오픈소스라이선스이해와관리 2016.08.25 블랙덕소프트웨어코리아 2016. Black Duck Software Korea all rights reserved.
CONTENTS 1. 오픈소스동향 2. 오픈소스개념및라이선스이해 3. 오픈소스라이선스관리와위반사례 4. Black Duck Suite 1 2016. Black Duck Software Korea all rights reserved.
1. 오픈소스동향 2 2016. Black Duck Software Korea all rights reserved.
오픈소스혁명 Android(Google) ios(apple) ChromeOS(Google) Tizen(Linux Foundation, LiMo+MeeGo) GENIVI Alliance : Open In Vehicle Infotainment 플랫폼 Tajo 3 2016. Black Duck Software Korea all rights reserved.
오픈소스의활용 오픈소스는소스코드, 라이브러리, 유틸리티, 툴, 완제품수준에이르기까지다양한방법으로활용될수있음 특히, 다양한오픈소스를활용함에있어서는결합형태에따라소스코드공개범위가상이할수있어결합형태에따른라이 선스호환성검토를수행해야하며, 라이선스이슈는보통소스코드와라이브러리수준의결합형태에서많이발생됨 AGPL은완제품수준에서이슈가발생함 활용단위분류체계 소스코드 라이브러리 유틸리티 툴 ( 개발, 관리, 테스트 ) 완제품 4 2016. Black Duck Software Korea all rights reserved.
슈퍼오픈소스커뮤니티 Healthcare Financial Services Mobile Automotive Aerospace Polarsys Openstack The Apache Foundation Mozilla The Foundation Eclipse 5 2016. Black Duck Software Korea all rights reserved.
오픈소스관련단체 Free Software Foundation 리처드스톨만에의해 1985년만들어진비영리재단 GNU프로젝트운영및 Free SW 배포 / 관리단체 OSI (Open Source Initiative) 오픈소스소프트웨어사용장려를위해만들어진단체 오픈소스소프트웨어정의및관련표준관리 SFLC (Software Freedom Law Center) 자유소프트웨어 / 오픈소스소프트웨어의비영리개발자를위하여법률상담법률대리및관련서비스 에벤모글렌의장이 2005년 2월에 4백만달러달러의초기자금으로오픈소스개발연구소를위하여설립 GPL Violation 해럴드벨테에의해 2004년만들어진비영리재단 GPL 라이선스기반의저작권보호및소송지원단체 기타 Linux Foundation, FOSS, OIN 등 - 6-6 2016. Black Duck Software Korea all rights reserved.
오픈소스프로젝트개발및사용현황 2011 년에만 Mobile 분야에서 10,000 개이상의신규오픈소스프로젝트개발, 안드로이드플랫폼기반이 76% 클라우드오픈소스프로젝트도연평균 75% 로급속도로증가하고있음 200 160 120 Bearing Point 에서조사한 Automotive OSS Study 2012 에의하면자동차산업에서약 85% 오픈소스사용 80 40 0 New Cloud OSS Projects 2005 2006 2007 2008 2009 2010 >450 cumulative projects 75% CAGR Diverse technologies >18,000 cumulative projects 2X growth each of last 3 years 10,000 new in 2011 alone! Bearing Point Automotive OSS Study 2012 7 2016. Black Duck Software Korea all rights reserved.
오픈소스트랜드 (Enterprise Adoption) North Bridge와 Black Duck이 1,300 명의다양한 IT기업임직원들을대상으로실시한 the future of Open Source 2015, 2016 리서치결과에에의하면 78% 의기업들이오픈소스를사용, 67% 의기업들이개발자들에게오픈소스참여를장려, 65% 가오픈소스프로젝트에참여하고있으며, 향후 2-3년이내에 87% 가오픈소스프로젝트에참여할것으로기대 특히, 42% 가내부적으로나고객을위해오픈소스배상 ( 면책 ) 을중요하게검토하고있음 오픈소스의사용과참여가획기적으로증가하고있음 8 2016. Black Duck Software Korea all rights reserved.
오픈소스프로젝트개발및사용현황 블랙덕오픈소스 DB 기준으로픈소스프로젝트가기하급수적으로증가하고있음 100B lines of code 10M people 9 2016. Black Duck Software Korea all rights reserved. 9
자동차산업에서의오픈소스현황 Black Duck Software & Bearing Point Automotive OSS Study 2012 10 2016. Black Duck Software Korea all rights reserved.
오픈소스프로젝트개발및사용현황 11 2016. Black Duck Software Korea all rights reserved.
오픈소스채택이유 12 2016. Black Duck Software Korea all rights reserved.
오픈소스채택이유 13 2016. Black Duck Software Korea all rights reserved.
오픈소스핵심산업 14 2016. Black Duck Software Korea all rights reserved.
국내오픈소스표준화정책 2014 년 TTA PG602( 공개소프트웨어프로젝트그룹 ) 에서추진한공개소프트웨어거버넌스프레임워크가정보통신단체표준으로채택, 현재 SPDX 단체표준을추진하고있음. 표준종류 정보통신단체표준 (TTAS) 표준번호 TTAK.KO-11.0176 구표준번호 제개정일 2014-07-02 총페이지 19 한글표준명 영문표준명 한글내용요약 공개소프트웨어거버넌스프레임워크 The Governance framework for Open Source Software 공개소프트웨어거버넌스프레임워크는조직을중심으로한공개소프트웨어의흐름에따라세단계로분류된다. 첫번째단계는공개소프트웨어를조직내에서사용하는내부사용에해당된다. 두번째단계는공개소프트웨어를조직밖으로보내는배포과정이다. 마지막은조직이공개소프트웨어사용자에게기술지원서비스를제공하는외부서비스단계이다. 실행항목및검사목록들은각단계의특성에따라서공개소프트웨어거버넌스에대한표준요소로정의된다. 영문내용요약 관련 IPR 확약서 이표준은주로소프트웨어산업계, 정부부처와관련돼있다. 주요수혜자는공개소프트웨어사용자로서회사, 정부, 준법성위반을감시하는법무조직, 그리고공개소프트웨어서비스제공자등이포함된다. 이표준은소프트웨어분야전반에서공개소프트웨어가안정성을갖고최대한폭넓게적용되는데기여할것으로여겨진다. 접수된 IPR 확약서없음 [ 출처 ] http://www.tta.or.kr/data/ttas_view.jsp?rn=1&rn1=y&rn2=&rn3=&nowpage=1&pk_num=ttak.ko- 11.0176&standard_no=&kor_standard=%B0%C5%B9%F6%B3%CD%BD%BA&publish_date=§ion_code=&order=publish_date&by=desc&no wsu=1&totalsu=8&acode1=&acode2=&scode1=&scode2= 15 2016. Black Duck Software Korea all rights reserved.
오픈소스공급망관리를위한표준 표준 소프트웨어패키지관련콤포넌트, 라이선스, copyrights, 사용파일의 CheckSum 정보등을상호교환하기위한표준 Linux Foundation 의오픈컴플라이언스프로그램의핵심 SPDX Group: Linux Foundation 의워킹그룹 삼성전자포함 50 여개이상의소프트웨어, 시스템, 툴벤더, 컨설턴트등이참여 소프트웨어패키지에포함된실제파일의라이선스정보를설명하기위한정의된표준화된포맷 현재버전 2.0 이출시 인텔, 필립스등 SPDX 를통한공급망관리시행중 SPDX SOFTWARE PACKAGE DATA EXCHANGE 16 2016. Black Duck Software Korea all rights reserved. See: http://www.spdx.org Getting started - http://spdx.org/wiki/spdx/participation-guidelines Contact: General - Phil Odence (Chair) - podence@blackducksoftware.com Business team - Jack Manbeck (Co-Chair)- j-manbeck2@ti.com Legal team - Jilayne Lovejoy (Co-Chair) - jilayne.lovejoy@openlogic.com Technical team - Kate Stewart (Chair) - stewart@linux.com
SPDX (Software Package Data Exchange) [ 출처 ] 삼성전자 2014 삼성오픈소스컨퍼런스발표자료 : Introduction to SPDX for Better Compliance 17 2016. Black Duck Software Korea all rights reserved.
국내오픈소스관리및장려정책 2011 년부터정보통신산업진흥원공개 SW 역량프라자에서국내중소기업및개발자개인, 학교및비영리연구기관을대상으로무료오픈소스라이선스검증서비스를지원 - http://www.oss.kr/oss_business9_2 검증서비스신청 - 프로젝트별소스코드 500MB 이하단위로신청할수있으며총 3 회까지신청가능 18 2016. Black Duck Software Korea all rights reserved.
2. 오픈소스개념및라이선스이해 19 2016. Black Duck Software Korea all rights reserved.
