擁抱開源：企業應如何善用開源技術，才能得其利而防其弊 - 加強版

Slide 1

Slide 1 text

企業應如何善用開源技術才能得其利而防其弊曾義峰 (Ant) yftzeng@gmail.com 2021-06-18 擁抱開源加強版

Slide 2

Slide 2 text

2/151 曾義峰 (aka Ant) ➔ TGO (Top Geeks' Organization) Networks 創始委員及現任學習委員 ➔ 臺灣資安社群 CHROOT 成員 ➔ 曾任資安顧問及電子票證公司顧問 ➔ 前 LeadBest Consulting Group 首席執行顧問 ➔ 開源人年會 (COSCUP) 2009 / 2012 / 2020 講師 ➔ 臺灣駭客年會 (HITCON) 2008 及 2009 講師 ➔ 臺灣 Modern Web 2015 ~ 2020 講師

Slide 3

Slide 3 text

3/151 曾義峰 (aka Ant) ➔ 研究自由開源授權十年有餘。 ➔ 曾於英業達 (Inventec) 及廣達電腦 (Quanta) 等教授自由軟體授權相關課程。 ➔ 於 2011 年 OSDC( 開源開發者大會 ) 分享《開源專案之授權自動化分析工具》 ➔ 於 2018 年 COSCon( 中國開源年會 ) 分享《谈开源授权态样如何融入 DevOps 之持续整合》相關文章 2011-03-07 淺談 App Store 與開放源碼軟體授權的案例： VLC 的合法上架與 Miro Video Converter 的非法下架 https://www.openfoundry.org/tw/enterprise-application/8274 2011-03-15 淺談將開放源碼軟體改名並違法販售： Butterfly Media on Amazon https://www.openfoundry.org/tw/enterprise-application/8275 2011-07-12 從 Red Hat 變更 RHEL 釋出方式來探討 GPL 對原始碼範圍的定義 https://www.openfoundry.org/tw/enterprise-application/8393 2011-08-17 開放原始碼的相容與互斥性：從 Ruby 社群變更開放原始碼授權來探討 https://www.openfoundry.org/tw/enterprise-application/8419 2012-03-03 談 GPL 軟體原始碼定義及瑕疵修復方式－從 GNU Emacs 違反 GPL 授權條款一事說起 https://www.openfoundry.org/en/news/8629 2012-03-08 授權流言終結者 #1 ： VirtualBox 授權分析與探討 https://www.openfoundry.org/tw/enterprise-application/8636 2012-03-29 授權流言終結者 #2 ： The JSON License 的分析與探討 https://www.openfoundry.org/tw/enterprise-application/8657 2012-04-23 授權流言終結者 #3 ： jQuery 授權的分析與探討 https://www.openfoundry.org/en/news/8680 2012-04-29 授權流言終結者 #4 ： MongoDB 授權的分析與探討（雙重授權模式 2.0 ） https://www.openfoundry.org/enterprise-application/8687 2012-06-26 授權流言終結者 #5 ： Neo4j 授權的分析與探討 https://www.openfoundry.org/enterprise-application/8738

Slide 4

Slide 4 text

4/151 此次以 Q&A 輕鬆的方式，探討幾項重要的企業與開源議題。包括 ➔ Linux Kernel 的特殊性 ➔ 「雲」與「端」在企業開源授權應用的差異 (Android & Cloud) ➔ MongoDB 授權的改變 ➔ Elastic 與 Amazon 在 Elasticsearch 上的授權爭議 ➔ Grafana Labs 與 Amazon 的授權合作模式等。有助於應對企業開源應用的質疑、化解採用時的疑慮、釐清客戶與 AWS 開源授權的權責。若時間有餘，亦會淺談如何利用 AWS 雲服務搭建彈性符合 GDPR/CCPA 規定之應用，搶下國際大廠尚有空缺的這塊市場。

Slide 5

Slide 5 text

5/151 Security (Hacker) Law (Intellectual Property) Technology (Software Dev.) 衍生著作散布權專利權 ... 靜態連結動態連結虛擬化 ... 逆向分析技術回避 ...

