更多内容:OWASP TOP 10 之敏感数据泄露
一、开源软件主要合规风险
1、版权侵权风险
没有履行开源许可证规定的协议导致的版权侵权,例如没有按照许可要求的保留版权声明等。
2、商业机密风险
因为不当使用开源软件,将产品的核心软件代码开源,或者未经授权将第三方非公开代码开源。
3、专利侵权风险
如果引用的开源软件携带的许可证中,没有专利授权条款,容易造成专利侵权风险。
4、商标侵权风险
未经授权使用开源软件的商标目前几乎没有许可证给出明确的商标许可。
二、开源协议的法律效力
法律依据:《著作权法》《计算机软件保护条例》《合同法》;
法律效力:包括GPL在内的通用开源协议具备法律认可的合同地位,具备法律效力;
侵权认定:软件"抄袭"导致的侵权在法律认定上可以做到,基本是通过软件源代码和其他文档的对比进行实质性相似的判定。
三、开源许可合规侵权案例
案例1:罗盒公司状告风灵公司侵权事件
罗盒公司,独立开发的VirtualApp V1.0,在2016年引入 GPL3.0 许可证于2017年取得计算机软件著作权登记证书,且声明用于商业用途请购买商业授权。2018年发现名为"点心桌面"的软件使用了VirtualApp V1.0 的代码,经过源码分析对比,发现两者之间高度相似,遂起诉被告福建风灵公司。
根据 GPL3.0 协议第4 条、第5 条的规定,只要后续版本中有使用先前开源版本中的源代码,并目先前版本使用了GPL3.0协议,则后续版本也必然受GPL3.0协议的约束。因此,VirtualApp 后续开源版本仍然受GPL3.0协议的约束,其用户在使用时也应该遵循相应的协议条款。
此次纠纷最终以风灵公司侵权,赔偿原告50万元结束。这是中国首个明确GPL3.0 许可证具有法律效力的案例。企业在使用开源软件时,必须遵循开源软件许可证中规定的协议条款,否则就容易存在侵权的风险。
案例2:TikTok Live Studio违反GPL许可证事件
2021年12月,抖音海外版 TikTok 上线了一款名为 TikTok Live Studio的APP,但不久其
下载页面就被删除。TikTok 官方对此事做出回应,原因是该APP 违反GPL许可证,其使
用GPL许可证下的开源软件源码,却没有按照GPL许可证的要求进行开源。
GPL许可证协议是一个极具传染性的协议。基于GPL的软件允许商业化销售,但不允许封闭
源代码。使用了遵循GPL协议发布的软件,自身也必须遵守GPL协议。因此TikTok需要按照
GPL的许可协议,开放其产品的源代码。
在使用开源软件时,需要了解该软件携带的许可证,以及许可证中规定的使用权利。有些开
源软件声明的许可看似宽松,但是可能会有潜在的风险。因此,产品在引入开源软件时,需
要完整的了解其许可证的含义。