오픈소스의정의 오픈소스와상용소프트웨어의가장큰공통점은저작권이있다는것 다만, 저작권리의행사방식이가장큰차이점이며일반적인오픈소스저작권자들은소스코드를공개하고누구나복제, 설치, 사용, 변경, 재배포가가능하도록저작권리를행사하고있음 일반적인오픈소스코드 See http://www.astray.com/acmemail/ acmemail is Copyright (c) 1997-2000 Leon Brocard. All rights reserved. portions Copyright (c) 2001 Peter Watkins You may distribute acmemail under the terms of either the GNU General Public License as published by the Free Software Foundation (either version 2 of the License or at your option any later version) or the Artistic License. You should have received a copy of both licenses along with this program. This program is distributed in the hope that it will be useful, but WITHOUT ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU General Public License For more details. Version: see acme_version() in AcmemailConf.pm Include any library directories use lib '.'; #use lib '/lib/place ; 20 2016. Black Duck Software Korea all rights reserved.
Open Source Initiative 오픈소스정의 자유로운재배포 원시코드제공 파생저작물 저작자의소스코드원형유지 : 최초원시코드 & 패치 개인및단체에대한차별금지 사용분야에대한차별금지 http://opensource.org/ 15년현재 Apache, MIT 등총 83개의 OSI 인증라이선스 라이선스의배포 특정제품에만유효한라이선스금지 다른소프트웨어를제한하는라이선스금지 라이선스의기술중립성 21 2016. Black Duck Software Korea all rights reserved.
Open Source Initiative 인증 83 개오픈소스라이선스 Academic Free License 3.0 (AFL-3.0) Affero GNU Public License: See "GNU Affero General Public License 3.0 (AGPL-3.0)" Adaptive Public License (APL-1.0) Apache License 2.0 (Apache-2.0) Apple Public Source License (APSL-2.0) Artistic license 2.0 (Artistic-2.0) Attribution Assurance Licenses (AAL) BSD 3-Clause "New" or "Revised" License (BSD-3-Clause) BSD 2-Clause "Simplified" or "FreeBSD" License (BSD-2-Clause) Boost Software License (BSL-1.0) Computer Associates Trusted Open Source License 1.1 (CATOSL-1.1) Common Development and Distribution License 1.0 (CDDL-1.0) Common Public Attribution License 1.0 (CPAL-1.0) CUA Office Public License Version 1.0 (CUA-OPL-1.0) EU DataGrid Software License (EUDatagrid) Eclipse Public License 1.0 (EPL-1.0) Educational Community License, Version 2.0 (ECL-2.0) Eiffel Forum License V2.0 (EFL-2.0) Entessa Public License (Entessa) European Union Public License, Version 1.1 (EUPL-1.1) (links to every language's version on their site) Fair License (FAIR) Frameworx License (Frameworx-1.0) GNU Affero General Public License v3 (AGPL-3.0) GNU General Public License version 2.0 (GPL-2.0) GNU General Public License version 3.0 (GPL-3.0) GNU Library or "Lesser" General Public License version 2.1 (LGPL-2.1) GNU Library or "Lesser" General Public License version 3.0 (LGPL-3.0) Historical Permission Notice and Disclaimer (HPND) IBM Public License 1.0 (IPL-1.0) IPA Font License (IPA) ISC License (ISC) LaTeX Project Public License 1.3c (LPPL-1.3c) Lucent Public License Version 1.02 (LPL-1.02) MirOS Licence (MirOS) Microsoft Public License (Ms-PL) Microsoft Reciprocal License (Ms-RL) MIT license (MIT) Motosoto License (Motosoto) Mozilla Public License 2.0 (MPL-2.0) Multics License (Multics) NASA Open Source Agreement 1.3 (NASA 1.3) NTP License (NTP) Naumen Public License (Naumen) Nethack General Public License (NGPL) Nokia Open Source License (Nokia) Non-Profit Open Software License 3.0 (NPOSL-3.0) OCLC Research Public License 2.0 (OCLC-2.0) Open Font License 1.1 (OFL 1.1) Open Group Test Suite License (OGTSL) Open Software License 3.0 (OSL-3.0) PHP License 3.0 (PHP-3.0) The PostgreSQL License (PostgreSQL) Python License (Python-2.0) (overall Python license) CNRI Python license (CNRI-Python) (CNRI portion of Python License) Q Public License (QPL-1.0) RealNetworks Public Source License V1.0 (RPSL-1.0) Reciprocal Public License 1.5 (RPL-1.5) Ricoh Source Code Public License (RSCPL) Simple Public License 2.0 (SimPL-2.0) Sleepycat License (Sleepycat) Sun Public License 1.0 (SPL-1.0) Sybase Open Watcom Public License 1.0 (Watcom-1.0) University of Illinois/NCSA Open Source License (NCSA) Vovida Software License v. 1.0 (VSL-1.0) W3C License (W3C) wxwindows Library License (WXwindows) X.Net License (Xnet) Zope Public License 2.0 (ZPL-2.0) zlib/libpng license (Zlib) 22 2016. Black Duck Software Korea all rights reserved.
오픈소스라이선스주요용어및개념 사용형태 범위 의무사항 복제? 내부사용? 공개범위 특허무효 파생물? 배포? 공개방법 양립성 고지 배포형태? 라이선스? 23 2016. Black Duck Software Korea all rights reserved.
라이선스개념분류 Free Software 프로그램을실행할수있는자유 프로그램을채택하고연구할수있는자유 프로그램을재배포할수있는자유 오픈소스와비오픈소스의차이 프로그램을개선할수있는자유 Richard Stallman, 1983 Non-Open Source Software Open Source Software Open Source Software 개발되는방식에초점을추는실용적접근 산업계는물론이고개발자에게도경제적인보상을할수있어야한다고주장 보는눈만많다면, 어떤버그라도쉽게잡을수있다 " Eric Raymond, 1998 24 2016. Black Duck Software Korea all rights reserved.
라이선스개념분류 Permissive 사용함에있어서별다른요구사항을부여하지않고광범위한권한을부여 라이선스요구사항최소화 ( 라이선스 copy, notice 보전 ) Copyleft 소스코드가사용되어지게해야함. 라이선스는원래저작물과그에따른파생저작물에적용되어져야함. Free Software/ Opens Source Software? Free Opens Source Software? Give Me Credit BSD, MIT Give Me Fixes MPL, EPL, LGPL Give Me Everything GPL 25 2016. Black Duck Software Korea all rights reserved.
Free Software 정의 Free : 아무이유없는자유 Freedom : 자유와권리가함께주어지며권리에따른책임이부여되는자유 프로그램을실행할수있는자유 프로그램을채택하고연구할수있는자유 프로그램을재배포할수있는자유 프로그램을개선할수있는자유 Copyleft Free Software / Opens Source Software? Making Sense of Open Source Licenses by J Aaron Farr ApacheCon US 2009 26 2016. Black Duck Software Korea all rights reserved.
라이선스사용빈도 TOP 20 Rank License % 1. MIT License 26% 2. GNU General Public License (GPL) 2.0 21% 3. Apache License 2.0 16% 4. GNU General Public License (GPL) 3.0 9% 5. BSD License 2.0 (3-clause, New or Revised) License 6% 6. GNU Lesser General Public License (LGPL) 2.1 4% 7. Artistic License (Perl) 4% 8. GNU Lesser General Public License (LGPL) 3.0 2% 9. ISC License 2% 10. Microsoft Public License 2% 11. Eclipse Public License (EPL) 1% 12. Code Project Open License 1.02 < 1% 13. Mozilla Public License (MPL) 1.1 < 1% 14. Simplified BSD License (BSD) < 1% 15. Common Development and Distribution License (CDDL) < 1% 16. GNU Affero General Public License v3 or later < 1% 17. Microsoft Reciprocal License < 1% 18. Sun GPL With Classpath Exception v2.0 < 1% 19. DO WHAT THE FUCK YOU WANT TO PUBLIC LICENSE < 1% 20. CDDL-1.1 < 1% [ 출처 ] Black Duck Software, Inc 2016년현재 27 2016. Black Duck Software Korea all rights reserved.
주요라이선스및의무사항 주요오픈소스라이선스인 GPL, LGPL, CPL, MPL 등은오픈소스코드뿐아니라사용자코드공개의무발생 오픈소스를활용하면서공개하기어려운코드를보호하기위해서는적절한라이선스관리가필요함 라이선스 주요의무사항 공개범위및특징 GPL (General Public License) 자유로운사용, 복제, 배포및수정 저작권표시, 보증책임이없다는표시, GPL 명시 소프트웨어수정및링크시모든코드를 GPL 에의해공개 GPL 코드와연결된모든코드 LGPL (Lesser General Public License) 자유로운사용, 복제, 배포및수정 저작권표시, 보증책임이없다는표시, LGPL 명시 소프트웨어수정및링크시모든코드를 LGPL 에의해공개 ( 단, 라이브러리링크시공개하지않음 ) LGPL 코드와연결된모든코드 MPL (Mozilla Public License) EPL (Eclipse Public License) 자유로운사용, 복제, 배포및수정 저작권표시, 보증책임이없다는표시, MPL 명시 특허보복조항 ( 특허 SW 사용시특허권을주장할수없음 ) 소프트웨어수정및링크시해당파일을공개 자유로운사용, 복제, 배포및수정 저작권표시, 보증책임이없다는표시, MPL 명시 특허보복조항 ( 특허 SW 사용시특허권을주장할수없음 ) 소프트웨어수정및링크시해당모듈을공개 MPL 코드와연결된해당파일 EPL 코드와연결된해당모듈 특허 SW 시특허권리주장하지못함 28 2016. Black Duck Software Korea all rights reserved.
