软安科技-优快云博客

原创专有软件使用Linux内核的用户头文件违反GPL吗？| 开源合规场景

某芯片客户的研发团队咨询了我们这样一个场景：他们的软件操作系统采购了一家某商用的linux操作系统（商业许可），在构建时，从开源组件kernel-lpae-devel中引入了一个头文件dma-heap.h，这个头文件是GPL-2.0许可，咨询我们这样做是否有合规风险？

2025-10-23 11:28:13 430

原创使用Public Domain的软件代码有风险吗？| 开源合规场景

开源合规场景100问」是软安科技联合广东信达律师事务所邹良城律师团队出品的栏目，以解析实际案例来解答开源许可合规的各种需求，以实战角度输出干货。本栏目长期连载，每期问题均来自用户真实案例，欢迎大家参与交流与探讨。某智能座舱企业提交给国外车厂的开源许可合规报告，当中包含一个开源组件SAX1.0（开源协议为SAX），此协议已被官方认可为：公共许可（Public Domain），但国外车厂仍要求用户给出进一步的合规解释？该国内企业应如何处理？

2025-09-22 16:51:04 697

原创拟以Apache 2.0开源的项目中包含GPL 2.0协议组件，如何规避合规风险？ | 开源合规场景100问

拟以Apache 2.0开源的项目中包含GPL 2.0协议组件，如何规避合规风险？某车规级芯片软件研发团队计划将部分代码仓库开源以促进生态运营，原计划采用Apache 2.0协议，但开源前发现内部含有GPL 2.0协议的开源组件，应如何合规处理？GPL 2.0属于强Copyleft类许可证（常被通俗称为具有“传染性”），要求任何基于 GPL 2.0 代码的衍生作品（包括修改或组合后的作品）必须同样适用 GPL 2.0 协议，不允许以其他许可证（如 Apache 2.0）进行再授权，

2025-09-01 15:24:06 545

原创开源合规场景100问 | 第1问：使用LGPL代码被审计出风险，应如何规避风险？

在开源软件广泛应用的今天，企业在使用第三方组件、发布产品、建立开发流程时，正面临越来越多的来自各类场景的开源许可合规要求，这些场景不仅仅需要技术判断，还需要结合法律边界的综合考量，最终合规落地。

2025-08-29 10:18:34 489

原创开源合规通关秘籍丨基于罗盒诉玩友案探析GPL-3.0协议的法律效力

本案的判决，不仅明确了GPL-3.0开源协议在我国法律体系中的合同效力，也将“使用开源≠不受约束”这一现实摆上了企业合规管理的台面。对于企业而言，是否使用了受限许可的软件、是否触发了开源协议的传染性条款、是否存在未履行的开源义务，已不再是可忽略的开发细节，而是潜在的法律风险。软安源兮SCA是一款开源软件成分分析工具，正是为此类风险“提前踩刹车”的解决方案。它可以帮助开发者快速识别项目中使用的开源组件、对应的许可证类型、合规义务和风险等级，及时发现并规避因误用开源而带来的侵权隐患。

2025-07-16 10:37:23 1022

原创注意！“氛围编程” 玩脱了，分分钟变 “粪围” 现场

在 AI 平权浪潮下，Vibe Coding 让「人人都是开发者」成为可能 —— 哪怕是毫无编程基础的普通人，也能用自然语言孵化出个性化 App 创意。但正如代码面前人人平等，安全防护也不该是白帽黑客的「专属特权」：软安工具也在「平民化改造」——界面要够「傻瓜」：告别命令行黑窗口，用可视化面板让小白也能一键启动漏洞扫描；报告要够「说人话」：把「SQL 注入风险（CVE-2023-34478）」翻译成「你的用户输入没过滤，黑客能偷数据」；

2025-07-09 10:00:00 726

原创静态分析过程中遇到的开源代码缺陷应该如何处理？

之前我们分析了想要获得准确有价值的静态分析结果，需要编译过程的介入。然而，现代的软件开发过程引入了大量的开源代码，参与编译的代码/工件并不全是自研的，软安SCA工具在一次对单体车机系统的完整扫描过程中，发现在约100G的项目中，有6500+的开源组件需要被治理，从代码占比的角度来说，80%以上的代码都是由开源部分构成。本质上来说，不论自研或是开源，都会作为源代码参与到静态分析的过程；我们以1024当天开源的AutoSAR项目小满（）为例解释一下这里的关系；

