📗
owasp-open-source-software-top-10-ja
  • OWASP Open Source Software Top 10 ja
  • OWASP オープンソースソフトウェア Top 10 日本語版
    • オープンソースソフトウェア Top 10
    • OSS-RISK-1 既知の脆弱性 (Known Vulnerabilities)
    • OSS-RISK-2 正規パッケージの侵害 (Compromise of Legitimate Package)
    • OSS-RISK-3 名前混乱攻撃 (Name Confusion Attacks)
    • OSS-RISK-4 メンテナンスされていないソフトウェア (Unmaintained Software)
    • OSS-RISK-5 古いままのソフトウェア (Outdated Software)
    • OSS-RISK-6 追跡されていない依存関係 (Untracked Dependencies)
    • OSS-RISK-7 ライセンスのリスク (License Risk)
    • OSS-RISK-8 未成熟なソフトウェア (Immature Software)
    • OSS-RISK-9 未承認の変更 (Unapproved Change)
    • OSS-RISK-10 過小または過大な依存関係 (Under/over-sized Dependency)
Powered by GitBook
On this page
  1. OWASP オープンソースソフトウェア Top 10 日本語版

OSS-RISK-7 ライセンスのリスク (License Risk)

PreviousOSS-RISK-6 追跡されていない依存関係 (Untracked Dependencies)NextOSS-RISK-8 未成熟なソフトウェア (Immature Software)

Last updated 1 year ago

説明:

コンポーネントやプロジェクトにはライセンスがまったくないことや、ダウンストリームの利用者による使用目的にそぐわないライセンスや、ダウンストリームユーザーによって要件を満たしていないまたは満たすことができないライセンスである可能性があります。

コンポーネントはダウンストリームでの使用とは無関係に、ライセンス条項に違反することもあります。たとえば、GPL としてライセンスされているが、オリジナル (4 条項) の BSD ライセンスでライセンスされているファイルを含んでいる場合です。

コンポーネントは FedRAMP 認証や輸出管理などに関連する法規制要件に抵触する可能性もあります。

ライセンス条項に従ってコンポーネントを使用することが重要です。ライセンスがなかったり、準拠していない使用は、著作権やライセンスの侵害につながる可能性があり、著作権者は法的措置を講じることができます。

法規制要件に違反すると、特定の業種や市場への対応を強制されたり妨げられる可能性があります。

事例:

  1. (2008)

対応:

  1. 開発中のソフトウェアにおけるコンポーネントの使用目的に対して許容可能なライセンスを特定します。

    これは、たとえば、コンポーネントのリンク方法、ソフトウェアのデプロイメントモデル (クラウド、オンプレミス/デバイス)、意図する配布スキームなどを考慮すべきです。

  2. オープンソースライセンスに記載されている要件を遵守します。

  3. ライセンスのないコンポーネントは避けます。

  4. 複数のライセンスや互換性のないライセンスがないかコンポーネントファイルを精査します。

参照:

Free Software Foundation, Inc. v. Cisco Systems, Inc.
OSI Approved Licenses
SPDX License List
REUSE
Various Licenses and Comments about Them
Fossology