Slide 6

Slide 6 text

6/151 2006 年開始投入自由開源授權條款分析 15+ years

Slide 7

Slide 7 text

7/151 非常早期 (2008) 投入研究 Android 源碼授權的樣態不久 Google 就被 Oracle 告上

Slide 8

Slide 8 text

8/151 最近華為推出鴻蒙 2.0 (Harmony OS)

Slide 9

Slide 9 text

9/151 鴻蒙不會是最後，開源的力量將會迎來更多衍生作品

Slide 10

Slide 10 text

10/151 Q0 企業幾個常見的自由 / 開源軟體授權問題 ☑ 服務上雲是否會增加 ( 或避免 ) 授權疑慮及爭議？ ☑ 許多雲服務背後都是開源軟體，使用上是否會有疑慮？ ☑ 可否推薦開源授權風險分析顧問或工具？ ☑ 如何確保內部或協力公司的產出無此風險？ ☑ 我收到 ( 開源 ) 侵權警告信了，怎麼辦？ ☑ 我不想依約開源，可以怎麼規避？

Slide 11

Slide 11 text

11/151 Ref: https://github.com/facebook/react

Slide 12

Slide 12 text

12/151 Ref: https://opensource.org/licenses/MIT ≈ 167 words

Slide 13

Slide 13 text

13/151 Ref: https://opensource.org/licenses/Apache-2.0 ≈ 1,582 words

Slide 14

Slide 14 text

14/151 Ref: https://opensource.org/licenses/GPL-3.0 ≈ 1,582 words ≈ 5,608 words

Slide 15

Slide 15 text

15/151 0BSD BSD-1-Clause BSD-2-Clause BSD-3-Clause AFL-3.0 APL-1.0 Apache-1.1 Apache-2.0 APSL-2.0 Artistic-1.0 Artistic-2.0 AAL BSL-1.0 CECILL-2.1 CDDL-1.0 CPAL-1.0 CPL-1.0 CATOSL-1.1 CAL-1.0 EPL-1.0 EPL-2.0 EUPL-1.2 Fair AGPL-3.0 GPL-2.0 GPL-3.0 LGPL-2.1 LGPL-3.0 Intel MS-PL MS-RL MIT MPL-1.0 MPL-1.1 MPL-2.0 NASA-1.3 Nokia OSL-1.0 OSL-2.1 OSL-3.0 QPL-1.0 RPSL-1.0 Sleepcat PHP-3.0 PostgreSQL Python-2.0 ZPL-2.0 Zlib Ref: https://opensource.org/licenses/alphabetical

Slide 16

Slide 16 text

16/151 0BSD BSD-1-Clause BSD-2-Clause BSD-3-Clause AFL-3.0 APL-1.0 Apache-1.1 Apache-2.0 APSL-2.0 Artistic-1.0 Artistic-2.0 AAL BSL-1.0 CECILL-2.1 CDDL-1.0 CPAL-1.0 CPL-1.0 CATOSL-1.1 CAL-1.0 EPL-1.0 EPL-2.0 EUPL-1.2 Fair AGPL-3.0 GPL-2.0 GPL-3.0 LGPL-2.1 LGPL-3.0 Intel MS-PL MS-RL MIT MPL-1.0 MPL-1.1 MPL-2.0 NASA-1.3 Nokia OSL-1.0 OSL-2.1 OSL-3.0 QPL-1.0 RPSL-1.0 Sleepcat PHP-3.0 PostgreSQL Python-2.0 ZPL-2.0 Zlib Ref: https://opensource.org/licenses/alphabetical

Slide 17

Slide 17 text

17/151 0BSD BSD-1-Clause BSD-2-Clause BSD-3-Clause AFL-3.0 APL-1.0 Apache-1.1 Apache-2.0 APSL-2.0 Artistic-1.0 Artistic-2.0 AAL BSL-1.0 CECILL-2.1 CDDL-1.0 CPAL-1.0 CPL-1.0 CATOSL-1.1 CAL-1.0 EPL-1.0 EPL-2.0 EUPL-1.2 Fair AGPL-3.0 GPL-2.0 GPL-3.0 LGPL-2.1 LGPL-3.0 Intel MS-PL MS-RL MIT MPL-1.0 MPL-1.1 MPL-2.0 NASA-1.3 Nokia OSL-1.0 OSL-2.1 OSL-3.0 QPL-1.0 RPSL-1.0 Sleepcat PHP-3.0 PostgreSQL Python-2.0 ZPL-2.0 Zlib Ref: https://opensource.org/licenses/alphabetical 目前單是 OSI( 開放源碼促進會 ) 通過的條款就達 113 種

Slide 18

Slide 18 text

18/151 Ref: https://resources.whitesourcesoftware.com/blog-whitesource/open-source-licenses-trends-and-predictions

Slide 19

Slide 19 text

19/151 Q1 Linux Kernel 是何種自由 / 開放源碼軟體授權？ ☐ MIT ☐ BSD-3-Clause ☐ Apache-2.0 ☐ GPL-2.0 ☐ GPL-3.0 ☐ 其它 ______________________________

Slide 20

Slide 20 text

20/151 Myth 1 Big software companies don’t use Open Source 大型軟體公司不使用開源軟體

Slide 21

Slide 21 text

21/151 Ref: https://www.theregister.co.uk/2001/06/02/ballmer_linux_is_a_cancer/

Slide 22

Slide 22 text

Slide 23

Slide 23 text

Slide 24

Slide 24 text

Slide 25

Slide 25 text

Slide 26

Slide 26 text

Slide 27

Slide 27 text

Slide 28

Slide 28 text

28/151 Ref: https://cloudblogs.microsoft.com/windowsserver/2015/05/06/microsoft-loves-linux/