GPL 의주요특징 1989년 GPL 1.0 버전이 FSF( 리처드스톨만 ) 에서만들어짐 1991년 6월 GPL 2 발표 2006년초 GPL 3 초안발표 2007년 6월에 GPL 3 정식버전이발표됨 라이선스조항 GPL 2.0 의무사항 GPL 3.0 의무사항 Patent Retaliation ( 특허보복조항 ) 본항목은특허보복조항이있는가하는것으로특정개인및단체에대한보복조항과프로그램관련특허보복조항으로구분하고있음. GPL 2.0 은어떠한특허보복조항도없음. GPL 3.0 에서는특허에대한보복조항이있어특허소송을제기할경우저작권라이선스뿐아니라특허라이선스까지자동종료되게됨. Express Patent License ( 특허라이선스명시 ) 명시적으로보유한특허에대한무상실시권을부여하거나소제기를하지않는다는조항은없음. GPL 3.0 에서는명시적특허라이선스조항이있고특허라이선스의내용에대해특허침해청구를하지않는것이라고명확하게말하고있음. Anti-DRM Provisions (DRM 금지조항 ) Share-alike / Reciprocity ( 공유 ) GPL 2.0 에서는 DRM 에대한내용을다루고있지않음. 제 0 조와제 2 조에서원프로그램뿐아니라원프로그램에기반한프로그램도동일한라이선스의적용을받는것으로되어있음. 제 3 조에서기술적회피금지법의적용을받지않는다는점을명확히하고있어 DRM 금지조항을가지고있음. 제 5 조와제 6 조에서는변경한부분에대해서도동일한조건을적용하여야한다는조항이있음. 다만제 13 조에서 AGPL 적용저작물과결합할경우, 그결합물전체에대해서는 GPL3.0 이적용되지만, 네트웍을통한상호작용에대해서는 AGPL 13 조가적용되도록정함으로써그범위내에서 GPL 3.0 이적용되지않음. 29 2016. Black Duck Software Korea all rights reserved.
오픈소스라이선스분류 특허권리포기 / 특허보복포함 GPL v3.0 EPL Apache MPL LGPL v3.0 코드비공개 코드공개 MIT GPL v2.0 BSD LGPL v2.1 특허권리포기 / 특허보복미포함 30 2016. Black Duck Software Korea all rights reserved.
소스코드공개범위 Case 1. 경우에따라해당오픈소스의소스코드만공개혹은고지하거나 Case 2. 해당오픈소스의소스코드를수정또는추가한부분까지공개하거나 Case 3. 해당오픈소스와링크된모든사용자코드를공개하거나 OSS 원본소스코드 OSS 소스코드의추가 / 수정부분 사용자소스코드 소스코드공개케이스 Case 1. OSS 원본소스코드공개 Case 2. OSS 원본소스코드 + 소스코드추가및수정부분공개 Case 3. OSS 원본소스코드 + 소스코드추가및수정부분 + OSS 와링크된사용자소스코드공개 31 2016. Black Duck Software Korea all rights reserved.
소스코드공개범위 (GPL) 수정한내용에대한소스공개의무발생, SW 를수정하거나새로운 SW 를링크시키는경우하나의프로세스로동작하는전체프로그램의소스코드공개 ( 동일한실행파일에포함되는경우, 공유주소영역 (Shared address space) 에서링크되어실행되는경우 ) 소스코드공개예외상황 - 리눅스를기반으로개발된 Application, 커널모듈형태로작성된 Loadable Device Driver 등에의한정상적인리눅스 system call 을사용하는경우 - Class Path Exception 인경우, - 2 개의프로그램이파이프 (pipe), 소켓 (socket), command line arguments 형태로통신하는경우 GPL ( 함수호출 ) GPL ( 라이브러리 ) GPL ( 파일사용 ) GPL (.) 동일한실행파일에포함 공유주소영역에서링크되어실행 사용자메인프로그램 사용자메인프로그램 GPL (Pipe, Class Path, RPC, RMI, SOAP, HTTP, Normal System Call) GPL 과동일조건으로소스코드공개 사용자코드비공개 32 2016. Black Duck Software Korea all rights reserved.
소스코드공개범위 (GPL) Executable and Linkable Format(ELF) 파일을통한파생저작물 (Derivate Work) 의검토 - ELF 는리눅스또는다른유닉스시스템에서가장널리사용되어지는바이너리형식 - 현재 Free Software Foundation 에서는모든링킹타입은파생저작물을생성한다고주장하지만많은법률전문가들사이에서이견이있음 - 공개된소스코드는콤포넌트그자체가실행파일에포함되지않는다면, 실행파일을구동하는 OS 의주된콤포넌트들 ( 컴파일로, 커널등 ) 과정상적으로배포되는어떠한것 ( 소스혹은바이너리형태 ) 도소스코드를공개하지않아도됨 Busybox 라이브러리 소스코드 Busybox 숨겨진종속성 빌드환경 런타임환경 Busybox 시스템콤포넌트 - 33 - [ 출처 ] Armijn Hemel, Tjaldur Software Governance Solutions, May 24, 2013 33 2016. Black Duck Software Korea all rights reserved.
라이선스양립성 (Compatibility) 서로다른라이선스의조합일경우 - 각각의오픈소스라이선스의무사항이서로상충하여양립할수없다면, 배포가불가능함 GPL 2.0 MPL 1.0(Mozilla public License) 다른소스코드와결합하여사용할경우수정된 MPL 파일을반드시 MPL 과동일한조건으로공개 + = GPL 2.0(General public License) 다른소스코드와결합하여사용할경우결합하는모든소스코드를 GPL과동일한조건으로공개 MPL 2.0 의경우 secondary License 를 GPL 로정의하여 GPL 로확대가능 34 2016. Black Duck Software Korea all rights reserved.
라이선스양립성 (Compatibility) 개별라이선스들은서로다른라이선스와결합사용함에있어서제약조건을가지고있음 라이선스저작권자최신버전출시년도 35 2016. Black Duck Software Korea all rights reserved. 다른라이선스의코드와의링크 다른라이선스로인한릴리즈변경 Academic Free License Lawrence E. Rosen 3 2002 Yes Yes Apache License Apache Software Foundation 2.0 2004 Yes Yes Apple Public Source License Apple Computer 2.0 August 6, 2003 Yes No Artistic License Larry Wall 2.0 2000 Yes With restrictions Berkeley Database License Oracle Corporation? February 7, 2008 No No BSD license Regents of the University of California?? Yes Yes Boost Software License? 1.0 August 17, 2003 Yes Yes Common Development and Distribution License Sun Microsystems 1.0 December 1, 2004 Yes Yes Common Public License IBM 1.0 May 2001 Yes No Cryptix General License Cryptix Foundation? 1995 Yes Yes Eclipse Public License Eclipse Foundation 1.0? Yes No Educational Community License? 1.0? Yes Yes Eiffel Forum License NICE 2 2002 Yes Yes IBM Public License IBM 1.0 August 1999 Yes Yes GNU General Public License Free Software Foundation 3.0 June 2007 No No GNU Lesser General Public License Hacktivismo Enhanced-Source Software License Agreement Free Software Foundation 3.0 June 2007 Yes No Hacktivismo/Cult of the Dead Cow? November 26, 2002?? IBM Public License IBM 1.0 August 1999 Yes Yes [ 출처 ] http://en.wikipedia.org/wiki/comparison_of_free_software_licenses#general_comparison
라이선스양립성 (Compatibility) 기타라이선스와 GPL 양립성 라이선스및버전 GPL 과의양립성 Academic Free License No Apache License version 1 No Apache License version 1.1 No Apache License version 2 Yes Apple Public Source License version 1.x No Apple Public Source License version 2.0 No Artistic License 1.0 No Clarified Artistic License (draft 2.0) Yes Artistic License 2.0 Yes Berkeley Database License Yes original BSD license No modified BSD license Yes Boost Software License Yes Common Development and Distribution License No Common Public License No Creative Commons licenses (Tags: by & sa) No Creative Commons licenses (Tags: nc & nd) No Cryptix General License Yes Do What The Fuck You Want To Public License (WTFPL) Yes Eclipse Public License No Educational Community License? Eiffel Forum License version 2 Yes GNU General Public License Yes 3 GNU Lesser General Public License Yes Apache version 2 is compatible to version 3 of the GPL but not compatible to version 2. 36 2016. Black Duck Software Korea all rights reserved.
라이선스양립성 (Compatibility) 기타라이선스와 GPL 양립성 라이선스및버전 GPL 과의양립성 Hacktivismo Enhanced-Source Software License Agreement No IBM Public License No Intel Open Source License Yes ISC license Yes LaTeX Project Public License No MIT license Yes Mozilla Public License No Netscape Public License No Open Software License No OpenSSL license No PHP License No POV-Ray-License No Python Software Foundation License 2.0.1; 2.1.1 and newer Yes Q Public License No Sun Industry Standards Source License No Sun Public License No Sybase Open Watcom Public License? W3C Software Notice and License Yes XFree86 1.1 License Yes zlib/libpng license Yes Zope Public License version 1.0 No Zope Public License version 2.0 Yes [ 출처 ] http://en.wikipedia.org/wiki/comparison_of_free_software_licenses#general_comparison 37 2016. Black Duck Software Korea all rights reserved.
