返回文章列表
开发 | 运维 | 医疗 | 互联网 | 人工智能 2023-06-26

杜绝开源依赖风险,许可证扫描让高效 & 合规「两不误」

极狐GitLab
一体化安全 DevOps 平台

🌟 在「DevSecOps 软件安全开发实践」课程上,极狐(GitLab) 专业服务交付经理居文峰、极狐(GitLab) 前端工程师万里欣,分享了许可证扫描的原理、配置及应用,并演示了极狐 GitLab 许可证扫描功能,帮助大家安全使用开源软件。

 

以下内容整理自本次直播,Enjoy~

 

应用开源软件已经成为软件行业的重大趋势。开源软件为企业和开发者提供了巨大便利,促进了创新与协作。但如果忽视开源软件许可证及其权利义务与限制,很可能会面临法律纠纷、安全隐患以及高昂的依赖管理成本。

 

开源许可证及其常见类型

 

开源软件许可证(Open Source Software License)是一种法律许可,是开源软件供应商用于授权软件使用者使用、修改和发布其开源软件的协议。其目的是规范软件(受著作权保护的软件)使用或者分发行为。

 

世界上有上百种开源许可证,目前主流的有 6 种:

 

 

  1. Apache:发布于 Apache 软件基金会。此许可证允许商业使用,不强制要求源代码开放,是目前使用最广的开源软件许可证之一。
  2. MIT:极其宽松的许可证,允许商业使用和私有化修改后的代码。MIT 许可证要求保留版权信息,但不强制开源修改后的代码。案例项目有 GitLab CE、Ruby、JQuery、Rails 、Vue、React 等。
  3. GPL:GNU 通用公共许可协议(GNU General Public License),是自由软件基金会发布的许可证。GPL 要求使用软件的修改版本必须采用同样的 GPL 协议发布,即如果项目包含了 GPL 许可证的代码,那么整个项目都必须使用 GPL 许可证
  4. BSD:宽松的开源许可证,允许商业使用和修改私有化。与 MIT 许可证的主要区别是不要求保留版权信息。案例项目有 Curl 等。
  5. LGPL:Lesser General Public License,是 GPL 的补充,区别在 LGPL 只要求修改的开源组件开源,而不要求整个衍生软件开源。
  6. MPL:Mozilla Public License,发布于 Mozilla 基金会。MPL 要求修改版本必须以 MPL 许可证开源发布,但可以用于商业应用

 

而许可证由其宽松程度,可分为:

 

  • Copyleft 许可证:使开源软件及其衍生版本的开源属性代代相传。它强制要求软件必须持续开源,以确保开发者与用户的权利得到最大范围内的保障,实现开源精神的延续。
  • 宽松式许可证:也称为非 Copyleft 许可证,对软件再发布和衍生产品的许可证选择要求更加宽松,允许软件商业使用与闭源,提供更大灵活性与选择性。

 

从上述概念可以看出,Apache、MIT、BSD 属于宽松式许可证(Permissive License),如下图左侧;GPL 、LGPL、MPL 属于 Copyleft 许可证,如下图右侧。我们需要根据软件属性与商业模式选择恰当的许可证,在开源理念与商业需求间取得平衡

 

 

 

开源许可证扫描是软件研发过程中,不可或缺的工具

 

开源软件许可证如此之多,不同许可证之间存在较大差异,许可证错误使用的事件时有发生,可能给企业带来法律、运营、安全与采购等领域的重大风险与损失。

 

根据 Synopsys 发布的《2023 年开源安全与风险分析报告》显示:54% 的代码库存在许可证冲突;31% 的代码库包含没有许可证或使用定制许可证的开源代码。

 

 

开源软件应用风险突出,开源许可证扫描成为企业推动开源管理与风险控制的重要手段之一

 

许可证扫描(License Scanning)是指对软件、代码库或系统进行许可证冲突检查的过程。它通过自动扫描软件的依赖与组件,检测其许可证之间是否存在不兼容或冲突的问题。

 

开源许可证扫描作为帮助企业安全采用开源关键技术,其重要性与必要性是显而易见的。因此越来越多的软件企业关注并实施开源许可证扫描,常见方式有:

 

  • 集成第三方扫描工具。在代码 Push、Build 等时触发扫描。这需要购买第三方工具许可与维护成本,集成过程比较复杂。
  • 定期人工扫描。开发团队定期分析代码与依赖,手工识别开源组件与许可证,更新许可证清单。这种方式效率低下,无法覆盖全部依赖,难以持续进行。
  • CI 流程集成。在持续集成流程中增加开源许可证扫描步骤,在每次构建时运行扫描工具,生成报告。这需要选择与 CI/CD 工具兼容的扫描工具,也增加了配置与维护难度。
  • 增加管理流程。制定开源许可证管理流程,在组件引入、版本升级等环节进行审核,要求提供相应的许可证清单与合规性证明。其缺点是大量增加了开发与管理成本,实施难度也较大。

 

极狐 GitLab 开源许可证扫描的优势与应用

 

相比上述方式,极狐 GitLab 的开源许可证扫描具有明显优势:

 

  1. 原生集成。极狐 GitLab 内置开源许可证扫描功能,深度集成在极狐 GitLab CI/CD 流程中,无需集成第三方工具,即可使用,配置简单,无额外维护成本。
  2. 高度自动化。极狐 GitLab 会自动实时监测开源依赖变化,并触发扫描,每一次代码提交若产生新的许可证都有记录,可逆追踪。
  3. 简单易用。极狐 GitLab 扫描结果以简明方式展示,并提供修复建议,降低开源管理的使用门槛;并支持多种语言和包管理器,方便开发者参与。
  4. 灵活自定义。极狐 GitLab 支持自定义许可证与扫描规则,可以完全匹配企业的开源管理要求。同时也提供丰富的预置规则,覆盖主流开源许可证。
  5. 持续优化。极狐 GitLab 会继续扩充许可证库,增强扫描准确性,并结合用户反馈持续完善与优化扫描功能,确保项目符合法规要求和企业政策、审计政策等。

