الامتثال لترخيص المصدر المفتوح: دليل عملي لشركات البرمجيات

يحتوي متوسط ​​التطبيق التجاري على 77% من التعليمات البرمجية مفتوحة المصدر، منتشرة عبر أكثر من 500 تبعية. تحمل كل تبعية ترخيصًا خاصًا بها مع التزامات محددة. يؤدي انتهاك هذه الالتزامات إلى تعريض شركتك للدعاوى القضائية والإفصاح القسري عن التعليمات البرمجية والإضرار بالسمعة. ومع ذلك، فإن معظم الشركات ليس لديها عملية لتتبع تراخيص المصادر المفتوحة أو الالتزام بها.

يوفر هذا الدليل إطارًا عمليًا للامتثال لترخيص مفتوح المصدر، بدءًا من تصنيف التراخيص ووصولاً إلى المسح الآلي وإنشاء SBOM.

الوجبات الرئيسية

• ليست كل التراخيص مفتوحة المصدر متماثلة: التراخيص المسموح بها تسمح بأي شيء تقريبًا، بينما تتطلب تراخيص الحقوق المتروكة مشاركة التعديلات
• أصبحت قائمة مواد البرمجيات (SBOM) مطلبًا قانونيًا في المشتريات الحكومية (الأمر التنفيذي الأمريكي رقم 14028)
• يمنع المسح الآلي للترخيص في CI/CD التبعيات غير المتوافقة من الدخول إلى قاعدة التعليمات البرمجية الخاصة بك
• خطر "الإصابة" بالحقوق المتروكة أمر حقيقي: يمكن أن تلزمك تبعية GPL واحدة بفتح مصدر التطبيق بأكمله

---

فئات الترخيص

التراخيص المسموح بها (منخفضة المخاطر)

| الترخيص | التزامات | الاستخدام التجاري | تعديل | التوزيع | |---------|-------------------|-------------|-------------|-----------|--| | معهد ماساتشوستس للتكنولوجيا | تضمين إشعار حقوق النشر + الترخيص | نعم | نعم | نعم | | بسد 2-بند | تضمين إشعار حقوق النشر + الترخيص | نعم | نعم | نعم | | بسد 3-بند | نفس + لا توجد مطالبة تأييد | نعم | نعم | نعم | | أباتشي 2.0 | تضمين إشعار + ترخيص + تغييرات الحالة + منحة براءة الاختراع | نعم | نعم | نعم | | مركز الدراسات الدولي | تضمين إشعار حقوق النشر + الترخيص | نعم | نعم | نعم |

آمن للاستخدام التجاري. قم بتضمين نص الترخيص وإشعار حقوق الطبع والنشر في التوزيع الخاص بك. يتطلب Apache 2.0 أيضًا ملاحظة أي تغييرات على الكود الأصلي ويتضمن ترخيص براءة اختراع.

الحقوق المتروكة ضعيفة (خطورة متوسطة)

استخدمه بحذر. احتفظ بمكتبات LGPL كمكتبات مشتركة (ديناميكية)، وليست مرتبطة بشكل ثابت. احتفظ بالكود المرخص من MPL في ملفات منفصلة عن الكود الخاص بك.

الحقوق المتروكة القوية (عالية الخطورة)

البرامج التجارية هي الأكثر خطورة. قد يتطلب منك استخدام كود GPL في تطبيقك إصدار التطبيق بالكامل بموجب GPL. تقوم AGPL بتوسيع هذا ليشمل البرامج من جانب الخادم --- حتى إذا لم تقم بتوزيع الثنائيات مطلقًا، فإن توفير البرنامج كخدمة ويب يؤدي إلى التزام الحقوق المتروكة.

