开源IP“有毒”,应该引起高度关注

2020-06-03 14:19:46 来源: Sophie

来源:本文由半导体行业观察编译自designnews,谢谢!


在半导体芯片领域,IP支持创建高度复杂的片上系统(SoC)和随附的软件系统,这些系统是当今消费电子市场(如智能手机和其他移动设备)的基石。
考虑到IP在电子和机电一体化设计和制造中的重要性,您认为这将是一项非常珍贵且管理良好的资产。根据最近的2020年开源安全和风险分析(OSSRA)报告,情况并非如此。该报告的主要发现是Synopsys网络安全研究中心(CyRC)专门研究开放源代码软件组件的结果,其中91%的商业应用程序包含过时或废弃的开放源代码组件,这可能是一个严重的安全性。威胁和法律关注。
此外,该报告还显示,经审计的1,250个商业代码库中有99%包含开源代码,而开源代码占总体代码的70%。根据一份新闻稿,“更值得注意的是,陈旧或废弃的开源组件的继续使用,其中91%的代码库包含的组件已过期四年以上,或者在该版本中没有开发活动。
四个主要发现是:
· 开源的采用率继续飙升。(36%)。
· 过时且“废弃”的开源组件无处不在。
· 易受攻击的开源组件的使用再次呈上升趋势。
· 开源许可证冲突继续使知识产权面临风险。
开源软件与任何其他软件都没有什么不同,因为开源软件的使用受许可的约束,该许可描述了传达给用户的权利以及这些用户必须履行的义务。
开源倡议(OSI)是一家非营利性公司,致力于在商业世界中推广开源软件的使用,它定义了10个标准的开源并列出了82个OSI批准的许可,其中9个是“受欢迎,广泛使用或拥有社区。”

图片来源:开源许可证,Synopsys 2020开源安全和风险分析(OSSRA)报告


OSSRA报告的分析表明,最流行的20种许可证覆盖了使用中的约98%的开源。使用大量开源许可证的一个应用程序是区块链项目。报告指出,一个这样的项目使用了GNU Affero通用公共许可证(AGPLv3),该许可证通常规定:“如果在软件中使用许可的组件(或衍生版本),则必须在与以下条件相同的条件下提供源代码:原始组件。” 许多公司都不愿开放自己的源代码以供一般使用,并且对于任何确保合规性的问题都保持警惕。

图片来源:Synopsys 2020开源安全性和风险分析(OSSRA)报告
阅读OSSRA报告的工程师可能会说:“好吧,那又如何呢?除了要做的所有关键设计,验证或制造工作之外,我真的需要担心开源软件(或硬件)的合规性和IP管理问题吗?”
对于芯片硬件工程师来说,这个问题特别麻烦。马里兰大学的客座研究员,IPextreme的前首席执行官沃伦·萨维奇(Warren Savage)承认这个问题:“开源硬件(即IP)长期以来一直引起半导体界的兴趣。但是,与其堂兄的开源软件不同,它未能对半导体IP市场产生实质性的影响。这里有技术和法律问题。鉴于晶圆的成本高达数百万美元,如果IP会出现潜在的错误或甚至更糟的是专利侵权问题,很少有工程经理愿意打赌。
迈克尔·蒙西(Michael Munsey)在达索系统公司(Dassault Systems)工作时,曾这样回答问题:“大多数设计人员和验证工程师都了解片上系统(SoC)设计中IP重用的需求。但是似乎很少有人意识到这种IP将需要的管理和治理。例如,随着公司重复使用更多的内部IP并获取更多的外部IP,他们将需要创建编目系统。该目录将根据其用法和已知缺陷对IP进行分级。就像内部IP一样,不仅必须跟踪第三方IP的错误问题,还要跟踪版税和许可付款。对于大型公司而言,所有这些管理活动都需要在多个项目中进行。”
对于消费电子产品和其他大众市场,最后一点变得越来越关键。通常在一个产品系列(例如智能手机)中处理多个项目,需要管理略有不同的设计。Dassault Systemes数字和行业副总裁Olivier De Percin指出,设计中的大规模定制也意味着该领域存在许多变体。跟踪设计,制造和现场变化都需要具有管理所有资源(尤其是所有IP)的能力。
保留设计中使用的所有硬件和软件IP的数据库的另一个原因是要防止侵权。大多数公司面临的最大问题是他们不知道拥有什么IP。原因之一是公司数据库内部的不良治理。通常,公司只会忘记使用IP的位置。应该有一个受管理的血统书或知识产权遗产记录。

不管喜欢与否,IP的治理和管理是处理过时和废弃的设计甚至制造代码的主要方法。问题是,谁去做?



*免责声明:本文由作者原创。文章内容系作者个人观点,半导体行业观察转载仅为了传达一种不同的观点,不代表半导体行业观察对该观点赞同或支持,如果有任何异议,欢迎联系半导体行业观察。


今天是《半导体行业观察》为您分享的第2329期内容,欢迎关注。

推荐阅读


华为芯片,路在何方?

国产EDA的新机会

德州仪器的模拟巨头成长之路


半导体行业观察

半导体第一垂直媒体

实时 专业 原创 深度


识别二维码 ,回复下方关键词,阅读更多

两会|台积电|RISC-V|汽车芯片|AI|EDA|中美|晶圆 | 射频


回复 投稿 ,看《如何成为“半导体行业观察”的一员 》

回复 搜索 ,还能轻松找到其他你感兴趣的文章!

责任编辑:Sophie

相关文章

半导体行业观察
摩尔芯闻

热门评论