 

图:极狐 GitLab 许可证扫描支持多种语言和包管理器

 

Step 1:启用及设置许可证策略

 

极狐 GitLab 许可证扫描的前提条件是:

 

  • 具有 Docker 或 Kubernetes 执行器的 Runner;
  • Docker Engine 版本高于 18.09.03。

 

在流水线中启用许可证扫描(将在下文中详解):

 

include:
  - template: License-Scanning.gitlab-ci.yml

 

MR 审核者十分关心:在 MR 合并审批请求过程当中,当前新源头分支引入了哪些新的许可证?

 

这个问题通过「License-Check」来查看。

 

在极狐 GitLab 15.9 之前版本,通过「项目 → 设置 → 合并请求 → 合并请求批准,启用 License - Check」启用检查,如下图:

 

 

具体放行和拒绝哪些许可证,则在「安全与合规 → 许可证合规性」中设置策略,如下图。

 

 

极狐 GitLab 15.9 以及之后的版本,通过「项目 → 安全与合规 → 策略 → 新建策略 → 选择 扫描结果策略」设置:

 

 

Step 2:自动创建策略文件存放项目

 

极狐 GitLab 15.9 以及之后的版本,在创建策略后,会自动创建单独的项目存放策略文件(YAML),如下图子目录是 Security policy project,用户可以通过代码方式直接去编写 YAML 文件,实现快速扫描策略编写。

 

 

 

Step 3:查看许可证合规情况

 

与查看其他安全扫描一样,通过「安全与合规 → 许可证合规」,查看最新的合规情况:当前项目用了哪些开源组件,以及它所遵循的协议;还可以看到每个组件当前是拒绝,还是遵循了策略等。

 

 

Step 4:查看 MR 审批结果

 

只要开启了许可证扫描,就可以看到 License - Check 信息。

 

如下图,在本次 MR 合并之前,在原分支扫描显示新引入许可证分类,如已拒绝、已通过等提示信息来帮助审核者来判断本次合并是否批准。

 

 

如下图,在流水线页面,也可以查看完整许可证详细信息。

 

 

YAML 、license-finder、报告文件解析

 

YAML

 

上文提到,应用两行代码即可启用许可证扫描:

 

include:
  - template: License-Scanning.gitlab-ci.yml

 

下图就是 YAML 文件的庐山真面目,包含了两个部分:

 

  • variables:定义变量,用于在 job 中引用;
  • license_scanning:定义许可证扫描 job。

 

 

变量

 

其中,极狐 GitLab 自动预定义了 3 个变量:

 

  1. SECURE_ANALYZERS_PREFIX:定义安全分析工具的前缀,用于从极狐 GitLab Container Registry 中拉取正确的镜像;
  2. LICENSE_MANAGEMENT_SETUP_CMD:定义许可证扫描工具的安装命令;
  3. LICENSE_MANAGEMENT_VERSION:定义许可证扫描工具的版本。目前最新版本为 “4”。

 

 

许可证扫描的常用变量如下表。也可以访问极狐GitLab 文档中心查看。

 

 

license_scanning

 

license_scanning job 用于执行开源许可证扫描,调用极狐 GitLab 内置的 license-scanning 工具对仓库代码进行扫描,检测项目开源依赖与许可证信息。

 

如下图,license_scanning job 支持的主要字段如下:

 

  • image:定义扫描所使用的镜像;
  • variables:定义扫描所需的变量,比如报告存储路径与可见性等;
  • script:执行扫描命令;
  • artifacts: 定义扫描结果存档配置;
  • rules:定义扫描规则。

 

 

license-finder

 

license-finder 是一个帮助扫描项目中所使用的开源软件许可证信息的工具。运行 license-finder 时,它会扫描项目中的依赖项,并尝试查找每个依赖项的许可证信息,详情查看极狐GitLab 许可证查找器

 

以极狐 GitLab 前端用 NPM 管理的项目为例:

 

  • 初始化:NPM install 安装相关依赖;
  • 扫描:
  • 自动检测到项目中的 package.json 文件;
  • 解析内容,找到 dependencies 以获取依赖项信息;
  • 递归检查每个依赖项及其子依赖项,获取它们的许可证信息。
  • 结果报告:收集扫描到的结果到报告里。

那么, license-finder 怎么查找许可证?

 

1. 包管理器的配置文件,如 package.json,可以用 license 字段声明当前库的许可证:

 

 

2. 依赖项的源代码中的许可证声明,如许可证文件或代码中的许可证注释:

 

 

报告文件

 

 在 license_scanning  job 里,指定保留 gl-license-scanning-report.json 文件。

 

 

用户可以在 pipeline 页面的 “Artifacts” 选项卡中下载该报告文件。下载的 json 文件如下所示,dependencies 具体列出所有检出的开源依赖,包括名称、版本、许可证类型等信息。

 

 

开源软件是软件企业持续依赖与运用的重要资源。开源许可证扫描必不可少,其广泛应用也将成为企业开源管理的标配与常态。

极狐GitLab 一体化DevOps平台 专为中国用户研发,免费试用60天专业版高级功能
售前咨询
联系电话
在线支持
预约演示