Slide 29

Slide 29 text

29/151 Q1 Linux Kernel 是何種自由 / 開放源碼軟體授權？ ☐ MIT ☐ BSD-3-Clause ☐ Apache-2.0 ☐ GPL-2.0 ☐ GPL-3.0 ☐ 其它 ______________________________

Slide 30

Slide 30 text

30/151 Q1 Linux Kernel 是何種自由 / 開放源碼軟體授權？ ☐ MIT ☐ BSD-3-Clause ☐ Apache-2.0 ☐ GPL-2.0 ☐ GPL-3.0 ☑ 其它 GPL-2.0 + User space exception

Slide 31

Slide 31 text

31/151 Q2 Android 主要是何種自由 / 開放源碼軟體授權？ ☐ MIT ☐ Apache-2.0 ☐ GPL-2.0 (with User space exception) ☐ Apache-2.0 + GPL-2.0 (with User space exception) ☐ Apache-2.0 + GPL-3.0

Slide 32

Slide 32 text

32/151 Myth 2 You can't make money from Open Source 你無法從開源賺錢

Slide 33

Slide 33 text

33/151 Ref: https://www.redhat.com/en/about/press-releases/ibm-acquire-red-hat-completely-changing-cloud-landscape-and-becoming-worlds-1-hybrid-cloud-provider IBM 以 340 億美元收購 Red Hat (2018-10-28)

Slide 34

Slide 34 text

34/151 Ref: https://www.redhat.com/en/about/press-releases/ibm-acquire-red-hat-completely-changing-cloud-landscape-and-becoming-worlds-1-hybrid-cloud-provider

Slide 35

Slide 35 text

35/151 Ref: https://www.f5.com/company/news/press-releases/f5-acquires-nginx-to-bridge-netops-devops F5 Networks 以 6.7 億美元收購 NGINX (2019-03-11)

Slide 36

Slide 36 text

36/151 Ref: https://www.f5.com/company/news/press-releases/f5-acquires-nginx-to-bridge-netops-devops

Slide 37

Slide 37 text

37/151 Ref: https://seekingalpha.com/symbol/ESTC Elastic 市值 60 億美元 ElasticSearch (2019-05-31)

Slide 38

Slide 38 text

38/151 Ref: https://seekingalpha.com/symbol/ESTC

Slide 39

Slide 39 text

39/151

Slide 40

Slide 40 text

40/151

Slide 41

Slide 41 text

41/151

Slide 42

Slide 42 text

42/151

Slide 43

Slide 43 text

43/151 Q2 Android 主要是何種自由 / 開放源碼軟體授權？ ☐ MIT ☐ Apache-2.0 ☐ GPL-2.0 (with User space exception) ☐ Apache-2.0 + GPL-2.0 (with User space exception) ☐ Apache-2.0 + GPL-3.0

Slide 44

Slide 44 text

44/151 Q2 Android 主要是何種自由 / 開放源碼軟體授權？ ☐ MIT ☐ Apache-2.0 ☐ GPL-2.0 (with User space exception) ☑ Apache-2.0 + GPL-2.0 (with User space exception) ☐ Apache-2.0 + GPL-3.0

Slide 45

Slide 45 text

45/151 Q3 所有自由 / 開源軟體授權的最低遵循義務為何？ ☐ 沒有義務，且可以修改 / 去除原著作權聲明 ☐ 需保留著作權聲明，且使用若出事可向原作者求償 ☐ 需保留著作權聲明，且使用若出事不可向原作者求償

Slide 46

Slide 46 text

46/151 Myth 3 Open Source has no Copyright 開源軟體沒有著作權

Slide 47

Slide 47 text

47/151 Ref: https://opensource.org/licenses/MIT MIT License

Slide 48

Slide 48 text

48/151 Ref: https://opensource.org/licenses/BSD-3-Clause 3-Clause BSD License

Slide 49

Slide 49 text

49/151 Ref: https://opensource.org/licenses/Apache-2.0 Apache License 2.0

Slide 50

Slide 50 text

50/151 Ref: https://opensource.org/licenses/GPL-3.0 GPL 3.0

Slide 51

Slide 51 text

51/151 Ref: https://opensource.org/licenses/GPL-3.0 GPL 3.0 眾裡尋他千百度，驀然回首，重點卻在燈火闌珊處

