GitLab CE、Ruby、JQuery、Rails 、Vue、React 等。
3. GPL：GNU 通用公共许可协议（GNU General Public License），是自由软件基金会发布的许可证。GPL 要求使用软件的修改版本必须采用同样的 GPL 协议发布，即如果项目包含了 GPL 许可证的代码，那么整个项目都必须使用 GPL 许可证。
4. BSD：宽松的开源许可证，允许商业使用和修改私有化。与 MIT 许可证的主要区别是不要求保留版权信息。案例项目有 Curl 等。
5. LGPL：Lesser General Public License，是 GPL 的补充，区别在 LGPL 只要求修改的开源组件开源，而不要求整个衍生软件开源。
6. MPL：Mozilla Public License，发布于 Mozilla 基金会。MPL 要求修改版本必须以 MPL 许可证开源发布，但可以用于商业应用。

而许可证由其宽松程度，可分为：

• Copyleft 许可证：使开源软件及其衍生版本的开源属性代代相传。它强制要求软件必须持续开源，以确保开发者与用户的权利得到最大范围内的保障，实现开源精神的延续。
• 宽松式许可证：也称为非 Copyleft 许可证，对软件再发布和衍生产品的许可证选择要求更加宽松，允许软件商业使用与闭源，提供更大灵活性与选择性。

从上述概念可以看出，Apache、MIT、BSD 属于宽松式许可证（Permissive License），如下图左侧；GPL 、LGPL、MPL 属于 Copyleft 许可证，如下图右侧。我们需要根据软件属性与商业模式选择恰当的许可证，在开源理念与商业需求间取得平衡。

开源许可证扫描是软件研发过程中，不可或缺的工具

开源软件许可证如此之多，不同许可证之间存在较大差异，许可证错误使用的事件时有发生，可能给企业带来法律、运营、安全与采购等领域的重大风险与损失。

根据 Synopsys 发布的《2023 年开源安全与风险分析报告》显示：54% 的代码库存在许可证冲突；31% 的代码库包含没有许可证或使用定制许可证的开源代码。

开源软件应用风险突出，开源许可证扫描成为企业推动开源管理与风险控制的重要手段之一。

许可证扫描（License Scanning）是指对软件、代码库或系统进行许可证冲突检查的过程。它通过自动扫描软件的依赖与组件，检测其许可证之间是否存在不兼容或冲突的问题。

开源许可证扫描作为帮助企业安全采用开源关键技术，其重要性与必要性是显而易见的。因此越来越多的软件企业关注并实施开源许可证扫描，常见方式有：

• 集成第三方扫描工具。在代码 Push、Build 等时触发扫描。这需要购买第三方工具许可与维护成本，集成过程比较复杂。
• 定期人工扫描。开发团队定期分析代码与依赖，手工识别开源组件与许可证，更新许可证清单。这种方式效率低下，无法覆盖全部依赖，难以持续进行。
• CI 流程集成。在持续集成流程中增加开源许可证扫描步骤，在每次构建时运行扫描工具，生成报告。这需要选择与 CI/CD 工具兼容的扫描工具，也增加了配置与维护难度。
• 增加管理流程。制定开源许可证管理流程，在组件引入、版本升级等环节进行审核，要求提供相应的许可证清单与合规性证明。其缺点是大量增加了开发与管理成本，实施难度也较大。

极狐 GitLab 开源许可证扫描的优势与应用

相比上述方式，极狐 GitLab 的开源许可证扫描具有明显优势：

1. 原生集成。极狐 GitLab 内置开源许可证扫描功能，深度集成在极狐 GitLab CI/CD 流程中，无需集成第三方工具，即可使用，配置简单，无额外维护成本。
2. 高度自动化。极狐 GitLab 会自动实时监测开源依赖变化，并触发扫描，每一次代码提交若产生新的许可证都有记录，可逆追踪。
3. 简单易用。极狐 GitLab 扫描结果以简明方式展示，并提供修复建议，降低开源管理的使用门槛；并支持多种语言和包管理器，方便开发者参与。
4. 灵活自定义。极狐 GitLab 支持自定义许可证与扫描规则，可以完全匹配企业的开源管理要求。同时也提供丰富的预置规则，覆盖主流开源许可证。
5. 持续优化。极狐 GitLab 会继续扩充许可证库，增强扫描准确性，并结合用户反馈持续完善与优化扫描功能，确保项目符合法规要求和企业政策、审计政策等。

