Как обнаруживается нарушение лицензионных соглашений в ПО?

Question

[Сергей Соловьев]

Как обнаруживается то, что кто-то при разработке своего ПО нарушил чужое лицензионное соглашение?
Имею ввиду нарушение лицензионных соглашений кода: библиотек, других консольных утилит.

Например: я - компания, разрабатываю ПО под закрытой лицензией и исходный код никому не показываю, но использую какой-нибудь libffmpeg (который LGPL) и при этом компилирую статически и не указываю спец. ключи для удаления нарушающих лицензию компонентов. Как это обнаруживают?

Что я предполагаю:
- Сотрудники компании это разглашают
- Кто-то декомпилирует мое приложение
- Приходят аудиторы внешние (не знаю какие)

Какие еще могут быть возможности этого? И нет ли примеров из реальной жизни - новости, статьи о таких событиях?

Comments

[hint000]

Приходят аудиторы внешние (не знаю какие)

Ну вот, опять! Аудиторы к вам приходят только тогда, когда вы их пригласили и заплатили за их работу. Аудиторы работают для вашей пользы (а не для вреда), когда вы хотите узнать, нет ли у вас косяков, которых вы не заметили. За ваши деньги нанятые вами аудиторы находят у вас косяки и рассказывают вам, после этого вы исправляете косяки и спите спокойно.

Если вы думали, что толпу злобных аудиторов насылают конкуренты, то вы их перепутали с асассинами. :)

[Сергей Соловьев]

hint000, возможно неправильно выразился. под аудиторами имею ввиду инспекцию всякую, например, у банков есть своя инспекция и им (банкам) нельзя просто так взять и использовать всякие ML модели - их необходимо уметь описывать (без всяких "ну вот веса")

Answer 1

[ValdikSS]

Проще всего обнаружить по текстовым строкам внутри бинарного файла.
У подавляющего большинства библиотек есть текстовые сообщения: информационные, об ошибках, и т.п., часто они достаточно уникальны для того, чтобы понять, что это за ПО.

Вот вам случай из жизни: https://twitter.com/ValdikSS/status/1745895663978611060

Answer 2

[Василий Банников]

1. По косвенным признакам (например ты статически слинковал какую-то библиотеку под вирусной лицензией). Потом твой клиент написал кляузу владельцам этой библиотеки и они подают в суд - далее в суде ты обязан будешь предъявить свои исходники на экспертизу.

2. Сотрудники могут разгласить это.

3. Косвенно по специфике работы - если эта библиотека очень специфичным способом работает, обращается к каким-то специфически названным ключам в конфиге, то тогда тоже можно обратиться в суд и потребовать проверку

4. Библиотека уникальная и де-факто является единственным способом решения какой-то задачи (редкий кейс)

5. Некоторые библиотеки могут помазать свой код телеметрией

6. Сотрудники твоей компании могут начать контрибутить в эту библиотеку - если это увидят, то тогда закономерный вопрос - а не получают ли они зарплату за это.

В любом случае лучше не рисковать - уже есть случаи судов по поводу нарушения свободных лицензий.
Помни, что ты всегда можешь стать прецедентом, если вдруг нарушишь.

Comments

[Сергей Соловьев]

Есть какой-то сайт-агрегатор (или что-то наподобии) где есть судебные дела?

[Василий Банников]

Сергей Соловьев, есть. Но в каждой стране свой и надо искать. Ща поищу парочку решений

[Василий Банников]

Сергей Соловьев, глянь, например, Software Freedom Conservancy, Inc. v. Vizio