刹车片图纸网站建设,wordpress汉化,如何制作h5,常见门户网站的功能目录
开源许可证及其常见类型
开源许可证扫描是软件研发过程中#xff0c;不可或缺的工具
极狐GitLab 开源许可证扫描的优势与应用
Step 1#xff1a;启用及设置许可证策略
Step 2#xff1a;自动创建策略文件存放项目
Step 3#xff1a;查看许可证合规情况
Step 4不可或缺的工具
极狐GitLab 开源许可证扫描的优势与应用
Step 1启用及设置许可证策略
Step 2自动创建策略文件存放项目
Step 3查看许可证合规情况
Step 4查看 MR 审批结果
YAML 、license-finder、报告文件解析
YAML
变量
license_scanning
license-finder
报告文件 近日在「DevSecOps 软件安全开发实践」课程上极狐(GitLab) 专业服务交付经理居文峰、极狐(GitLab) 前端工程师万里欣分享了许可证扫描的原理、配置及应用并演示了极狐GitLab 许可证扫描功能帮助大家安全使用开源软件。 以下内容整理自本次直播Enjoy 应用开源软件已经成为软件行业的重大趋势。开源软件为企业和开发者提供了巨大便利促进了创新与协作。但如果忽视开源软件许可证及其权利义务与限制很可能会面临法律纠纷、安全隐患以及高昂的依赖管理成本。 开源许可证及其常见类型 开源软件许可证Open Source Software License是一种法律许可是开源软件供应商用于授权软件使用者使用、修改和发布其开源软件的协议。其目的是规范软件受著作权保护的软件使用或者分发行为。
世界上有上百种开源许可证目前主流的有 6 种 Apache发布于 Apache 软件基金会。此许可证允许商业使用不强制要求源代码开放是目前使用最广的开源软件许可证之一。 MIT极其宽松的许可证允许商业使用和私有化修改后的代码。MIT 许可证要求保留版权信息但不强制开源修改后的代码。案例项目有 GitLab CE、Ruby、JQuery、Rails 、Vue、React 等。 GPLGNU 通用公共许可协议GNU General Public License是自由软件基金会发布的许可证。GPL 要求使用软件的修改版本必须采用同样的 GPL 协议发布即如果项目包含了 GPL 许可证的代码那么整个项目都必须使用 GPL 许可证。 BSD宽松的开源许可证允许商业使用和修改私有化。与 MIT 许可证的主要区别是不要求保留版权信息。案例项目有 Curl 等。 LGPLLesser General Public License是 GPL 的补充区别在 LGPL 只要求修改的开源组件开源而不要求整个衍生软件开源。 MPLMozilla Public License发布于 Mozilla 基金会。MPL 要求修改版本必须以 MPL 许可证开源发布但可以用于商业应用。
而许可证由其宽松程度可分为 Copyleft 许可证使开源软件及其衍生版本的开源属性代代相传。它强制要求软件必须持续开源以确保开发者与用户的权利得到最大范围内的保障实现开源精神的延续。 宽松式许可证也称为非 Copyleft 许可证对软件再发布和衍生产品的许可证选择要求更加宽松允许软件商业使用与闭源提供更大灵活性与选择性。
从上述概念可以看出Apache、MIT、BSD 属于宽松式许可证Permissive License如下图左侧GPL 、LGPL、MPL 属于 Copyleft 许可证如下图右侧。我们需要根据软件属性与商业模式选择恰当的许可证在开源理念与商业需求间取得平衡。 开源许可证扫描是软件研发过程中不可或缺的工具 开源软件许可证如此之多不同许可证之间存在较大差异许可证错误使用的事件时有发生可能给企业带来法律、运营、安全与采购等领域的重大风险与损失。
根据 Synopsys 发布的《2023 年开源安全与风险分析报告》显示54% 的代码库存在许可证冲突31% 的代码库包含没有许可证或使用定制许可证的开源代码。 开源软件应用风险突出开源许可证扫描成为企业推动开源管理与风险控制的重要手段之一。
许可证扫描License Scanning是指对软件、代码库或系统进行许可证冲突检查的过程。它通过自动扫描软件的依赖与组件检测其许可证之间是否存在不兼容或冲突的问题。
开源许可证扫描作为帮助企业安全采用开源关键技术其重要性与必要性是显而易见的。因此越来越多的软件企业关注并实施开源许可证扫描常见方式有 集成第三方扫描工具。在代码 Push、Build 等时触发扫描。这需要购买第三方工具许可与维护成本集成过程比较复杂。 定期人工扫描。开发团队定期分析代码与依赖手工识别开源组件与许可证更新许可证清单。这种方式效率低下无法覆盖全部依赖难以持续进行。 CI 流程集成。在持续集成流程中增加开源许可证扫描步骤在每次构建时运行扫描工具生成报告。这需要选择与 CI/CD 工具兼容的扫描工具也增加了配置与维护难度。 增加管理流程。制定开源许可证管理流程在组件引入、版本升级等环节进行审核要求提供相应的许可证清单与合规性证明。其缺点是大量增加了开发与管理成本实施难度也较大。 极狐GitLab 开源许可证扫描的优势与应用 相比上述方式极狐GitLab 的开源许可证扫描具有明显优势 原生集成。极狐GitLab 内置开源许可证扫描功能深度集成在极狐GitLab CI/CD 流程中无需集成第三方工具即可使用配置简单无额外维护成本。 高度自动化。极狐GitLab 会自动实时监测开源依赖变化并触发扫描每一次代码提交若产生新的许可证都有记录可逆追踪。 简单易用。极狐GitLab 扫描结果以简明方式展示并提供修复建议降低开源管理的使用门槛并支持多种语言和包管理器方便开发者参与。 灵活自定义。极狐GitLab 支持自定义许可证与扫描规则可以完全匹配企业的开源管理要求。同时也提供丰富的预置规则覆盖主流开源许可证。 持续优化。极狐GitLab 会继续扩充许可证库增强扫描准确性并结合用户反馈持续完善与优化扫描功能确保项目符合法规要求和企业政策、审计政策等。 图极狐GitLab 许可证扫描支持多种语言和包管理器