라이선스의무사항비교 N o. 의무사항 라이선스 Commerci al License GPL 2.0 GPL 3.0 LGPL 2.0 LGPL 3.0 GNU Affero General Public License 3.0 EPL 1.0 MPL 1.1 1 배포권리 ( 오브젝트 / 바이너리코드배포 ) Ⅹ Ⅹ Ⅹ Ⅹ Ⅹ Ⅹ Ⅹ Ⅹ Ⅹ Ⅹ 배포 ( 소스코드배포에의해서만부여되는 2 의무사항 ) Ⅹ Ⅹ 3 소스코드배포 / 강제적공유의무사항 Ⅹ Ⅹ Ⅹ Ⅹ 4 복제권한허용 Ⅹ Ⅹ Ⅹ Ⅹ Ⅹ 5 수정 ( 개작 ) 권한허용 Ⅹ Ⅹ Ⅹ Ⅹ Ⅹ 6 역설계권한허용 Ⅹ Ⅹ Ⅹ Ⅹ Ⅹ 7 차별적제한금지 or 차별적제한있음 Ⅹ Ⅹ 8 추가복제에대한로열티및수수료금지 Ⅹ Ⅹ Ⅹ 9 특허보복 ( 특허소송제기시라이선스종료 ) Ⅹ Ⅹ Ⅹ Ⅹ 명시적특허라이선스 ( 특허소송을제기하지 10 않음 ) Ⅹ Ⅹ Ⅹ Ⅹ Ⅹ 11 DRM금지 Ⅹ Ⅹ Ⅹ Ⅹ Ⅹ Ⅹ Ⅹ 12 고지 ( 특정법률혹은속성 ) Ⅹ Ⅹ Ⅹ Ⅹ Ⅹ Ⅹ 13 변경사항고지 Ⅹ Ⅹ 14 변경사항에대해원저작자에게사용허가 Ⅹ Ⅹ Ⅹ Ⅹ Ⅹ 15 다른사람을대신한보증의부인 Ⅹ Ⅹ Ⅹ Ⅹ 16 다른사람의책임의제한 Ⅹ Ⅹ Ⅹ Ⅹ 배포 / 사용으로인해발생한원저작자의 17 클레임에대한배상 Ⅹ Ⅹ Ⅹ Ⅹ Ⅹ Ⅹ Ⅹ 18 배포시라이선스사본포함 Ⅹ 광고 / 홍보시배포자, 저작자, 특정상표사용 19 금지 Ⅹ Ⅹ Ⅹ Ⅹ Ⅹ Ⅹ Ⅹ 20 원코드와동일조건허가 Ⅹ Ⅹ Ⅹ 21 라이선스확장범위 ( 공개범위 ) Ⅹ 코드코드코드동적라이동적라이모듈기반의기반의기반의파일브러리 (per 브러리 (per (per 산출물산출물산출물 (per MPL) LGPL) LGPL) EPL/CPL) (per GPL) (per GPL) (per GPL) Ⅹ Ⅹ Apache 2.0 BSD 2.0 38 2016. Black Duck Software Korea all rights reserved.
오픈소스라이선스생태계 오픈소스라이선스는라이선스의조건에따라파생물의재배포시에원라이선스와동일조건으로배포해야하는라이선스 (GPL, LGPL, MPL 등 ) 와원라이선스와관계없이다른라이선스로변경재배포가가능한라이선스 (BSD, MIT, Apache 등 ) 가있음. 39 2016. Black Duck Software Korea all rights reserved.
애플 / 구글앱스토어의오픈소스현황 2010 년 OpenLogic 분석자료 iphone/ipad Apps Android Apps Apps Analyzed 364 top apps from itunes Store 90 top apps from Android Marketplace % with OSS 41% of apps (149) 88% of apps (79) % with GPL 8% of apps (30) 3% of apps (2) 2011 년안드로이드개발자컨퍼런스 OpenLogic 분석자료 분석대상앱 카테고리별가장많이사용되는유료와무료앱을각 10 개씩 TV 에광고되는앱 포춘 500 대기업중 25 위안의기업들이발표한앱 분석대상앱수 : 애플 523 개, 안드로이드 112 개, 총 635 개 분석대상앱중 52 개앱아파치라이선스활용, 16 개앱이 GPL 혹 LGPL 활용 오픈소스를활용한앱중 71% 가의무사항위반 일부오픈소스앱의경우자체사용자약관을적용하여앱에대한저작권주장 2012 년다시오픈소스활용한동일한앱 66 개를분석 : 38.3% 오픈소스라이선스위반 오픈소스준법성미비로인해서비스가중지될경우심각한경제적파장초래가능 40 2016. Black Duck Software Korea all rights reserved.
3. OSS 라이선스관리와위반사례 41 2016. Black Duck Software Korea all rights reserved.
오픈소스라이선스위반모니터링 협력 / 외주업체 GPL 공개 SW 기업수정및링크 저작권표시 무보증명시 GPL 라이선스선언 소스코드공개 4. 위반시라이선스사용료및코드공개, 재발방지시행방안요구 2. GPL 라이선스위반이의심된다는메일전송 라이선스관리및위반감시단체 FSF(www.fsf.org) gpl-violations.org (www.gpl-violations.org) SFLC (www.softwarefreedom.org) KOSS( 한국오픈소스 SW 법센터 ) 한미 FTA ( 친고죄폐지 ) 한 EU FTA ( 법률시장개방 ) 납품 / 출시 고객 or 경쟁사 5. 해당기업에서거부 or 시정조치미흡시법원에제소 1. 구매및사용 3. 구매및 binary 역컴파일로소스코드분석 법원 42 2016. Black Duck Software Korea all rights reserved.
오픈소스라이선스위반시법적효과 오픈소스라이선스를위반하게되면민사상손해배상, 형사고소와조직에있어서의다양한손해를야기시킴 민사상손해배상 저작권침해금지가처분 : 보전의필요성소명 기타손해 기업평판, 서비스정지, 대체비용등 형사고소 FTA 이후부분적비친고죄화 영리목적 OR 상습적 양벌규정 행위자를처벌하는외에그행위자를사용하는법인의대표자나법인도처벌가능 위반행위를방지하기위해상당한주의와감독을하였음을입증 [ 출처 ] 한국오픈소스 SW 법센터 43 2016. Black Duck Software Korea all rights reserved.
오픈소스라이선스거버넌스 공개 SW 거버넌스프레임워크 사용유형 실행항목 내부사용 정책수립 조직구성 교육 컴플라이언스 요구분석 조사분석평가 배포 설계 개발 시험 패키징 계약 배포 설치 운영 외부서비스 유지보수 기술지원 모니터링 커뮤니티 [ 출처 ] 공개W역량프라자 44 2016. Black Duck Software Korea all rights reserved.
삼성전자오픈소스거버넌스 [ 출처 ] 삼성전자 http://events.linuxfoundation.org/images/stories/pdf/klf2012_park.pdf 45 2016. Black Duck Software Korea all rights reserved.
삼성전자오픈소스거버넌스 [ 출처 ] 삼성전자 http://events.linuxfoundation.org/images/stories/pdf/klf2012_park.pdf 46 2016. Black Duck Software Korea all rights reserved.
삼성전자자주검증도구 (OSIT) [ 출처 ] 삼성전자 2014 삼성오픈소스컨퍼런스발표자료 : Introduction to SPDX for Better Compliance 47 2016. Black Duck Software Korea all rights reserved.
삼성전자 (SPDX 를활용한공급망관리 ) [ 출처 ] 삼성전자 2014 삼성오픈소스컨퍼런스발표자료 : Introduction to SPDX for Better Compliance 48 2016. Black Duck Software Korea all rights reserved.
삼성전자 (SPDX 를활용한공급망관리 ) [ 출처 ] 삼성전자 2014 삼성오픈소스컨퍼런스발표자료 : Introduction to SPDX for Better Compliance 49 2016. Black Duck Software Korea all rights reserved.
삼성전자 ( 오픈소스배포프로세스 ) [ 출처 ] 삼성전자 2014 삼성오픈소스컨퍼런스발표자료 : Introduction to SPDX for Better Compliance 50 2016. Black Duck Software Korea all rights reserved.
Use Case ( 코드공개 ) 삼성전자에서는오픈소스코드공개및고지의무사항을준수하기위해 OSRC(Open Source Release Center) 를운영하고있음 [ 출처 ] http://opensource.samsung.com/reception.do 51 2016. Black Duck Software Korea all rights reserved.
Use Case ( 라이선스사용고지 ) 삼성전자에서는 Apache License Version 2.0 과같이코드공개의무사항이없지만사용자고지의무사항을준수하기위해 Open Source Announcement 를고지하고있음 [ 출처 ] http://opensource.samsung.com/reception.do 52 2016. Black Duck Software Korea all rights reserved.
