威胁类型:违反许可证使用条款
- 威胁编号:T2-1-1
- 威胁分类:知识产权威胁-开源许可威胁
- 威胁描述:组织在使用开源软件时,未遵守开源许可证规定的使用条款,如未提供源代码、未标注版权声明、未遵守许可证兼容性要求等,导致法律风险和潜在的商业损失。
威胁案例
开源组件
- Artifex Software诉Hancom案例(2019年):Hancom公司在其办公软件中使用了Ghostscript(GPL许可证),但未遵守GPL要求开放源代码,被Artifex Software起诉并最终被判赔偿或开源代码。
开源应用软件
- BusyBox诉多家公司案例(2018年):BusyBox项目针对多家电子设备制造商发起GPL违规诉讼,这些公司在产品中使用了BusyBox但未遵守源代码开放要求。
闭源应用软件
- Versata Software违反开源许可证事件(2017年):Versata在其商业产品中使用了GPL许可的XimpleWare VTD-XML组件,但未开源相关代码,被XimpleWare起诉侵权。
- VMware违反Linux内核GPL许可证案例(2020年):VMware在其ESXi产品中使用了修改后的Linux内核代码,但未按GPL要求开源修改部分,被Christoph Hellwig起诉。
解决方案
许可证合规管理
- 建立开源软件使用政策,明确各类许可证的使用规范和限制
- 使用软件成分分析(SCA)工具扫描软件,识别开源成分及其许可证
合规流程
- 制定开源软件引入流程,包括许可证审查和风险评估
- 建立许可证合规审查机制,定期检查开源组件使用情况
- 定期进行合规性评估,确保持续符合许可证要求
- 为开发团队提供开源许可证合规培训