Slide 52

Slide 52 text

52/151

Slide 53

Slide 53 text

53/151 Q3 所有自由 / 開源軟體授權的最低遵循義務為何？ ☐ 沒有義務，且可以修改 / 去除原著作權聲明 ☐ 需保留著作權聲明，且使用若出事可向原作者求償 ☐ 需保留著作權聲明，且使用若出事不可向原作者求償

Slide 54

Slide 54 text

54/151 Q3 所有自由 / 開源軟體授權的最低遵循義務為何？ ☐ 沒有義務，且可以修改 / 去除原著作權聲明 ☐ 需保留著作權聲明，且使用若出事可向原作者求償 ☑ 需保留著作權聲明，且使用若出事不可向原作者求償

Slide 55

Slide 55 text

55/151 Q4 AGPL-3.0 授權的互惠性 / 感染性要求包括哪些行為？ ☐ 指令輸出 ☐ 靜態連結 ☐ 動態連結 ☐ 網路傳輸

Slide 56

Slide 56 text

56/151 Myth 4 Open Source is only about Copyright 開源軟體只涉及著作權

Slide 57

Slide 57 text

57/151 Ref: https://opensource.org/licenses/Apache-2.0 Apache License 2.0

Slide 58

Slide 58 text

58/151 Ref: https://opensource.org/licenses/Apache-2.0 Apache License 2.0

Slide 59

Slide 59 text

59/151 Ref: https://opensource.org/licenses/GPL-3.0 GPL 3.0

Slide 60

Slide 60 text

60/151 Ref: https://opensource.org/licenses/GPL-3.0 GPL 3.0

Slide 61

Slide 61 text

61/151

Slide 62

Slide 62 text

62/151 Q4 AGPL-3.0 授權的互惠性 / 感染性要求包括哪些行為？ ☐ 指令輸出 ☐ 靜態連結 ☐ 動態連結 ☐ 網路傳輸

Slide 63

Slide 63 text

63/151 Q4 AGPL-3.0 授權的互惠性 / 感染性要求包括哪些行為？ ☐ 指令輸出 ☑ 靜態連結 ☑ 動態連結 ☑ 網路傳輸

Slide 64

Slide 64 text

64/151 Q5 最新版本 MongoDB 資料庫的授權為下列何者？ ☐ MIT ☐ Apache-2.0 ☐ GPL-3.0 ☐ AGPL-3.0 ☐ SSPL (Server Side Public License)

Slide 65

Slide 65 text

65/151 Myth 5 Open Source (licenses) are revocable 開源軟體 ( 授權 ) 可以撤銷

Slide 66

Slide 66 text

66/151 Ref: https://opensource.org/licenses/Apache-2.0 Apache License 2.0

Slide 67

Slide 67 text

67/151 Ref: https://opensource.org/licenses/GPL-3.0 GPL 3.0

Slide 68

Slide 68 text

68/151 Ref: https://opensource.org/licenses/MIT Ref: https://opensource.org/licenses/BSD-3-Clause MIT License 3-Clause BSD License

Slide 69

Slide 69 text

69/151 Ref: https://opensource.org/licenses/MIT Ref: https://opensource.org/licenses/BSD-3-Clause MIT License 3-Clause BSD License 多數開源授權條款內容未提及是否可以撤銷，但根據美國聯邦巡迴法院 Jacobsen v. Katzer (2008) 案例判決，除非違反條款內容時方可撤銷。

Slide 70

Slide 70 text

70/151 Q5 最新版本 MongoDB 資料庫的授權為下列何者？ ☐ MIT ☐ Apache-2.0 ☐ GPL-3.0 ☐ AGPL-3.0 ☐ SSPL (Server Side Public License)

Slide 71

Slide 71 text

71/151 Q5 最新版本 MongoDB 資料庫的授權為下列何者？ ☐ MIT ☐ Apache-2.0 ☐ GPL-3.0 ☐ AGPL-3.0 ☑ SSPL (Server Side Public License)

Slide 72

Slide 72 text

72/151 Q6 自由 / 開放源碼軟體授權涉及下列哪幾種智財權？ ☐ 著作權 ☐ 商標權 ☐ 專利權 ☐ 營業秘密 ☐ 積體電路布局權

Slide 73

Slide 73 text

73/151 Myth 6 I want / can avoid Open source software 我想要 / 能夠避免使用開源軟體

Slide 74

Slide 74 text

74/151 軟體開發模式電腦程式 ( 關卡設計 ) 電腦程式 ( 關卡設計 ) 美術圖案 ( 藝術設計 ) 電腦程式 ( 遊戲引擎 ) 套裝銷售 B D A 美術圖案 ( 藝術設計 ) 採購契約自由 / 開放源碼軟體契約電腦程式 ( 遊戲引擎 ) 可能需要提供作者顯名宣告，甚至提供電腦程式原始碼等義務

