最新のアプリケーションのコードのうち、約80%はオープンソース・プロジェクトに由来し、さまざまなオープンソース・ライセンスで保護されています。すべてのライセンスの義務を完全に履行しないと、自社のIPが危険にさらされることになります。
ライセンスのタイプによって異なるリスク
パーミッシブ
低リスクとみなされているパーミッシブ・ライセンスには、ソフトウェアの変更または再頒布方法に関する最小要件や制限があります。例としては、MITライセンスやApacheライセンスが挙げられます。
セミパーミッシブ
これらのライセンスは、リミテッド、弱いコピーレフト、コピーレフトと呼ばれることも多く、コードを変更する場合に同じライセンスの下でアプリケーション全体ではなく変更部分を公開する必要があるため、リスクは中程度とみなされます。例としては、MozillaやEclipseのパブリック・ライセンスが挙げられます。
制限付き
制限付きライセンスには多大な法的リスクが伴います。これらのライセンスのいずれかでコンポーネントを使用する場合、アプリケーション・コード全体を公開することが法的に義務付けられる場合があります。例としては、GNU GPLやGNU LGPLが挙げられます。
| 許可 | 必須 | 禁止 | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 商用利用 | 配布 | 変更 | 特許使用 | 私的使用 | ソースの公開 | ライセンスと著作権の表示 | 同じライセンス | 状態変更 | 責任 | 保証 | 商標の使用 | |
| GNU AGPLv3 | ||||||||||||
| GNU GPLv3 | ||||||||||||
| GNU LGPLv3 | ||||||||||||
| Mozilla Public License 2.0 | ||||||||||||
| Apache License 2.0 | ||||||||||||
| MITライセンス | ||||||||||||
| Boost Software License 1.0 | ||||||||||||
| The Unlicense | ||||||||||||
AIコード生成とライセンスのリスク
GitHub CopilotやChatGPTなどのAIコーディング・アシスタントは、オープンソース・プロジェクトで学習しています。これらのツールは、ライセンス・コンテキストを含まないソースコードを提供する可能性があるため、IP侵害のリスクにさらされることになります。
Black Duckのソフトウェア・コンポジション解析(SCA)スニペット解析は、開発者やAIコーディング・ツールが作成したソース・コードをスキャンして、オープンソース・コードの一部を特定し、それを元のプロジェクトと突き合わせて、ライセンス情報とコンプライアンス・ガイダンスを提供します。
Black Duck SCAにより、オープンソース・ライセンスのコンプライアンスを自動化
オープンソース・ライセンスを特定
Black Duck SCAは、特定されたオープン ソースの依存関係ごとに、使用されている正確なライセンスを明らかにします。これには、明示的に宣言されたライセンス、サブライセンス、埋め込みライセンスが含まれます。
シンプルな洞察を得る
各ライセンスに関連する要件と制限を抽出し、完全なライセンス・テキストと著作権情報とともにシンプルな1つの画面に表示します。
ポリシー違反やライセンスの競合に関するアラートを受け取る
ライセンス・ポリシーに違反した場合や、プロジェクト・ライセンスと依存関係ライセンスの間に競合がある場合、アラートが表示されます。
カスタム・ポリシー・ルールを作成
カスタム・ポリシー管理では、どのライセンスが許可されているか、違反が発生した場合にどのワークフローをトリガーするかを定義します。
通知ファイル生成を自動化
ほぼすべてのオープンソース・ライセンスで必須とされる通知ファイルが、プロジェクト用に自動または手動で生成され、ユーザー・インターフェイスとAPIを介して利用できます。
オープンソース・ライセンスのコンプライアンスに関するオンデマンドの専門知識
オープンソースとサードパーティー製ソフトウェアの監査により、オープンソース・ライセンスの義務を包括的に把握できます。Black Duck®監査は、業界で最も信頼されているオープンソースのデュー・デリジェンス・ソリューションであり、最先端のSCA機能とオープンソース監査のエキスパートが、完全かつ正確なソフトウェア部品表を提供し、情報に基づいて自信を持って意思決定できるよう支援します。
オープンソースのリスク管理の詳細