Use Case ( 라이선스사용고지 ) SK 플래닛의라이선스사용고지 Text 고지방식 홈페이지링크방식 3 2 1 Check Point : Server-side 고지 or App 내고지 53 2016. Black Duck Software Korea all rights reserved. [ 출처 ] SK 플래닛
Use Case ( 코드공개및라이선스사용고지 ) 벤츠, GM, 아우디등글로벌자동차업체에서도관련오픈소스에대한코드공개혹은고지의무를수행하고있음 GM [ 출처 ] http://www.oss.gm.com Chevy Volt User Manual 54 2016. Black Duck Software Korea all rights reserved.
Use Case ( 코드공개및라이선스사용고지 ) 벤츠, GM, 아우디등글로벌자동차업체에서도관련오픈소스에대한코드공개혹은고지의무를수행하고있음 Audi [ 출처 ] http://www.audi.com/com/brand/en/models/infotainment_and_communication/audi_music_interface_online/faq.html 55 2016. Black Duck Software Korea all rights reserved.
SAP 오픈소스거버넌스프로세스 Open source request form Architecture Check Legal &IP Evaluation Applicant Briefing Management Approval General License Evaluation Modifications Special Requirements IP Evaluation Warranties / liabilities Support offerings General license grant Export restrictions Does the license allow for modifications? What terms apply to modifications? Required text for documentation Copyright notices Distribution prerequisites in general Product s characteristics Contribution policy Companies supporting and using the open source product 56 2016. Black Duck Software Korea all rights reserved.
블랙덕오픈소스성숙도모델 Exposed Measured Managing Participating Driving Discovery No formal guidelines or processes Some guidelines provided Clear policy on acceptable sources and attributes; Developers educated +Tools to facilitate search and verification of attributes +Participation in key communities to drive company's requirements Review and Selection ad hoc Incorporated components are identified and tracked Clear policy and process; Oversight and exception handling by review board +Automated process insuring compliance +Active involvement with key communities creates responsive FOSS supplier relationships Code Management FOSS included and managed with proprietary code FOSS is tracked separately Policy establishes owner and responsibilities for each component; FOSS repository; Use tracking +Automated process tracks sources, attributes, use and compliance requirements +FOSS repository extended to support external releases Maintenance and Support ad hoc Some approach to stay abreast of bug fixes and new releases Policy defines responsibilities for each component owner; Consolidated support model +Automated process tracks issues, fixes, versions +Support model extended externally; +Automated process extended to handle external support Compliance Program ad hoc, if any Incorporated FOSS components listed for each release; Compliance requirements assembled by hand Review and code management processes prevent surprises; Automated audit of product releases; Compliance process with reporting +Automated process integrates review, code management and compliance functions; +Automated reporting for management and customers +Policy and automated process for audit and review of contributions Community Interaction Download code Download code Download code; Track updates; Participate in forums without company identification +Participate in forums with company attribution; +Contribute bug fixes +Contribute new projects/components; +Sponsor key communities Executive Oversight Probably none Executives receive lists of FOSS components in use Legal & line-of-business management participation on review board +Policy for community participation; +Process for contribution of bug fixes +Policy and process for contributing components, sponsorship for projects 57 2016. Black Duck Software Korea all rights reserved.
오픈소스공급망관리 배포 대부분의오픈소스소프트웨어의경우배포시의무발생 배포하지않을경우자유로운수정, 사용의권리가있음 AGPL 의경우배포없이온라인등으로서비스를할경우에도소스코드공개의무등발생 배포자의관점 최종소비자입장 : 오픈소스소프트웨어가포함된제품제작사 라이선스저작권자입장 : 오픈소스소프트웨어의공급망에있는모든관계사 ( 오픈소스활용한개발사, 오픈소스활용부품공급자. 오픈소스활용완제품생산자, 오픈소스활용제품판매사 ) 제품유통사제품제조사 제품유통사도배포책임 자체코드및협력사코드배포책임 협력사 많은협력사들이거버넌스결여 개발자 개발자의경우오픈소스활용은적극적이나, 라이선스이해부족 [ 출처 ] 한국오픈소스 SW 법센터 58 2016. Black Duck Software Korea all rights reserved.
오픈소스공급망관리 협력사오픈소스거버넌스검토 사용중인오픈소스의현황을파악하는 Identification 단계 Audit 및라이선스충돌문제해결및검사보고서작성단계 설계분석 (Architecture Review) 과연동분석 (Link Analysis Review) 오픈소스사용승인단계 오픈소스컴포넌트별등록단계 오픈소스저작권통지및배포전검증단계 배포및최종검증단계로구분 진술및보장 협력사거버넌스검토대상 오픈소스거버넌스정책수립여부및검토 오픈소스준법성검증도구의사용여부 오픈소스준법성책임자의역할및존재여부 오픈소스준법성관련라이선스고지, 공개여부 오픈소스준법성관련임직원교육여부 오픈소스준법성관련매뉴얼및체크리스트작성여부 오픈소스라이선스선별정책의존재여부및자사프로젝트와양립성여부 협력사오픈소스정책세부내용 거버넌스구축및소스코드현황분석여부확인 라이선스선별정책의확인및발주사선별정책과상충검토여부 개발된제품에대한라이선스검증여부 최종결과물에대한소프트웨어구성요소확인및결합방식에대한분석여부 해당프로젝트에적용되는 Use Case 에따른의무사항준수여부 검증도구 면책조항 [ 출처 ] 한국오픈소스 SW 법센터 오픈소스준법성 License Notice Source Code Disclosure 원저작권자명시 결합방식에대한분류 Static Linking Dynamic Linking Pipe Line, Call 등독자적호출 오픈소스배포및사이트운영 59 2016. Black Duck Software Korea all rights reserved.
오픈소스라이선스검증보고서 프로젝트개요 프로젝트라이선스 Basic Proprietary Commercial License( 상용라이선스 ) 분석파일수 분석된바이트수 100Files 100MB OSS 사용파일수 50(50%) 프로젝트구성요소목록 (Bill of Materials) 준법성현황콤포넌트버전홈페이지라이선스결합형태해당파일 다른컴포넌트라이선스와충돌 Apache Lucene Java 1.4.3 http://jakarta.apache.org/luc ene/docs/index.html 충돌없음 db-charmer Unspecified http://github.com/kovyrin/d b-charmer/ 프로젝트에선언된라이선스와충돌 60 2016. Black Duck Software Korea all rights reserved. Apache License Version 2.0 Component 1 MIT License V2 File 25 GnuPG Unspecified http://www.gnupg.org/ GPL 3.0 File 6 N/A optical_catalyst Unspecified 프로젝트에선언된라이선스와충돌 충돌없음 petris Unspecified http://github.com/gitpan/pet ris/ PostgreSQL Database Server Basic Proprietary Commercial License 수 Original Code 147 GPL 2.0 File 16 Unspecified http://www.postgresql.org/ PostgreSQL License File 23
오픈소스라이선스검증보고서 오픈소스라이선스종합요약 라이선스 결합형태 해당파일수 % Apache License Version 2.0 Component 26 5.20% MIT License V2 File 25 5.00% GPL 3.0 File 116 23.20% GPL 2.0 File 24 4.80% Sun Code Sample License File 20 4.00% OpenSSL Combined License File 118 23.60% PostgreSQL License File 23 4.60% [template] Basic Proprietary Commercial License Original 148 29.60% 합계 500 100% 61 2016. Black Duck Software Korea all rights reserved.
오픈소스라이선스검증보고서 검증분석종합의견 검증분석종합의견 프로젝트라이선스 Basic Proprietary Commercial License 수정권리를부여하지않는다. 소스코드를배포하지않는다. 수정권리를부여하는것이필요하다. (per GPL). 소스코드배포가필요하다. (per GPL). 코드사용에대해수수료를부과한다. GPL 2.0 코드를사용함에있어관련된수수료를부가할자격이없다. 직접충돌라이선스 리버스엔지니어권리를부여하지않는다. 복제에대한권리를부여하지않는다. 수정권리를부여하지않는다. 소스코드를배포하지않는다. 리버스엔지니어권리를부여하는것이필요하다. (per GPL). 복제에대한권리를부여하는것이필요하다. (per GPL). 수정권리를부여하는것이필요하다. (per GPL). 소스코드배포 ( 네트웍서비스포함 ) 가필요하다. (per GPL). 코드사용에대해수수료를부과한다. 코드를사용함에있어관련된수수료를부가할자격이없다. 리버스엔지니어권리를부여하지않는다. 복제에대한권리를부여하지않는다. GPL 3.0 리버스엔지니어권리를부여하는것이필요하다. (per GPL). 복제에대한권리를부여하는것이필요하다. (per GPL). 장비및컨텐츠를 DRM 으로보호한다. 장비및컨텐츠를 DRM 으로금지하지않는다. 경우에따라특허출현할수있다. 특허소송을제기하지않는다. 종합의견 ㅇ프로젝트라이선스인 Basic Proprietary Commercial License는일반적인상용독점라이선스로서코드공개를허용하지않고사용자들로하여금해당코드에대한수정및복제, 리버스엔지니어링을허용하지않는라이선스임ㅇ분석결과해당프로젝트에는 48.95% 의 OSS파일이전체혹은부분일치형태로결합사용되었으며, 프로젝트라이선스의무사항과직접충돌되는라이선스인 GPL 2.0(24개파일, 4.8%), GPL3.0(116개파일, 23.2%) 이결합되어있음ㅇ이는 GPL 계열에서요구하고있는코드배포 ( 공개 ) 및수정, 복제권리를사용자에게허가해야되는의무사항이발생됨ㅇ특히, GPL 3.0의경우에는장비혹은컨텐츠에대한접근권한을사용자들에게부여해야함. 따라서, 해당라이선스코드에대한수정및삭제가요구됨. ㅇ또한, 프로젝트라이선스와직접충돌은되지않고있으나 Apache License 2.0코드가포함되어있음에따라해당코드를수정및삭제하지않고결합사용시에는사용자들에대한고지의무가발생됨, 기타 Opne SSL Combined License와 Sun Code Sample License는코드를공개하지않는한별다른의무사항은발생되지않음. 62 2016. Black Duck Software Korea all rights reserved.