Slide 75

Slide 75 text

75/151 軟體開發模式案例一 :Linksys 2003 年 3 月 Cisco 正式宣布收購 Linksys 。此事公開後，使得自由軟體社群紛紛討論 Linksys WRT54G 是否有違反 GPL 授權規定。經過社群的初步審核後，發現其核心使用 Linux kernel 2.4.5 及其它的 GPL 授權程式，如 Busybox 、 CramFS 等。因此，自由軟體基金會 (Free Software Foundation) 開始介入調查，經由溝通後，使得 Cisco 終於釋出 Linksys WRT54G 的程式原始碼。

Slide 76

Slide 76 text

76/151 軟體開發模式案例一 :Linksys 其它公司基於採購契約提供電腦程式基於採購契約提供電腦程式套裝銷售

Slide 77

Slide 77 text

77/151 軟體開發模式案例一 :Linksys 其它公司基於採購契約提供電腦程式基於採購契約提供電腦程式收購套裝銷售

Slide 78

Slide 78 text

78/151 軟體開發模式案例一 :Linksys 其它公司基於採購契約提供電腦程式基於採購契約提供電腦程式收購你的 Linksys WRT54G 產品中含有 GPL 授權程式請將該產品所有程式的原始碼公開套裝銷售

Slide 79

Slide 79 text

79/151 軟體開發模式案例一 :Linksys 其實 Cisco/Linksys 對於違反 GPL 授權規定都不知悉，因為違反的程式皆由上游廠商 Broadcom 與外包廠商所取得。這也反映了程式取得來源確認的重要性。

Slide 80

Slide 80 text

80/151 軟體開發模式案例二 : 壹網樂 - 網樂通其它公司基於契約提供電腦程式套裝租出

Slide 81

Slide 81 text

81/151 軟體開發模式案例二 : 壹網樂 - 網樂通其它公司基於契約提供電腦程式套裝租出你的網樂通產品中含有 GPL 授權程式，請將該產品程式的原始碼公開。台灣自由 / 開放源碼社群

Slide 82

Slide 82 text

82/151

Slide 83

Slide 83 text

83/151 軟體開發模式案例三 : Ameriprise vs. Versata 1. Ameriprise 採購 Versata 軟體，並額外取得軟體修改權 ( 客製權 ) 。 2. Ameriprise 請外包廠商 Infosys 客製化，但開發的產品與 Versata 類似。 3. Versata 怒對 Ameriprise 提起訴訟。 4. Ameriprise 隨之反擊，並聲稱 Versata 軟體中含有 GPL-2.0 的 XML parser 程式。 5. 該程式著作屬於 XimpleWare ，因此 XimpleWare 對 Ameriprise 、 Versata 及 Versata 的客戶提起侵權訟訴。 Ref: http://www.protecode.com/complex-legal-proceedings-may-far-reaching-effects-gpl-software-licensing/

Slide 84

Slide 84 text

84/151 軟體開發必須面對的真相

Slide 85

Slide 85 text

85/151 軟體開發必須面對的真相如果沒有了 Google ( 搜尋引擎 ) 很多軟體工程師就無法辦事了

Slide 86

Slide 86 text

86/151 軟體開發必須面對的真相 C + GUI + library

Slide 87

Slide 87 text

87/151

Slide 88

Slide 88 text

88/151

Slide 89

Slide 89 text

89/151 程式開發必須面對的真相 Download 抄 Combine

Slide 90

Slide 90 text

90/151

Slide 91

Slide 91 text

91/151 程式開發必須面對的真相大多沒有想過，那些抄的、改的、用的程式可能讓公司的專案、程式、產品違法及賠償

Slide 92

Slide 92 text

92/151 程式開發必須面對的真相這就好像在網路隨便抓圖片，然後直接放在產品裡面販售出去一樣可能讓公司的專案、程式、產品違法及賠償

Slide 93

Slide 93 text

93/151 程式設計師必須面對的真相自由 / 開放源碼軟體無所不在

Slide 94

Slide 94 text

94/151 自由開源軟體

Slide 95

Slide 95 text

95/151 mean lang:c

Slide 96

Slide 96 text

96/151

Slide 97

Slide 97 text

97/151

Slide 98

Slide 98 text

98/151

Slide 99

Slide 99 text

99/151

Slide 100

Slide 100 text

100/151

Slide 101

Slide 101 text

101/151 沒有著作權聲明，甚至不確定該著作的來源 ( 他也是抄來的 )

