开源合规审计的要点主要围绕许可证义务、代码溯源、依赖管理以及分发合规等核心环节,以下是关键要点梳理:
-
许可证识别与兼容性分析:
- 准确识别项目中使用的所有开源组件的许可证类型(如GPL、Apache、MIT、LGPL等)。
- 检查不同许可证之间的兼容性,避免因组合使用而产生冲突(将GPL代码与商业闭源代码混合可能违反GPL的“传染性”要求)。
-
代码溯源与版权声明:
- 确认代码来源合法,是否存在从受保护项目、非授权渠道获取的代码。
- 确保所有开源组件均保留或附带了原始版权声明、作者归属及许可文本,不得擅自删除或修改。
-
依赖与传递性义务:
- 审查直接依赖和间接(传递性)依赖的许可证情况,很多依赖会引入多层嵌套的开源组件,其许可证义务可能向上游传播。
- 特别关注“强Copyleft”许可证(如GPL 2.0/3.0)对自研代码可能产生的开源要求。
-
修改与衍生作品界定:
- 区分“静态链接”“动态链接”或“修改源代码”等使用方式,因为这会影响衍生作品的定义和对应的许可证义务(LGPL对动态链接要求较低)。
- 若对开源代码进行了修改,需确认是否需公开修改后的源代码(如GPL要求)。
-
分发与再分发合规:
- 如果产品(包括软件、固件、或包含代码的硬件)以分发形式(如销售、预装、在线交付)提供给第三方,需确保附上相应的许可证副本(如Apache 2.0要求提供NOTICE文件)。
- 检查“仅内部使用”与“对外分发”的场景差异,因为某些许可证(如AGPL)对网络远程交互也有开源要求。
-
专利与商标风险:
- 评估开源许可证中包含的专利授权条款(如Apache 2.0明确授权专利使用权,GPLv3也有相关条款),防止因使用开源代码而遭受专利诉讼。
- 确保不侵犯项目中引用的商标权(如不得在衍生品上使用未经授权的项目名称或Logo)。
-
商业合规与出口管制:
- 对于商业软件,需确保开源组件的使用符合公司的双向许可策略(开源版与商业版的功能划分)。
- 检查所用开源代码是否受出口管制(如美国BIS清单中的特定加密或敏感技术),避免违反国际贸易法。
-
文档与审计追踪:
- 建立完整的物料清单,记录每个组件的版本、许可证、来源及使用方式。
- 保留审计过程中的所有分析记录、决策依据及许可证副本,作为后续合规证明。
开源合规审计的核心是确保“使用行为”与“许可证要求”一致,实际审计中通常需要工具(如FOSSA、Black Duck、SCANOSS)与人工法律审查相结合,尤其关注Copyleft许可证、商业使用场景及修改后的代码分发义务。
