开源违规案例

案例讨论2013年1月Copyright©2008BlackDuckSoftware,Inc.AllRightsReserved.议程经验总结典型案例讨论Copyright©2008BlackDuckSoftware,Inc.AllRightsReserved.基于以往案例的经验总结BDS产品总结产品：Protex、CodeCenter、Export、本地代码库？服务：扫描服务（有责or无责）、咨询服务我们与BDS理念的差别是否面向服务机构？做服务还是卖产品？用户类型大企业（有意识or无意识）测评机构中小企业行业客户？用户现状大部分处于无意识或懵懂状态Protex（法规遵从）CodeCenter（漏洞管理）CodeCenter（开发管理）和咨询服务Copyright©2008BlackDuckSoftware,Inc.AllRightsReserved.议程经验总结典型案例讨论Copyright©2008BlackDuckSoftware,Inc.AllRightsReserved.典型案例——华为用户类型–有意识的大企业背景–意识到开源软件的益处和重要性，希望参与到开源领域并有所作为–副总牵头、开源软件中心困难–找到负责的部门和人–如何说服用户操作方法–找到关键部门和人员–深入交流–帮助开源中心理清思路–建立深入的关系–谈判技巧Copyright©2008BlackDuckSoftware,Inc.AllRightsReserved.典型案例——华为目前状况–处于共同参与开源项目阶段（Hardoop等项目）–各产品线将代码提交开源中心扫描，内部结算–使用CodeCenter查看漏洞，尚未对开发流程进行管理–购买过Orlince的服务，但评价一般总结拓展Copyright©2008BlackDuckSoftware,Inc.AllRightsReserved.OSI批准的许可证（）72个许可证Copyright©2008BlackDuckSoftware,Inc.AllRightsReserved.开源项目中前20名最常用的许可证注:上述表格列出的用于开源项目的前10许可证信息是由BlackDuck软件的知识库提供的。该数据每天更新。此处引用的数据于2011年4月8日提交.更多信息，请访问这里:•前10许可证占了93%的开源项目，•按使用许可证的项目数量排名排名许可证名称Copyright©2008BlackDuckSoftware,Inc.AllRightsReserved.私有商业许可证与自由开源软件许可证的区别私有商业软件许可证自由开源软件许可证限制最终用户拷贝、修改、分发、使用软件不限制最终用户拷贝、修改、分发、使用软件您不可以分发源代码，因为源代码是“商业机密”您可以分发源代码例如MicrosoftOffice就使用了私有商业许可证-宽容的许可证（Permissive）:(你可以推出开源构件而且还可以保留你的专属商业许可证)Apache、BSD-互惠的许可证（Reciprocal）:(你可以推出开源构件,但你可能被要求公开发布你的源代码)GPL、LGPLCopyright©2008BlackDuckSoftware,Inc.AllRightsReserved.开源许可证类型典型案例讨论议程Copyright©2008BlackDuckSoftware,Inc.AllRightsReserved.侵权诉讼负面宣传漏洞开发成本支持成本开源软件无管理的风险：自由开源软件不是免费午餐…(VOIPPhone)(WirelessRouter)(GPSNavigation)(NetworkAttachedStorage)(WiMax,other)(iPhoneWIP300)(HomeHubRouter)Copyright©2008BlackDuckSoftware,Inc.AllRightsReserved.软件许可证违规CiscoVerizonMonsoonMultimediaXterasysHigh-GainAntennasBellMicroproductsSuperMicroComputerSoftwareFreedomLawCenterMotorolaAcerSkypeD-LinkBTgpl-violations.orgOthersJacobsenvKatzerASUSeeePClaptopDieboldWhoisNext?ValuationInfringementRemediationCostsNewrevenueSupportcostsVulnerabilityCopyright©2008BlackDuckSoftware,Inc.AllRightsReserved.Copyright©2007BlackDuckSoftware,Inc.AllRightsReserved.ConfidentialandProprietary.案例一：思科软件供应链的故事使用GPL代码来客户化Broadcom的标准Linux发布嵌入代码在其中一个芯片集中采用了该技术在它的WRT54G无线宽带路由器中购买5亿美元（2003年）FSF状告Cisco违反了许可证协议思科开放了相关产品的源代码开发人员修改了固件，将一个低端设备($60)变成了高功能的路由器故事还在继续...Copyright©2008BlackDuckSoftware,Inc.AllRightsReserved.案例二：微软Windows7USB/DVD工具违反GPLWindows7USB/DVD工具违反了GPLv2许可证•代码是“多源”的，其中包含外部供应商带开源软件的部分代码•微软将该产品从微软商店里拿出去，随后宣布他们将其原代码和执行程序可供下载思考:•即使知名的软件大公司也是会出错的•开源软件可能有很多途径可以进入开发企业的代码库中；•如果没有相应处理流程和技术手段，开源软件很难有效管理Copyright©2008BlackDuckSoftware,Inc.AllRightsReserved.案例三：VLC播放器开发者认为AppleStore中DRM侵权免费的VLC播放器使用GNUGPL授权，开发者RémiDenis-Courmont认为苹果在AppStore应用数字版权保护（DRM）限制了开源；苹果很快下架这款软件Copyright©2008BlackDuckSoftware,Inc.AllRightsReserved.案例四：QQ影音涉嫌违反开源协议QQ影音（包括目前许多国际一流播放器如KMP等）都采用了国际知名自由开源软件Ffmpeg方案，QQ影音采用的是GPL协议，但未对外披露源代码，违反了开源协议；2009年11月用户发现QQ影音安装程序还包含大量开源和私有解码器libavcodec、libx264等，并且也未按照相关协议进行开源；随后QQ影音被正式加入到FFmpeg耻辱榜(HallofShame)一之列。Copyright©2008BlackDuckSoftware,Inc.AllRightsReserved.案例五：金山开源存侵权代码（部分源代码为微软公司WRK开源协议）2010年12月1日金山网络宣称将旗下金山卫士开源；调查发现，金山卫士“隐私保护”模块的源代码中存在对微软公司的侵权代码，微软公司有权随时终止；金山卫士“隐私保护”模块部分代码注明是版权所有者为微软公司WRK协议；微软公司在《WRK开源协议》明确要求：“不得使用或分发本软件（WRK）或以任何形式用于商业用途的任何衍生作品。”Copyright©2008BlackDuckSoftware,Inc.AllRightsReserved.18案例六:帮助SAP公司将复杂软件供应链实现自动化SAP拥抱开源，使用了BlackDuck开源管理方案的结论:–降低风险，公司改变开源策略从最初抵制开源到从开源中受益并积极贡献；–基于工作流的自动审批，延迟降到最低–避免了代码扩散开源项目SAP客户SAP产品开源构件嵌入第三方软件SAP产品嵌入第三方软件补充的第三方软件定制开发SAP合作伙伴合作伙伴的构件再分发整合贡献来源:SAP与BlackDuck共同主办的网上会议©2008BlackDuckSoftware,Inc.AllRightsReserved.在多源开发环境中使用自由开源软件FOSSFOSS开源社区企业–工具、流程你的软件应用内部开发的代码商业购买来自第三方的代码外包开发的代码彻底掌握所有源代码的来源！Copyright©2008BlackDuckSoftware,Inc.AllRightsReserved.谢谢！彻底掌握所有源代码的来源！