2010/05/13

Open Source License Scanning tool - from Florence

一篇來自中研院葛冬梅小姐的信轉貼於此,主題是「關於原始碼版權的掃描分析工具」,在此特別感謝她。並順便協助宣導一下 OpenFoundry, 她們一直努力推廣 Open Source, 不止是版權問題的討論,還辦過非常多研討會等活動,也都有資料可以下載

【掃描原始碼】

就我所知,目前有三套系統是可以掃描軟體原始碼,來查驗原始碼是否包含自由軟 體程式碼,以及判斷這些原始碼是採用哪一份條款來授權。這三套系統為 FOSSology、Blackduck與Palamida。雖然這三套系統都可以掃描原始碼、提供授權 資訊,不過就我個人所知,這些系統掃描精確度都有需要改進之處,因此這些掃描 結果僅可以作為輔助參考之用,若真的發現有授權狀態不相容、侵權情況的時候, 還是必須要諮詢技術與法律人員,來解決不相容、侵權的問題。以下針對三個系統 分別說明。

1. Fossology

這是一套掃描原始碼檔頭授權資訊的系統,系統會將掃描到的檔頭資訊與資料庫中 的自由軟體授權資訊相比對,來確認軟體中是否有利用到自由軟體,並不會掃描所 有的原始碼。對於檔頭沒有授權資訊的原始碼檔案來說,就無法確認該檔案的授權 狀況。優點是免費、任何人都可以自由下載與安裝。您利用這套系統的方式有二:


(1) 利用現成的vdi檔。

為了方便他人利用這套系統,鑄造場將Fossology系統製作成vdi檔,只要安裝 VirtualMachine後,將這個vdi檔掛載上去,依照說明就可以掃描原始碼的授權狀態。

請您進入下列網頁,進入後點選左方選單「下載區」,進入下載區頁面後,就可以 下載vdi檔與相關說明文件

Fossology vdi from OSSF:http://of.openfoundry.org/projects/1342

(2) 自行下載與安裝。

自行到Fossology網站下載後安裝起來,網址: http://www.fossology.org/


2. Blackduck

這是美國一家專門提供自由軟體原始碼掃描比對服務的公司,收費不貲,優點是資 料庫龐大。該軟體目前在台灣有兩家代理公司分別如下:

鈦智科技:http://www.adnetwork.com.tw/pro-blackduck-cn.htm

倚碩科技:http://www.esoft.com.tw/blackduck.php


3. Palamida

這是一家提供自由軟體安全諮詢管理公司,提供服務的方式是透過系統掃描原始碼 檔案,然後針對掃描結果提供諮詢服務,這間公司並且與 OSRM合作,提供自由軟 體 風險保單供業者購買。


Palamida:http://www.palamida.com/

OSRM風險保單的頁面:http://www.osriskmanagement.com/insurance.html

【掃描目的碼】

就我目前所知,僅有一套軟體可以掃描二進位的目的碼,也就是今日講師Shane所 提過的Binary Analyzing Tool。這是自由軟體,您可以上網自行下載安裝來掃 描。網址如下:

http://www.binaryanalysis.org/en/home


由於這套軟體最近才釋出,我對於這套系統所知有限,因此無法多做評論。若是您 之後有下載來使用,非常歡迎提供您的心得給我參考。


以上每個系統各有優缺點,因此我想您還是必須就貴公司的狀況,來個案評估,採 用哪一個系統比較適合。

以上資訊供參考,希望對您有所幫助。若還有任何疑問與意見,歡迎來信討論!


祝 順心

Florence T.M. Ko 葛冬梅
Legal Specialist, OSSF
e: tmk2005@citi.sinica.edu.tw
p: +886-2-27883799 ext. 1474
w: http://www.openfoundry.org/