오픈소스라이선스검증보고서 식별확인된파일현황 License Conflict File/Folder Size File Line Total Lines Component Version License Usage % Matched File 다른콤포넌트라이선스와충돌 165119 Apache Jakarta Commons Collections 2.1 Apache 1.1 Component 100% /lib/commonscollections.jar bin/commons- collections- 2.1.tar.gz/commo ns-collections- 2.1/commonscollections.jar 프로젝트에선언된라이선스와충돌 /acmemail/ac memail.cgi 56824 Acmemail Unspecifi ed GPL 2.0 File 100% 프로젝트에선언된라이선스와충돌 /acmemail/ac memailconfab ridged.pm 7328 4 147 Acmemail Unspecifi ed GPL 2.0 Snippet 91% 63 2016. Black Duck Software Korea all rights reserved.
오픈소스라이선스주요위반사례 Mark Radcliffe Partner at DLA Piper 오픈소스소프트웨어를자유롭게사용할수있던시대가끝나가고있다. 오픈소스라이선스조건을준수하지못하는기업은소송을당할수있다는의미다. " 오픈소스가새로운시대에접어들고있다. 서로협력하고공생하던세계가상업적인세계로바뀌고있다. 일부업체들이오픈소스소프트웨어에특허소프트웨어같은기준으로권리를행사하고있다. 또이를전략적으로사업에활용하는방안을생각하고있다 " 사람들이 오픈소스공동체에제기될수있는소송이있을까 라고생각했던시대는끝났다. " 지금은 ' 오픈소스프로젝트에기여했으니, 이를경쟁무기로사용해야지 ' 라고말하는시대다 " 64 2016. Black Duck Software Korea all rights reserved.
오픈소스라이선스주요위반사례 the future of Open Source 2016 리서치결과에의하면, 약 50% 의기업에서오픈소스도입및검토에대한공식적인정책이없음 오픈소스도입및검토에대한정책을가지고있는기업 ( 약 50%) 들마저도, 오픈소스도임및검토정책을제대로수행하지않거나간과하는경우가많음 65 2016. Black Duck Software Korea all rights reserved.
오픈소스라이선스주요위반사례 시사점을주는분쟁사례소개 엘림넷 v. 하이온넷 : 최초의국내오픈소스라이선스관련법정사례 Jacobsen v. Katzer : 오픈소스라이선스위반이저작권위반이라는미국최초의판결 Welte v. Skype : 유통업체책임및고지의무준수에독일판결 FSF v. Bracken : 합의문조건을인지할수있는합의사례 Welte v. D-Link : 독일및대륙법하에서오픈소스저작권을인정한판결 FSF v. Cisco : 공급망관리필요성을인지시켜준합의사례 SFC v. 14개기업 : 최초의한국기업관련법정사례 66 2016. Black Duck Software Korea all rights reserved.
오픈소스라이선스주요위반사례 최근분쟁사례소개 삼성전자 exfat Versata Software v. Ameriprise Patrick McHardy v. 다수의유럽제조및유통사 Christoph Hellwig v. Vmware Google v. Oracle Xiaomi 기타국내분쟁사례소개 다양한라이선스, 비즈니스관점에서의국내분쟁사례 67 2016. Black Duck Software Korea all rights reserved.
오픈소스라이선스주요위반사례 엘림넷 v. 하이온넷 엘림넷의핵심솔루션인 ETUN 의개발자가회사를퇴사하고 HnP 라는회사를창업하면서 ETUN 을개량한 HL 소프트웨어를하이온넷에제공 엘림넷이하이온넷을상대로부정경쟁방지및영업비밀보호에관한법률위반으로형사소송, 저작권침해가처분으로민사소송을제기함 소송의핵심대상인 ETUN 이 GPL 라이선스인 Vtun 을모방한것이밝혀짐 FSF 는서울중앙지방법원에엘림넷과하이온넷모두 GPL 을위반했고따라서, 영업비밀은해당되지않음을제안 서울중앙지방법원은 FSF 의의견에도불구하고 ETUN 의영업비밀에해당되는부분을인정하였고항소진행중 (2005.9) 이후 FSF 는엘림넷과하이온넷을상대로 GPL 라이선스인 Vtun 의저작권위반과관련하여저작권자들을대표하여이의제기 엘림넷과하이온넷은향후 GPL 준수를약속하고해당소프트웨어에대한소스전체를공개 쟁점및시사점 : - 국내최초의 GPL 라이선스관련소송사건 - 경쟁사간의법정소송 - 법원결과와관련없이양사모두소송을통해원하는결과를얻지못했으며, 사건의핵심솔루션에대한소스가 GPL 임을인정하고, 엘림넷과하이온넷은공개사과문을발표하였고 GPL 규정에따라공개 - 홈페이지를통해소스전체를공개하였음 68 2016. Black Duck Software Korea all rights reserved.
오픈소스라이선스주요위반사례 Jacobsen v. Katzer Jacobsen 은 Java Model Railroad Interface(JMRI) 프로젝트를리드하며, JRMI 은모형기차통제소프트웨어인 DecoderPro 를개발, Artistic License 1.0 버전하에서배포 이때, Artistic License 전문이포함되어있는 COPYING 파일을참조하라는저작권공지를포함시켰음 Katzer 는 Decoder Commander 라는유사소프트웨어를판매하는 Kamind Associates 의최고경영자로, 상업용소프트웨어특허를취득 (2005.3) 하였고, Jacobsen 에게 DecoderPro 의배포를중단할것을요구하였음 JRMI 는이에대응하는중에 DecoderPro 와 Decoder Commander 의코드가비슷함을발견 그러나 Decoder Commander 의파일들은저작자및 COPYING 파일안에저작권공지를언급하지않았고, Jacobsen 은저작권위반을이유로소송제기 Katzer 는나중에 DecoderPro 를복사였음을인정 연방항소법원은 Artistic License 조항들이강제성이있는저작권조건이라고판시하였고, 그러한조건을따르지않고저작물을사용하거나배포하거나수정하거나복사하는것은라이선스범위를벗어나는것이라고판시 쟁점및시사점 : - 오픈소스라이선스의조건을위반하여오픈소스를사용한경우, 위반자는저작권책임을진다는것을인정한미국에서의최초판결 69 2016. Black Duck Software Korea all rights reserved.
오픈소스라이선스주요위반사례 Welte v. Skype 독일지방법원이세계최대인터넷전화업체인스카이프가오픈소스라이선스인 GPL 을위반했다고판결 (2007.7.29) 스카이프독일지사가유통한인터넷전화용송수화기 SMCWSKP100 에는 SMC 라는스페인제조업체에서펌웨어를리눅스기반으로만들었음 법원은 송수화기의제조업체는 SMC 지만, 스카이프가이제품을실제적으로웹사이트를통해판매했으므로라이선스요건충족에책임을져야한다 고판결 법원이 GPL 위반을결정내린배경은 GPL 기반제품은유통할때, 사용자들이소스코드를알수있도록인터넷에정보를공개해야하고, 해당제품이 GPL 기반제품이라는것을명시해야함에도불구하고스카이프는모두지키지않았음 스카이프는이번결정으로 SMCWSKP100 의소스코드를개방하고벌금도지불해야함 금번소송은 GPL 위반여부를감시하는조직인 gpl-violations.org 산하독일지부에서제기됐고이조직은 2005 년에도보안업체포리네트 (Forinet) 가 GPL 을어겼다고소송을제기, 소스코드를공개토록유도한바있음 쟁점및시사점 : - 이번사례는제조업체뿐만아니라, 유통업체에도 GPL 위반책임을물었다는점 - 본국이아닌, 다른나라에서도얼마든지 GPL 위반에대한대가를치르도록했다는점 70 2016. Black Duck Software Korea all rights reserved.