2025-07-08 10:38:02 690

原创一个“空值”引发的惨案！Google Cloud全球宕机，再次敲响异常输入测试的警钟

近日，Google Cloud发生了一起罕见的大规模宕机事件，牵连了包括 YouTube、Spotify、Discord、OpenAI、Cloudflare在内的无数依赖 Google 基础设施的服务。新部署的策略解析逻辑中存在一个未经充分测试的路径，在接收到该异常输入后，触发了空指针异常，导致服务进程反复崩溃，最终波及多个区域核心系统。这个案例再次告诉我们：没有经过异常输入检验的系统，是不完整的系统。模糊测试，就是在正式上线前，把系统丢进“异常风暴”里走一圈，让意外在实验室爆炸，不在生产线上爆炸。

2025-07-08 10:28:27 379

原创 AI代码正悄悄“埋雷”？“幻觉依赖”正在威胁软件供应链

以vuejs/vue-hot-reload-api组件为例，该组件的最后一个版本发布距今已有2044天，组件近一年无任何版本提交，贡献者也为0，开发团队的活动趋势明显减少，存在运维停止的风险，不建议继续使用该组件版本。尽管尚未发现攻击者利用此漏洞的实际案例，但网络安全公司Socket的研究人员警告称，这些幻觉包名具有常见性、可重复性和语义合理性，形成了可预测的攻击面，所以这些幻觉导致的错误依赖必须要"应检尽检"，防患于未然。软安源兮SCA通过组件清单及组件的下载量、热度等信息，判断软件包是否存在运维风险。

2025-05-13 11:27:11 435

原创 ROS 2.0：具身智能时代的 “中枢神经”潜藏哪些安全危机？

从机器人春晚表演到具身智能上升为国家战略，以ROS2.0为代表的机器人操作系统正站在智能革命的中心。但在飞速演进的背后，开源系统的安全隐患也逐渐显现。本文通过软安静兮对ROS 2.0代码的深度分析，揭示潜藏的风险与改进方向。

2025-04-27 17:14:47 1413

原创守护数字生命线：从Erlang/OTP高危漏洞看开源治理的必要性（附受影响开源项目表）

近日，Erlang/OTP SSH组件曝出编号为CVE-2025-32433的致命漏洞，CVSS评分高达10.0分，成为2025年最具破坏力的安全事件之一。攻击者无需任何身份认证，仅需发送特制的SSH协议消息即可远程执行任意代码，若SSH守护进程以root权限运行（常见于电信设备、工业控制系统等场景），攻击者可直接接管整个系统。

2025-04-22 15:21:13 1457

原创开源合规通关秘籍（二）｜人工智能大模型许可证

近年来，人工智能大模型已从技术实验室走向全球产业化的核心舞台。而这一技术的背后，开源与闭源的博弈、数据版权争议及伦理风险日益凸显。开源虽然加速了AI模型的发展，但缺乏许可证约束可能导致模型滥用或知识产权纠纷。因此，了解AI许可相关的要求、限制、成本以及作用对于开发人员、研究人员、企业以及使用者都至关重要。训练数据的开放可能涉及版权风险（如使用受版权保护的书籍或网页内容）；包括模型架构、超参数和优化算法；决定模型能力的核心参数。目前，OSI正推动开源AI定义1的标准化。

2025-04-09 17:24:59 1040

原创开源合规通关秘籍（一）｜深度解析互惠型许可证的合规之

开源软件（oss）许可证是数字时代协作创新的法律基石，其核心在于通过明确的权利与义务框架，既保障开发者对知识成果的归属权，又为全球开发者提供自由使用、修改与分发的通行证。现如今普遍使用的“互惠型/著作权型”（copyleft）许可证为GNU通用公共许可证，通常简称为GPL。它是由自由软件基金会(FSF)创建的开源协议，为了确保GNU软件的自由性、防止闭源，1989年发布了第一版GPL许可证。互惠型许可证通常要求对任何修改后的源代码必须向他人开放，允许二次修改和再分发；

2025-04-03 10:53:54 1588

原创 AI/ML Bill of Materials (AI-BOM)：构建安全透明的AI生态

然而，AI系统的复杂性也带来了诸多挑战，如数据安全、合规风险、数据偏见、隐私泄露和对抗性攻击等问题，引发了人们对AI安全的广泛关注，并促进了AI安全相关的标准、规范及框架制定，如TC260-003《生成式人工智能服务安全基本要求》、OWASP Top 10 for Large Language Model Applications及LLM and Gen AI App SecOps Framework等。全面记录：AI-BOM详细记录了AI系统的所有组成部分，包括数据集、模型、算法、软件、硬件和依赖关系。

2025-03-28 15:56:29 1035

weixin_60602539的博客