---

سير عمل الامتثال

الخطوة 1: إنشاء SBOM

# For Node.js projects (using CycloneDX)
npx @cyclonedx/cyclonedx-npm --output-file sbom.json --spec-version 1.5

# For Python projects
pip install cyclonedx-bom
cyclonedx-py environment --output sbom.json

# For multi-language projects (using Syft)
syft . -o cyclonedx-json > sbom.json

الخطوة 2: البحث عن الامتثال للترخيص

# Using license-checker for Node.js
npx license-checker --production --json --out licenses.json

# Using scancode-toolkit (comprehensive, all languages)
scancode --license --copyright --output-json scan-results.json .

الخطوة 3: التصنيف والموافقة

إنشاء قائمة التراخيص المعتمدة:

{
  "approved": [
    "MIT", "BSD-2-Clause", "BSD-3-Clause", "Apache-2.0",
    "ISC", "0BSD", "Unlicense", "CC0-1.0"
  ],
  "conditional": [
    "LGPL-2.1", "LGPL-3.0", "MPL-2.0", "EPL-2.0"
  ],
  "prohibited": [
    "GPL-2.0", "GPL-3.0", "AGPL-3.0", "SSPL-1.0",
    "EUPL-1.2", "OSL-3.0"
  ]
}

الخطوة 4: تكامل CI/CD

# .github/workflows/license-check.yml
name: License Compliance
on: [pull_request]

jobs:
  check-licenses:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4
      - uses: actions/setup-node@v4
        with:
          node-version: 20

      - run: pnpm install --frozen-lockfile

      - name: Check licenses
        run: |
          npx license-checker --production --excludePackages "" \
            --failOn "GPL-2.0;GPL-3.0;AGPL-3.0;SSPL-1.0" \
            --summary

---

SBOM (قائمة مواد البرنامج)

سبب أهمية SBOMs

• الأمر التنفيذي الأمريكي رقم 14028 يتطلب وجود SBOMs للبرامج المباعة لحكومة الولايات المتحدة
• قانون الاتحاد الأوروبي للمرونة السيبرانية سيتطلب وجود SBOMs للبرامج المباعة في الاتحاد الأوروبي
• أمان سلسلة التوريد: تعمل وحدات SBOM على تمكين الاستجابة السريعة للثغرات الأمنية (عندما يحدث log4j، ستعرف ما إذا كنت متأثرًا)
• ثقة العملاء: يطلب المشترون من المؤسسات بشكل متزايد SBOMs أثناء الشراء

معايير SBOM

التوصية: CycloneDX لمعظم شركات البرمجيات. إنه أبسط، ويتمتع بدعم أفضل للأدوات، وأصبح هو الخيار الافتراضي في الصناعة.

---

سيناريوهات الامتثال الشائعة

السيناريو 1: تطبيق الويب Node.js

يحتوي دليل node_modules النموذجي على 500-2000 حزمة. الغالبية العظمى تستخدم تراخيص MIT أو ISC. القضايا المشتركة:

• التبعيات المتعدية باستخدام GPL (لم تقم بإضافتها مباشرة)
• UNKNOWN حقول الترخيص التي تتطلب فحصًا يدويًا
• تراخيص متعددة في حزمة واحدة (على سبيل المثال، "MIT OR Apache-2.0")

الإجراء: قم بتشغيل npx license-checker --production أسبوعيًا. التحقيق في أي تراخيص غير متساهلة. استبدل تبعيات GPL ببدائل متساهلة.

السيناريو 2: تطوير وحدة Odoo

إصدار مجتمع Odoo هو LGPL v3. تعتبر Odoo Enterprise ملكية خاصة. الوحدات المخصصة الخاصة بك:

• وحدات المجتمع: يجب أن تكون متوافقة مع LGPL v3 (في حالة توزيعها)
• الوحدات الداخلية الخاصة: غير موزعة، لذا لا يتم تطبيق LGPL
• الوظائف الإضافية للمؤسسات: يجب أن تتوافق مع شروط ترخيص Odoo Enterprise

السيناريو 3: SaaS مع تبعيات AGPL

إذا كان تطبيق SaaS الخاص بك يستخدم رمزًا مرخصًا من AGPL (على سبيل المثال، MongoDB قبل التحول إلى SSPL)، فيجب عليك إما:

1. قم بتحرير كود مصدر التطبيق بالكامل ضمن AGPL
2. قم بإزالة تبعية AGPL واستخدم بديلاً
3. الحصول على ترخيص تجاري من مشروع AGPL (إن وجد)

يؤدي استخدام كود AGPL من جانب الخادم إلى تشغيل التزام الحقوق المتروكة على الرغم من عدم "توزيع" الثنائيات مطلقًا.