Slide 102

Slide 102 text

102/151 Q6 自由 / 開放源碼軟體授權涉及下列哪幾種智財權？ ☐ 著作權 ☐ 商標權 ☐ 專利權 ☐ 營業秘密 ☐ 積體電路布局權

Slide 103

Slide 103 text

103/151 Q6 自由 / 開放源碼軟體授權涉及下列哪幾種智財權？ ☑ 著作權 ☑ 商標權 ☑ 專利權 ☐ 營業秘密 ☐ 積體電路布局權

Slide 104

Slide 104 text

104/151 Q7 Firefox 是自由 / 開放源碼軟體，得以自由使用其商標？ ☐ 是 ☐ 否

Slide 105

Slide 105 text

105/151 Myth 7 My lawyer can solve Open Source License problem 我的律師可以解決開源軟體授權問題

Slide 106

Slide 106 text

106/151 Ref: https://opensource.org/licenses/category 目前單是 OSI( 開放源碼促進會 ) 通過的條款就達 113 種還不包括未通過的又常見的，例如 Ruby License

Slide 107

Slide 107 text

107/151 Ref: https://opensource.org/licenses/category

Slide 108

Slide 108 text

108/151 Ref: https://opensource.org/licenses/category 更麻煩的還是授權彼此間的交互相容性

Slide 109

Slide 109 text

109/151 程式交互性 A 程式授權 B 程式授權 A 程式授權 B 程式授權函式呼叫 / 靜態連結 / 動態連結 / 網路交互

Slide 110

Slide 110 text

110/151 程式交互性 B 程式授權 ( 互惠 / 感染 ) A 程式授權 B 程式授權函式呼叫 / 靜態連結 / 動態連結 / 網路交互

Slide 111

Slide 111 text

111/151 程式交互性 ( 互斥 / 不相容 ) A 程式授權 B 程式授權函式呼叫 / 靜態連結 / 動態連結 / 網路交互

Slide 112

Slide 112 text

112/151 GPL-2.0 與 GPL-3.0 是否相容？ GPL-2.0 與 AGPL-3.0 是否相容？ GPL-3.0 與 AGPL-3.0 是否相容？ LGPL-2.1 與 GPL-2.0 是否相容？ LGPL-3.0 與 GPL-2.0 是否相容？ MIT 與 GPL-2.0 是否相容？ Apache-2.0 與 GPL-2.0 是否相容？

Slide 113

Slide 113 text

113/151 GPL-2.0 與 GPL-3.0 是否相容？ GPL-2.0 與 AGPL-3.0 是否相容？ GPL-3.0 與 AGPL-3.0 是否相容？ LGPL-2.1 與 GPL-2.0 是否相容？ LGPL-3.0 與 GPL-2.0 是否相容？ MIT 與 GPL-2.0 是否相容？ Apache-2.0 與 GPL-2.0 是否相容？ GPL-3.0 / AGPL-3.0 LGPL-2.1 / GPL-2.0 GPL-2.0

Slide 114

Slide 114 text

114/151 Q7 Firefox 是自由 / 開放源碼軟體，得以自由使用其商標？ ☐ 是 ☐ 否

Slide 115

Slide 115 text

115/151 Q7 Firefox 是自由 / 開放源碼軟體，得以自由使用其商標？ ☐ 是 ☑ 否 iceweasel Firefox

Slide 116

Slide 116 text

116/151 Q8 Apache-2.0 的軟體，作者隨其上的專利可自由施行？ ☐ 是 ☐ 否

Slide 117

Slide 117 text

117/151 Myth 8 Open source (licenses) are hard to understand 開源 ( 授權 ) 很難理解

Slide 118

Slide 118 text

118/151 互惠性 : 三大分類 ( 舊 ) License scope – Reciprocal ( 互惠性 ) Low High (GPLed) GPL LGPL AGPL (MPLed) MPL EPL (BSDed) BSD MIT Apache Gift license Sharing-with-files Sharing-with-rules Give me credit Give me fixes Give me everything

Slide 119

Slide 119 text

119/151 互惠性 : 四大分類 License scope – Reciprocal ( 互惠性 ) GPL LGPL MPL EPL BSD MIT Apache Gift license Sharing with files Sharing with rules Give me credit Give me fixes Give me everything AGPL Sharing with network Give me everything even in network Low High

Slide 120

Slide 120 text

120/151 Ref: https://tldrlegal.com/

Slide 121

Slide 121 text

121/151 Copyright (C) 2015 Ref: http://www.dwheeler.com/essays/floss-license-slide.html Creative Commons “Attribution-Share Alike 3.0 License”; the GNU Free Documentation License; or the GNU GPL (version 2 or later)

Slide 122

Slide 122 text

Slide 123

Slide 123 text

123/151 Copyright (C) 2015 Ref: https://www.gnu.org/licenses/quick-guide-gplv3.html 但這兩張圖無法解決所有問題，例如不包括 PHP/Python/Ruby 授權等，交互未區別函式呼叫 / 靜態連結 / 動態連結 / 網路交互等。 Ref: http://www.dwheeler.com/essays/floss-license-slide.html Creative Commons “Attribution-Share Alike 3.0 License”; the GNU Free Documentation License; or the GNU GPL (version 2 or later)