图：极狐 GitLab 许可证扫描支持多种语言和包管理器

Step 1：启用及设置许可证策略

极狐 GitLab 许可证扫描的前提条件是：

• 具有 Docker 或 Kubernetes 执行器的 Runner；
• Docker Engine 版本高于 18.09.03。

在流水线中启用许可证扫描（将在下文中详解）：

include:
  - template: License-Scanning.gitlab-ci.yml

MR 审核者十分关心：在 MR 合并审批请求过程当中，当前新源头分支引入了哪些新的许可证？

这个问题通过「License-Check」来查看。

在极狐 GitLab 15.9 之前版本，通过「项目 → 设置 → 合并请求 → 合并请求批准，启用 License - Check」启用检查，如下图：

具体放行和拒绝哪些许可证，则在「安全与合规 → 许可证合规性」中设置策略，如下图。

极狐 GitLab 15.9 以及之后的版本，通过「项目 → 安全与合规 → 策略 → 新建策略 → 选择 扫描结果策略」设置：

Step 2：自动创建策略文件存放项目

极狐 GitLab 15.9 以及之后的版本，在创建策略后，会自动创建单独的项目存放策略文件（YAML），如下图子目录是 Security policy project，用户可以通过代码方式直接去编写 YAML 文件，实现快速扫描策略编写。

Step 3：查看许可证合规情况

与查看其他安全扫描一样，通过「安全与合规 → 许可证合规」，查看最新的合规情况：当前项目用了哪些开源组件，以及它所遵循的协议；还可以看到每个组件当前是拒绝，还是遵循了策略等。

Step 4：查看 MR 审批结果

只要开启了许可证扫描，就可以看到 License - Check 信息。

如下图，在本次 MR 合并之前，在原分支扫描显示新引入许可证分类，如已拒绝、已通过等提示信息来帮助审核者来判断本次合并是否批准。

如下图，在流水线页面，也可以查看完整许可证详细信息。

YAML 、license-finder、报告文件解析

YAML

上文提到，应用两行代码即可启用许可证扫描：

include:
  - template: License-Scanning.gitlab-ci.yml

下图就是 YAML 文件的庐山真面目，包含了两个部分：

• variables：定义变量，用于在 job 中引用；
• license_scanning：定义许可证扫描 job。

变量

其中，极狐 GitLab 自动预定义了 3 个变量：

1. SECURE_ANALYZERS_PREFIX：定义安全分析工具的前缀，用于从极狐 GitLab Container Registry 中拉取正确的镜像；
2. LICENSE_MANAGEMENT_SETUP_CMD：定义许可证扫描工具的安装命令；
3. LICENSE_MANAGEMENT_VERSION：定义许可证扫描工具的版本。目前最新版本为 “4”。

许可证扫描的常用变量如下表。也可以访问极狐GitLab 文档中心查看。

license_scanning

license_scanning job 用于执行开源许可证扫描，调用极狐 GitLab 内置的 license-scanning 工具对仓库代码进行扫描，检测项目开源依赖与许可证信息。

如下图，license_scanning job 支持的主要字段如下：

• image：定义扫描所使用的镜像；
• variables：定义扫描所需的变量，比如报告存储路径与可见性等；
• script：执行扫描命令；
• artifacts: 定义扫描结果存档配置；
• rules：定义扫描规则。

license-finder

license-finder 是一个帮助扫描项目中所使用的开源软件许可证信息的工具。运行 license-finder 时，它会扫描项目中的依赖项，并尝试查找每个依赖项的许可证信息，详情查看极狐GitLab 许可证查找器。

以极狐 GitLab 前端用 NPM 管理的项目为例：

• 初始化：NPM install 安装相关依赖；
• 扫描：
• 自动检测到项目中的 package.json 文件；
• 解析内容，找到 dependencies 以获取依赖项信息；
• 递归检查每个依赖项及其子依赖项，获取它们的许可证信息。
• 结果报告：收集扫描到的结果到报告里。

那么， license-finder 怎么查找许可证？

1. 包管理器的配置文件，如 package.json，可以用 license 字段声明当前库的许可证：

2. 依赖项的源代码中的许可证声明，如许可证文件或代码中的许可证注释：

报告文件

 在 license_scanning  job 里，指定保留 gl-license-scanning-report.json 文件。

用户可以在 pipeline 页面的 “Artifacts” 选项卡中下载该报告文件。下载的 json 文件如下所示，dependencies 具体列出所有检出的开源依赖，包括名称、版本、许可证类型等信息。

开源软件是软件企业持续依赖与运用的重要资源。开源许可证扫描必不可少，其广泛应用也将成为企业开源管理的标配与常态。