---

الأسئلة المتداولة

هل يجبرنا استخدام مكتبة GPL في واجهة برمجة التطبيقات لدينا على فتح واجهة برمجة التطبيقات الخاصة بنا؟

ذلك يعتمد على كيفية استخدامه. إذا كانت مكتبة GPL مرتبطة بتطبيقك (بشكل ثابت أو ديناميكي)، فإن موقف FSF هو أن تطبيقك هو "عمل مشتق" ويجب ترخيصه بموجب GPL. إذا كنت تتواصل مع برنامج GPL من خلال واجهة برمجة تطبيقات الشبكة (على سبيل المثال، باستخدام خادم قاعدة بيانات مرخص من GPL)، فلا يعتبر ذلك عملاً مشتقًا بشكل عام. استشر محاميًا لقضيتك المحددة.

ماذا لو غيّرت التبعية ترخيصها؟

أنت ملتزم بالترخيص الذي حصلت بموجبه على الرمز، وليس تغييرات الترخيص المستقبلية. ومع ذلك، إذا قمت بالتحديث إلى إصدار جديد بترخيص جديد، فسيتم تطبيق الترخيص الجديد على هذا الإصدار. هذا هو سبب أهمية SBOMs مع تثبيت الإصدار --- فهي توثق بالضبط الإصدار (والترخيص) الذي تستخدمه.

كيف نتعامل مع التبعيات مع التراخيص "غير المعروفة"؟

تحقق من مستودع الحزمة بحثًا عن ملف الترخيص. إذا لم يتم تحديد ترخيص، فإن الكود من الناحية الفنية يخضع لحماية حقوق الطبع والنشر الكاملة --- وليس لديك الحق في استخدامه أو تعديله أو توزيعه. ابحث إما عن الترخيص (قد يكون في موقع غير قياسي)، أو اطلب من المؤلف إضافة ترخيص، أو استبدل التبعية ببديل مرخص بشكل واضح.

هل نحتاج إلى إسناد الحزم المرخصة من MIT؟

نعم. يتطلب منك معهد ماساتشوستس للتكنولوجيا (MIT) ومعظم التراخيص المسموح بها تضمين إشعار حقوق الطبع والنشر ونص الترخيص عند توزيع البرنامج. بالنسبة لتطبيقات الويب، يعني هذا عادةً تضمين ملف إشعارات الطرف الثالث أو صفحة تدرج جميع المكونات مفتوحة المصدر وتراخيصها.

---

بناء برنامج الامتثال

مراجعة الالتزام ربع السنوية

1. تجديد SBOM لجميع المشاريع
2. البحث عن تبعيات جديدة تمت إضافتها منذ المراجعة الأخيرة
3. التحقق من تغييرات الترخيص في الحزم المحدثة
4. راجع أية تراخيص "غير معروفة" ظهرت
5. قم بتحديث قائمة التراخيص المعتمدة في حالة ظهور تراخيص جديدة
6. أرشفة لقطات SBOM لمسار التدقيق

أدوار الامتثال

يستغرق برنامج الامتثال خفيف الوزن من 2 إلى 4 ساعات كل ربع سنة لفريق صغير ويمنع التكلفة الأكبر بكثير لاكتشاف مشكلة الامتثال بعد إطلاق المنتج أو أثناء العناية الواجبة.

---

ما يأتي بعد ذلك

يعد الامتثال للترخيص أحد جوانب إدارة البرامج. يمكنك دمجها مع حماية IP للتعليمات البرمجية الخاصة بك، وأساسيات اتفاقية SaaS لبرامج البائع، والمتطلبات التنظيمية للأمن السيبراني للامتثال الأمني.

اتصل بـ ECOSIRE للحصول على خدمات تدقيق الامتثال مفتوحة المصدر وإنشاء SBOM.

---

تم النشر بواسطة ECOSIRE - مساعدة الشركات على استخدام المصادر المفتوحة بشكل مسؤول.