Step 1启用及设置许可证策略
极狐GitLab 许可证扫描的前提条件是 具有 Docker 或 Kubernetes 执行器的 Runner Docker Engine 版本高于 18.09.03。
在流水线中启用许可证扫描将在下文中详解
include:- template: License-Scanning.gitlab-ci.ymlMR 审核者十分关心在 MR 合并审批请求过程当中当前新源头分支引入了哪些新的许可证
这个问题通过「License-Check」来查看。
在极狐GitLab 15.9 之前版本通过「项目 → 设置 → 合并请求 → 合并请求批准启用 License - Check」启用检查如下图 具体放行和拒绝哪些许可证则在「安全与合规 → 许可证合规性」中设置策略如下图。 极狐GitLab 15.9 以及之后的版本通过「项目 → 安全与合规 → 策略 → 新建策略 → 选择 扫描结果策略」设置 Step 2自动创建策略文件存放项目
极狐GitLab 15.9 以及之后的版本在创建策略后会自动创建单独的项目存放策略文件YAML如下图子目录是 Security policy project用户可以通过代码方式直接去编写 YAML 文件实现快速扫描策略编写。 Step 3查看许可证合规情况
与查看其他安全扫描一样通过「安全与合规 → 许可证合规」查看最新的合规情况当前项目用了哪些开源组件以及它所遵循的协议还可以看到每个组件当前是拒绝还是遵循了策略等。 Step 4查看 MR 审批结果
只要开启了许可证扫描就可以看到 License - Check 信息。
如下图在本次 MR 合并之前在原分支扫描显示新引入许可证分类如已拒绝、已通过等提示信息来帮助审核者来判断本次合并是否批准。 如下图在流水线页面也可以查看完整许可证详细信息。 YAML 、license-finder、报告文件解析 YAML
上文提到应用两行代码即可启用许可证扫描
include:- template: License-Scanning.gitlab-ci.yml下图就是 YAML 文件的庐山真面目包含了两个部分 variables定义变量用于在 job 中引用 license_scanning定义许可证扫描 job。 变量
其中极狐GitLab 自动预定义了 3 个变量 SECURE_ANALYZERS_PREFIX定义安全分析工具的前缀用于从极狐GitLab Container Registry 中拉取正确的镜像 LICENSE_MANAGEMENT_SETUP_CMD定义许可证扫描工具的安装命令 LICENSE_MANAGEMENT_VERSION定义许可证扫描工具的版本。目前最新版本为 “4”。 许可证扫描的常用变量如下表。也可以访问极狐GitLab 文档中心查看。 license_scanning
license_scanning job 用于执行开源许可证扫描调用极狐GitLab 内置的 license-scanning 工具对仓库代码进行扫描检测项目开源依赖与许可证信息。
如下图license_scanning job 支持的主要字段如下 image定义扫描所使用的镜像 variables定义扫描所需的变量比如报告存储路径与可见性等 script执行扫描命令 artifacts: 定义扫描结果存档配置 rules定义扫描规则。 license-finder
license-finder 是一个帮助扫描项目中所使用的开源软件许可证信息的工具。运行 license-finder 时它会扫描项目中的依赖项并尝试查找每个依赖项的许可证信息详情查看极狐GitLab 许可证查找器。
以极狐GitLab 前端用 NPM 管理的项目为例 初始化NPM install 安装相关依赖 扫描 自动检测到项目中的 package.json 文件 解析内容找到 dependencies 以获取依赖项信息 递归检查每个依赖项及其子依赖项获取它们的许可证信息。 结果报告收集扫描到的结果到报告里。
那么 license-finder 怎么查找许可证
1. 包管理器的配置文件如 package.json可以用 license 字段声明当前库的许可证 2. 依赖项的源代码中的许可证声明如许可证文件或代码中的许可证注释 报告文件 在 license_scanning job 里指定保留 gl-license-scanning-report.json 文件。 用户可以在 pipeline 页面的 “Artifacts” 选项卡中下载该报告文件。下载的 json 文件如下所示dependencies 具体列出所有检出的开源依赖包括名称、版本、许可证类型等信息。 开源软件是软件企业持续依赖与运用的重要资源。开源许可证扫描必不可少其广泛应用也将成为企业开源管理的标配与常态。