오픈소스라이선스주요위반사례 FSF v. Bracken Bracken 사의제품은주로 OEM 벤더들에게판매되며, 응용장치에설치되어인터넷브라우징역할을하는장치같이단일한용도로쓰임 제품은거의 100% 자유소프트웨어이며, 대부분 GPL 이나관련된라이선스하에배포된것 FSF 는 Slashdot( 뉴스제공및토론사이트 ) 에기재된리포트를통해위반내용을인지하였고, 위반내용을 Bracken 사에제시하여합의를이끌어냈음 합의및협상내용 : - Bracken 사의대리인은 EULA 를 GPL 에맞게재작성하여, 새로운 EULA 의이용전 FSF 를통한심사를거칠것 - Bracken 사의엔지니어들은 GNU/Linux 배포판에관한소스를제공할것 - Bracken 사의대리인은소스공개와관련한이러한사태가향후재발하지않도록하기위해, GPL 의준수를위한내부세미나를엔지니어들대상으로운영할것 - Bracken 사는 FSF 가공식적으로당사의배포권을회복시킨이후에만상품배포를재개할것 71 2016. Black Duck Software Korea all rights reserved.
오픈소스라이선스주요위반사례 Welte v. D-Link 독일프랑크푸르트지방법원이대만의 D-Link 사에서출시하고있는 NAS 장비인 DSM-G600 이 GPL 라이선스를위반했다고판결 (2006.6) 본소송은 GPL-Violations 에서제기했고본판결을통해 D-Link 는 DSM-G600 판매를중지하고벌금은물론 GPL-Violations 에게소송비용일체와테스트장비구입과 Reverse Engineering 비용을부담해야했음 쟁점및시사점 : - 독일법아래에서 GPL 의법률적구속력을인정 72 2016. Black Duck Software Korea all rights reserved.
오픈소스라이선스주요위반사례 73 2016. Black Duck Software Korea all rights reserved.
오픈소스라이선스주요위반사례 FSF v. Cisco 2008 년 12 월 11 일, FSF 는 Cisco 를상대로 GPL 2.0 및 LGPL 2.0 위반을이유로소송제기 문제된제품은 Broadcom 이 Linksys 에제공한것으로, Linksys 를 Cisco 가인수하였기때문에현재라이선스를위반하고있는 Cisco 가소송대상이된것 2009 년 5 월 20 일 Cisco 는 Linksys 제품이자유소프트웨어라이선스를준수하는것을합의하였고, 또한 FSF 에비공개적재정지원을하는것을포함함으로써양사가합의 쟁점및시사점 : - 최초위반자가아니더라도기업인수등을통해서위반이지속되는경우현재위반을하고있는회사가책임을져야한다는점 - 비슷한예로, IBM 은 Think Dynamics 를인수할때 GPL 위반사항을발견하여인수가액을 50% 까지낮추기도했음 74 2016. Black Duck Software Korea all rights reserved.
오픈소스라이선스주요위반사례 FSF v. Apple 2010 년 5 월 Free Software Foundation 이애플사에 GPL 위반에대한경고레터발송 애플사의사용자약관 (EULA, End User License Agreement) 가 GPL 조항을위반함을통지 GPL Go 라는앱이애플앱스토어에서배포되고있었는데해당앱은 GPL 2.0 의적용을받음 앱개발자에대한소스코드공개요구와동시에애플사에 GPL 과상충되는사용자약관수정요청 상충된사용자약관의내용 - GPL 2.0 제 6 조추가적인제한금지조항 (NO FURTHER RESTRICTION) - 애플사용자약관의경우 : 애플사가정한 USAGE RULES 에따라서만앱을사용할수있고 5 가지기기에만다운로드받은앱을사용할수있도록제한 애플의대응및한계 - 논란이된앱을앱스토어에서삭제 - 해당앱을삭제함으로인해사용자약관과 GPL 의상충에대한법적결론도출실패 - 사용자약관을수정하지않음으로인해 GPL 적용이된앱의경우애플앱스토어에서유통이사실상어려움 - 앱개발자가 GPL 을위반한경우개발자도의무사항을준수해야하지만앱스토어의운영자도의무사항을부담하게되고앱스토어에서퇴출될위험성발생 쟁점및시사점 - GPL 적용을받는앱의자유로운배포와사용에대해추가적인제한금지 - 이러한의무는앱개발자가오픈소스라이선스상의준수사항을모두이행한경우에도추가적용가능 75 2016. Black Duck Software Korea all rights reserved.
오픈소스라이선스주요위반사례 회사명 위반제품 BestBuy, Co., Inc Samsung Electronics America, Inc Westinghouse Digital Electronics, LLC JVC Americas Corporation Western Digital Technologies, Inc Robert Bosch LLC Insignia NS-WBRDVD Blu-ray Disc Player LN52A650, LA26A450 LCD HDTV TX-52F480S LCD HDTV LT-42P789 LCD HDTV VN-C20U IP Network Camera WDBABF0000NBK WDTV HD Media Player DVR4C Security System DVR Airlink101 AR670W Phoebe Micro, Inc. AR690W wireless routers Airlink101 AICAP650W IP Motion Wireless Camera Humax USA Inc. Comtrend Corporation Dobbs-Stanford Corporation Versa Technology Inc ZyXEL Communications Inc. Astak Inc GCI Technologies Corporation icord HD HDTV DVR CT-5621, NexusLink 5631/ 5631E ADSL2+ bonded modems Frame Jazz EyeZone B1080P-2 digital media player PS-730 ITS Gateway VX-BW2250 weatherproof dual radio outdoor wireless access point P-663H-51 ADSL 2+ Bonded 4 Port Router CM-818DVR4V security camera system with DVR, CM-04DE, CM-04DEV security system DVR devices Cortex HDC-3000 digital music controller 76 2016. Black Duck Software Korea all rights reserved.
오픈소스라이선스주요위반사례 삼성전자 exfat 2013 년 6 월 25 일, 19 살유럽거주 A 여대생이 'GitHub' 에 'exfat' 파일시스템을위한리눅스커널드라이버를업로드함 라이선스문제를명확히하라는요구에 A 여대생은안드로이드커널 3.0 에서얻은것이며, 삼성소프트웨어유출본이라고밝힘 삼성저작권침해라는주장에 A 여대생은해당소프트웨어가 GPL 코드를포함하고있어삼성전자가 GPL 라이선스에따라공개했어야한다고반박 관련업계전문가들사이에서논쟁이뜨거워짐 8 월 16 일, 삼성전자는 삼성오픈소스릴리즈센터 ' 를통해 'exfat' 공개 소스코드유출경위및 exfat 드라이버공개를통해야기될수이는제 3 자의특허침해가능성 (MS 특허 ) 등에대해논란확산 77 2016. Black Duck Software Korea all rights reserved.
오픈소스라이선스주요위반사례 Versata Software v. Ameriprise Versata 는특허소프트웨어제품인 DCM(Distribution Channel Management) 에 XimpleWare 라는회사의 GPLv2 로라이선싱된오픈소스기반의 XML 파싱유틸리티를사용 Versata 는 Ameriprise 라는금융서비스회사에 DCM 소프트웨어를라이선스하였음 그러나 Ameriprise 가하도급업체로하여금 Versata 와경쟁하도록소프트웨어를디컴파일링하도록만들었고, 이것이라이선스위반이라고주장하며 Ameriprise 를상대로소송을제기 Ameriprise 는이에맞서 Versata 소프트웨어는 GPLv2 로라이선싱된오픈소스소프트웨어가포함되어있고, 따라서 Versata 소프트웨어는파생물로간주되어타업체가디컴파일링및수정할수있다는주장을근거로소송을제기 GPLv2 라이선스내용, 필수저작권통지내용, 소스코드사본등 GPLv2 소프트웨어에통상포함시켜야할내용일체를 DCM 의오픈소스부분에서없앴다는사실이밝혀짐 이사실을알게된 XimpleWare 는 Versata 와 Ameriprise 는물론 Versata 의고객들을저작권및특허권침해로고소 쟁점및시사점 : - 과거에는오픈소스소프트웨어재단들이오픈소스를잘못활용했다고라이선스침해를주장하는정도에그쳤었으나 XimpleWare 는상업적목적에서이를주장하였음 - 이와같이오픈소스소프트웨어세계가변화하기시작했으며, 상업적목적으로이를활용하는사례가증가할가능성이있고이로인해공급망관리필요성이증대되고있음 78 2016. Black Duck Software Korea all rights reserved.
오픈소스라이선스주요위반사례 Patrick McHardy 리눅스커널개발자인 Patrick McHardy 는 2013 년 12 월부터적극적으로독일에서 GPL 소송제기를시작하였음 McHardy 는리눅스커널네트워킹스택, netfilter, iptables, iproute2, IMQ 그리고 nftables 의저작권을보유하고있음 대기업을포함한여러기업체에대한저작권침해주장을진행 / 합의중 최근에는채널 / 유통업체까지타겟으로삼고있는듯함 기존의라이선스집행사례와상이한점 : - 경제적인동기로진행중인것으로보여짐 - 현재까지합의된건을바탕으로불안감증대 - 커널기반의저작권 - 조잡한 정지명령 편지와컴플라이언스엔지니어링 - 짧은기간안에반복되는소송제기 - 코드와함께라이선스를배포하는것에대한엄격한견해 - 적발된기업이아닌 McHardy 와그의변호사가먼저합의조건을제시 - 컴플라이언스와개선방안에대한의논이없음 79 2016. Black Duck Software Korea all rights reserved.
