オープンソースソフトウェア (OSS) を活用することは、ソフトウェア開発チームにとって一般的な慣行です。研究者らは、コードベースの 96% に少なくとも 1 つのオープンソースコンポーネントが含まれていると推定しています。ただし、すべてのオープンソースソフトウェアには著作権とライセンスの影響があり、ライセンスを持っていない開発者であっても、すべての開発者が認識しておく必要があります。おそらく、最も誤解されやすく、したがってリスクの高いライセンス状況は、私たちが「不明なライセンス」と呼ぶものです。
不明なライセンスのリスク
開発者がプロジェクトに OSS を組み込む場合、通常は、使用目的に合ったライセンスを探します。ライセンスは、ソフトウェアの使用、変更、配布方法に関する法的ガイドラインを提供します。ただし、すべてのプロジェクトに明確に記載されたライセンスが付属しているわけではありません。ライセンス情報があいまいまたは欠落しているものもあるため、重大なリスクが生じる可能性があります。ライセンスのないコンポーネントは「不明なライセンス」として分類されます。FossID オープンソース監査チームは、 2023年に監査対象のアプリケーションの 80% に不明なライセンスを持つコンポーネントが含まれていることを発見しました。
指定されたライセンスなしで公開されているコードを使用する場合の主な懸念事項の 1 つは、潜在的な法的リスクです。明確なライセンスがなければ、開発者は、元の作成者が意図していない方法でソフトウェアを使用して、意図せずに著作権法に違反する可能性があります。これにより、法的紛争、評判の毀損、知的財産の危険、さらには金銭的罰金が発生する可能性があります。開発者は、コードが公開されているからといって、自動的に無料で使用できるわけではないことを理解する必要があります。明確なライセンスがないからといって、コードに対する無制限の権利がユーザーに付与されるわけではないため、開発者は慎重に作業を進める必要があります。
アプリケーションの 80% に不明なライセンスが含まれています
さらに、不明なライセンスで公開されているコードを使用すると、知的財産権に関して不確実性が生じる可能性があります。開発者は、ライセンス条件が不明瞭なコンポーネントがコードに組み込まれている場合、自分のコードに対する所有権を主張できない場合があります。この明確さの欠如により、コラボレーション、イノベーション、およびソフトウェア製品の収益化が妨げられる可能性があります。
不明なライセンスは自由に使用できることを意味しない
開発者は、コードが公開されているからといって、自動的に自由に使用できるわけではないことを理解する必要があります。明確なライセンスがないため、コードに対する無制限の権利がユーザーに付与されるわけではないため、開発者は慎重に作業を進める必要があります。
著作権トロールを理解する
意図しない使用法違反や、作成者による意図しない曖昧なライセンスやライセンスの欠落に加えて、開発者は、ライセンスのあいまいな状況を悪用しようとする意図的な試みにも注意する必要があります。著作権侵害の疑いで積極的に法的措置を講じる著作権トロールである個人または組織は、ライセンスが明確に定義されていない公開コードを使用している企業を標的にする可能性があります。
これらのトロールは、法的な不確実性を利用して、何も知らない開発者から和解金や損害賠償を引き出し、イノベーションやコラボレーションを萎縮させる結果をもたらします。
オープンソースやその他の公開コードを安全に組み込むためのベストプラクティス
これらのリスクを軽減するには、開発者は次のベストプラクティスを採用して、オープンソースおよびその他の公開されているコードを安全に統合する必要があります。
1.ライセンス情報の確認: 開発者は、コードをプロジェクトに組み込む前に、真のオープンソースであっても、単に公開されているだけであっても、そのライセンス情報を確認する必要があります。これには、ライセンスファイルの確認、ドキュメントの確認、必要に応じて法律専門家への相談が含まれます。
2.確立されたプロジェクトを選択する: 可能であれば、ライセンスが明確に定義され、アクティブなコミュニティを持つプロジェクトを選択してください。確立されたプロジェクトは、ライセンス条項が明確で、継続的なサポートとアップデートが提供される可能性が高くなります。
3.注意しながらライセンスの明確化に貢献する: ライセンス情報が不明確な、公開プロジェクトに遭遇した場合は、メンテナーに連絡して説明を求めることを検討してください。
重要: すでにプロジェクトを使用している場合は注意してください。特にプロジェクトが著作権トロールによって監視されている場合、直接関与すると法的リスクにさらされる可能性があります。
4.最新情報を入手: オープンソースライセンスの動向と法的動向を常に把握してください。さまざまなライセンスの影響と潜在的なリスクを理解することで、開発者はオープンソースや公開されているコードの使用について十分な情報に基づいた意思決定を下すことができます。
つまり、開発者は、不明なライセンスで公開されているコードを使用する場合には注意する必要があります。明確なライセンス情報がないと、法的リスクが生じ、知的財産権が危険にさらされ、著作権トロールによるプロジェクトの悪用につながる可能性があります。ベストプラクティスに従い、常に最新情報を入手することで、開発者はこれらのリスクを軽減し、プロジェクトでオープンソースソフトウェアの利点を活用し続けることができます。
未知のライセンスのリスクにさらされる可能性を軽減する方法
不明なライセンスに関連するリスクを効果的に軽減するには、包括的なソフトウェア構成分析 (SCA) ツールセットに投資することが重要です 。オープンソースのセキュリティ脆弱性とライセンスコンプライアンスの問題は常に変化するため、高度な識別アルゴリズム、リアルタイムスキャン機能、正確なコードスニペット検出に重点を置いた高度な機能を備えた SCA ツールを探してください。これらの機能により、開発者はコードベース内の未知のライセンスリスクを正確に特定して管理できるようになり、透明性とコンプライアンスの向上が保証されます。
さらに、オープンソースライセンスコンプライアンスの専門知識を持つスタッフが社内にいない場合は、 サードパーティの専門家による定期的なオープンソース監査の導入を検討してください。あるいは、Virtual Open Source Auditor を提供する SCA プロバイダーと提携すると、オープンソースコンプライアンスの複雑さに対処するための継続的なサポートとガイダンスのための専門リソースへのアクセスが提供されます。これらのリソースを活用することで、組織は「不明なライセンス」に関連する潜在的な法的リスクや風評リスクを効果的に軽減できます。