Slide 124

Slide 124 text

124/151 此領域需要懂法律智財權，加上瞭解工程技術者，將授權條款的文字，解析為工程技術上的實施與流程 Open Source License Tech Lawyer

Slide 125

Slide 125 text

125/151 更勝一般開源授權技術律師，能看透並提出合法規避者 ( 隨時可搬出 7 種以上的鑽法律漏洞合法規避者 ) Open Source License Hacker

Slide 126

Slide 126 text

126/151 Security (Hacker) Law (Intellectual Property) Technology (Software Dev.) 衍生著作散布權專利權 ... 靜態連結動態連結虛擬化 ... 逆向分析技術回避 ...

Slide 127

Slide 127 text

127/151 Q8 Apache-2.0 的軟體，作者隨其上的專利可自由施行？ ☐ 是 ☐ 否

Slide 128

Slide 128 text

128/151 Q8 Apache-2.0 的軟體，作者隨其上的專利可自由施行？ ☑ 是 ☐ 否

Slide 129

Slide 129 text

129/151 Q8 Apache-2.0 的軟體，作者隨其上的專利可自由施行？ ☑ 是 ☐ 否同樣地，你是否有注意到，若你的軟體依 Apache-2.0 開源，其上之專利亦需自由共享。

Slide 130

Slide 130 text

130/151 Q9 Elasticsearch 的最新授權條款為何？為何變更？ ☐ MIT ☐ Apache-2.0 ☐ GPL-2.0 ☐ GPL-3.0 ☐ AGPL-3.0 ☐ 其它 ______________________________

Slide 131

Slide 131 text

131/151 Elastic CEO 對 Amazon 的不滿 2021 年 1 月 15 日， Elastic 創始人 Shay Banon 在公司官網宣佈，從 Elastic 7.11 版本之後， Elasticsearch 與 Kibana 的自由開放源碼授權，將從原本的 Apache-2.0 變更為 SSPL (Server Side Public License) 與 Elastic License ( 商業付費授權 ) 的雙重授權模式。 Shay 同時表示，這麼做的原因是希望公司與開發社群維持良好「公開」互動的初衷，不要像一些雲端服務公司 ( 文章特別指名 Amazon) 拿取 Elasticsearch 與 Kibana 的付出心血與貢獻來營利，卻沒有回饋。對於使用者而言，比較關心的是『當 Elastic 的 Elasticsearch 及 Kibana 的軟體授權協議更改後，對我有什麼影響？未來是不是要付費了？』；對於創業或行銷領域者，比較關心的是『自由開放源碼真的能賺錢嗎？怎麼樣的商業模式 ( 或稱為營利模式 ) 才是對的？』；對於自由開源授權領域者，討論更本質的問題，『自由開放源碼有無商業模式？』。

Slide 132

Slide 132 text

132/151 SSPL 是什麼？只要使用 Elasticsearch 或 Kibana 時，連帶將其相關服務的程式 ( 不管這些程式屬於你的，或是任何第三方 ) ，經實體或網路提供服務者，都需要依 SSPL 授權開放原始碼並提供任何人免費使用，否則就只能改採用商業付費授權的 Elastic License 。這些基於 Elasticsearch 或 Kibana 的「相關服務的程式」，根據 SSPL 第 13 條所示，包括但不限於， ☐ management software ☐ user interfaces ☐ application program interfaces ☐ automation software ☐ monitoring software ☐ backup software ☐ storage software ☐ hosting software … 若你原本排斥 GPL 、 AGPL ，那麼你會更不會喜歡 SSPL 。

Slide 133

Slide 133 text

133/151 Q9 Elasticsearch 的最新授權條款為何？為何變更？ ☐ MIT ☐ Apache-2.0 ☐ GPL-2.0 ☐ GPL-3.0 ☐ AGPL-3.0 ☐ 其它 ______________________________

Slide 134

Slide 134 text

134/151 Q9 Elasticsearch 的最新授權條款為何？為何變更？ ☐ MIT ☐ Apache-2.0 ☐ GPL-2.0 ☐ GPL-3.0 ☐ AGPL-3.0 ☑ 其它 SSPL (Server Side Public License)_

Slide 135

Slide 135 text

135/151 Q9 Elasticsearch 的最新授權條款為何？為何變更？ ☐ MIT ☐ Apache-2.0 ☐ GPL-2.0 ☐ GPL-3.0 ☐ AGPL-3.0 ☑ 其它 SSPL (Server Side Public License)_ 請問 AWS 依原 Elastcisearch 開源的專案名稱是什麼？