오픈소스라이선스주요위반사례 Hellwig v. VMware 2015 년 3 월 5 일에 Software Freedom Conservancy (SFC) 는리눅스커널개발자인 Christopher Hellwig 가 VMware 를상대로함부르크지방법원에소송을제기하였음 Hellwig 는 VMware 의 ESXi 제품이리눅스커널내의자신의저작권을침해한다고주장 청구내용 (Claims): - VMware ESXi 의커널소스코드가 GPL v2.0 에의해공개되지않는다면커널배포에대한정지명령 (Cease and desist) - 정지명령관련으로소비된비용청구 이건의경우링크 / 결합물에관한문제 ( 뒷장도표참조 ) : - VMware 의 ESXi 는리눅스커널모듈을상용커널에로드함 - VMware 는 vmkernel 과리눅스커널코드사이에 shim 층을사용하고있을수있으며, VMware 는 shim 층이있기때문에위반이되지않는다고주장 - Hellwig 측은결합방법의기술적인세부사항을변경한다고하여법적해석이바뀌는것이아니며, SFC 의조사에따르면 VMware 는실제로 shim 층을사용하지않는다고주장함 : 증거에의하면제품은리눅스코드와 vmkernel 을나란히수정하여결합하는형식으로개발된것으로보여진다. 쟁점및시사점 : - 근본적으로, 정확히어느시점에서두프로그램이결합이라고정의내릴수있는지법정에서판결을내려줘야할것 - Linking 에관한문제는오랫동안논의되어왔던사항 - 그러나 linking 이발생할수있는여러가지상황이있으며, 이건은그중일부의경우에대해서만명확히할가능성이있음 80 2016. Black Duck Software Korea all rights reserved.
오픈소스라이선스주요위반사례 Hellwig v. VMware 81 2016. Black Duck Software Korea all rights reserved.
오픈소스라이선스주요위반사례 Google v. Oracle 구글이안드로이드생태계를형성하는과정에서자바시스템을부분적으로도입하여발생한사건으로, 최초의플랫폼저작권사건 구글이저작권보호를받는 166 개의 Java API 패키지들중 37 개를취하여그것들의이름, 이름들의구조 (name organization), 기능성을복제하여제품에그대로사용한후저작권적요소를보완하기위한실행코드를작성한사건으로축약될수있음 1 심에서의쟁점 : - API 에저작물성을인정할수있는지 - API 에 아이디어 - 표현합체이론 (merger doctrine) 을적용할수있는지 2 심에서의쟁점 : - 오라클은 7 천줄의선언구문에대해서는문언적침해를주장 - 37 개의 Java API 패키지의구조 (structure), 시퀀스 (sequence), 그리고조직 (organization) 의복제에대해서는비문언적침해를주장 대법원 (2015. 6. 29) : - 상고불허가 - 1 심법원에서다시심리 - 오라클은 2010. 12. 출시된진저브래드부터 2014. 11. 나온롤리팝까지모든안드로이드버전이자바의저작권을침해하였다며자바 api 패키지가없었다면안드로이드가제대로구동되지않을것이라고주장 쟁점및시사점 : - 구글의오라클에대한책임이인정될경우안드로이드운영체제를이용하여휴대폰을제조한제조사, 안드로이드운영체제를이용한애플리케이션개발사에게도책임이인정될것인지 82 2016. Black Duck Software Korea all rights reserved.
오픈소스라이선스주요위반사례 Xiaomi Xiaomi 는 GPLv2 라이선스위반으로인해많은개발자들에게비난받아왔으며, 결국문제가되는소스코드를라이선스조항에따라공개하기로결정 문제가되는부분은 Xiaomi 기기에사용되는안드로이드브랜치의커널소소코드로, 안드로이드는아파치 2.0 라이선스로재배포시에원본소스코드또는수정한소스코드를반드시공개되어야하지는않음 그러나안드로이드의기반이되는리눅스커널은아파치라이선스에해당하지않으며 GPLv2 라이선스로배포되고있어 GPLv2 의속성에따라리눅스커널기반의안드로이드또한 GPLv2 라이선스를갖게됨 따라서안드로이드를사용하는 Xiaomi 는 GPLv2 라이선스조항준수의무가발생하며소프트웨어수정및링크시모든코드를 GPL 에의해공개해야함 Xiaomi 가 GPLv2 라이선스조항을준수하게하기위한청원은여러번이행되었으나, 오랫동안준수되지않고있었음 2015 년 3 월 31 일, Xiaomi 는 Mi3, Mi4, 그리고 Mi Note 의소스코드를공개 Mi3 (world, CDMA), Mi4, 그리고 Mi Note 의커널소스코드는 Xiaomi 의 GitHub 페이지에서확인할수있고, 아무나열람가능하며이번공개는향후커스템 ROM 에코시스템발전에기여할것으로기대됨 83 2016. Black Duck Software Korea all rights reserved.
오픈소스라이선스주요위반사례 기타국내분쟁사례 타조분쟁 그루터의권영길대표는, SK 텔레콤이이업체와기술협력을맺은뒤, 핵심기술인력과몰래거래하는방식으로피해를입히고, 또한이기술을 SK 텔레콥이 주도적으로참여해개발 한것이라고마케팅하여업무를방해받았다고주장 그루터는오픈소스소프트웨어인 아파치타조 에대한기술지원을제공하고있는업체로, 아파치타조 에관한한국제적인명성을얻을정도로중요한공헌자로평가받고있음 그루터권영길대표의주장 : - SK 텔레콤에서타조관련솔루션을다른업체에도적용시키는대외사업을시작하면서그루터와정식라이선스로기술지원계약을맺지않고, 용역방식을요구하기에거부 - 후에그루터의 CTO 인김모씨와 SK 텔레콤이은밀한거래를했다는의혹이불거짐 - 김씨는그루터의핵심기술인력으로그를직원이나용역인력처럼사용할수있으면 SK 텔레콤은그루터의기술지원은받지않아도될정도 - 실제로김씨는그루터와상관없이 SK 텔레콤의기술지원을돕고있는것으로밝혀졌고, 거래가이뤄진것인지는확실하지않음 이사태에서의문제점 : - 오픈소스에대한개념을이해하지못하고있는대기업경영진 - 오픈소스제품에서조차 원청 - 하청 이라는갑을관계로끌고가려는관행 현재권대표는미국내기업들에게도 SK 텔레콤이접촉해업무를방해한행위들이밝혀졌다고주장하고있고, 미국에서징벌적손해배상청구소송이가능한지변호사를통해검토할예정 84 2016. Black Duck Software Korea all rights reserved.
오픈소스라이선스주요위반사례 기타국내분쟁사례 자동차 GPL V3.0 85 2016. Black Duck Software Korea all rights reserved.
4. Black Duck Suite 86 2016. Black Duck Software Korea all rights reserved.
오픈소스거버넌스및컴플라이언스자동화관리솔루션 Black Duck Suite 87 2016. Black Duck Software Korea all rights reserved.
오픈소스라이선스검증솔루션 Protex Dashboard My Protex Manage Identify Review Report Protex 를통한검증데이트들을종합하여사용자가쉽게사용자의오픈소스사용현황을확인할수있도록대시보드를제공 Top Components 팀구성원간사용된프로젝트에서가장많이사용된오픈소스컴포넌트를통계로확인 Top License 팀구성원간사용된프로젝트에서가장많이사용된오픈소스라이선스를통계로확인 Your Project 현재사용계정에할당된프로젝트리스트및진행현황을확인할수있음 Protex 대시보드는사용자의데이터를종합하여현재프로젝트진행상태와함께사용된 오픈소스및라이선스, 라이선스위반현황을쉽게파악하고모니터링할수있는대시보 드를제공 88 2016. Black Duck Software Korea all rights reserved.
전사오픈소스포탈 Black Duck Hub 89 2016. Black Duck Software Korea all rights reserved.
오픈소스 지식창구 Black Duck KnowledgeBase 2,400개 이상의 라이선스 정보 100만개 이상의 OSS 프로젝트 35억개 이상의 암호화된 코드 수백억 이상의 코드라인 사용자 컴포넌트 구축 및 메타데이터 60,000개 이상의 Security Vulnerability 정보 since 2002 대규모 전담 KB 팀 및 프레임워크 8,500개 이상의 사이트에서 수집된 데이터 90 300,000 OSS 개발자 2016. Black Duck Software Korea all rights reserved. 지속적인 업데이트
블랙덕서비스 Open Source Inner Source OPEN SOURCE STRATEGIC SERVICES Legacy Business Technology Product Community OPEN SOURCE GOVERNANCE SERVICES OSS Policy OSS Process Governance Optimization Remediation Assess Plan Implement Train Black Duck also offers custom open source industry research services 91 2016. Black Duck Software Korea all rights reserved.
문의 블랙덕소프트웨어코리아김병선상무 briankim@blackducksoftware.co.kr (02)538-9227