Slide 136

Slide 136 text

136/151 Q9 Elasticsearch 的最新授權條款為何？為何變更？ ☐ MIT ☐ Apache-2.0 ☐ GPL-2.0 ☐ GPL-3.0 ☐ AGPL-3.0 ☑ 其它 SSPL (Server Side Public License)_ 請問 AWS 依原 Elastcisearch 開源的專案名稱是什麼？ Open Distro https://opendistro.github.io/for-elasticsearch/

Slide 137

Slide 137 text

137/151 Q9 Elasticsearch 的最新授權條款為何？為何變更？ ☐ MIT ☐ Apache-2.0 ☐ GPL-2.0 ☐ GPL-3.0 ☐ AGPL-3.0 ☑ 其它 SSPL (Server Side Public License)_ 請問 Open Distro 的授權是什麼？

Slide 138

Slide 138 text

138/151 Q9 Elasticsearch 的最新授權條款為何？為何變更？ ☐ MIT ☐ Apache-2.0 ☐ GPL-2.0 ☐ GPL-3.0 ☐ AGPL-3.0 ☑ 其它 SSPL (Server Side Public License)_ 請問 Open Distro 的授權是什麼？ Apache-2.0 與原 Elasticsearch 授權相同

Slide 139

Slide 139 text

139/151 Q10 Grafana 的最新授權條款為何？為何變更？與 AWS 有關？ ☐ MIT ☐ Apache-2.0 ☐ GPL-3.0 ☐ AGPL-3.0 ☐ SSPL ☐ 其它 ______________________________

Slide 140

Slide 140 text

140/151 Grafana Labs 主力軟體授權異動 Grafana Labs 於 2021 年 4 月 20 日宣布旗下 Grafana 、 Loki 及 Tempo 三項主力軟體進行授權異動，從 Apache-2.0 變更為 AGPL-3.0 。這是公司從 2021 年初開始，歷經內部多次爭論但充份討論後的最終決定。同時表示， AGPL-3.0 與 Apache-2.0 同為 OSI 核可的授權條款，雖 AGPL-3.0 帶給社群較多「約束」，但這種回饋顯得更為「公平」。另一方面，即使 MongoDB 推廣的 SSPL 授權可能更能「保護」 Grafana 公司，但考量「約束」和「自由」的權衡後，仍決定採用 AGPL-3.0 。與 ElasticSearch 事件不同的是， ElasticSearch 與 Amazon/AWS 因鬧翻而引起其授權變更，此次 Grafana 並沒有提及有類似的合作問題。雖然 AWS 同 ElasticSearch 有託管 Grafana 雲服務且最近才推出 Preview 版本，但 Grafana 去年底 (2020/12) 就有在其官方網站上宣達 Amazon Managed Service for Grafana 此服務，並對此合作模式感到愉快。

Slide 141

Slide 141 text

141/151 Q10 Grafana 的最新授權條款為何？為何變更？與 AWS 有關？ ☐ MIT ☐ Apache-2.0 ☐ GPL-3.0 ☐ AGPL-3.0 ☐ SSPL ☐ 其它 ______________________________

Slide 142

Slide 142 text

142/151 Q10 Grafana 的最新授權條款為何？為何變更？與 AWS 有關？ ☐ MIT ☐ Apache-2.0 ☐ GPL-3.0 ☑ AGPL-3.0 ☐ SSPL ☐ 其它 ______________________________

Slide 143

Slide 143 text

143/151 最後

Slide 144

Slide 144 text

144/151 Open source license checker in DevOps

Slide 145

Slide 145 text

145/151 在全球隱私法加嚴的現代，還會有更多技術挑戰 GDPR( 歐盟 ) / CCPA( 美國加州 ) / LGPD( 巴西 ) / 台灣 ( 個資法 ) / ...

Slide 146

Slide 146 text

146/151 這是與 AWS Partner 合作針對跨國企業提出的解決方案

Slide 147

Slide 147 text

147/151 Security Marketing Compliance needs pen testing red team regulations controls standards unit / integration / performance test unit / integration / performance test scheduling unit / integration / performance test scheduling schedule pipeline Develop

Slide 148

Slide 148 text

148/151 Security, Open source license, Regulation, Law, ... 未來企業將需要對法遵 / 合規 (Compliance) 投入更多資源

Slide 149

Slide 149 text

149/151 隱私法是以個資為中心的保護規則，不論公司大小都要遵守。凡個人資料之蒐集、處理及利用，皆需符合各國個資法相關規定。

Slide 150

Slide 150 text

150/151 隱私法是以個資為中心的保護規則，不論公司大小都要遵守。凡個人資料之蒐集、處理及利用，皆需符合各國個資法相關規定。 DevOps ➤ DevSecOps DevRegOps ➤ Compliance / Privacy

Slide 151

Slide 151 text

151/151 yftzeng@gmail.com https://www.facebook.com/yftzeng.tw https://twitter.com/yftzeng