오픈 소스 무결성 보장: 복제 기반 재사용과 라이선스 준수의 교차점

다른 창작물과 마찬가지로 소스 코드(source code)는 저작권(copyright)에 의해 보호됩니다. 소유자는 저작물을 라이선스(license)할 수 있으며, 예를 들어 복제 및 기타 종류의 사용을 허용하거나 라이선스 위반자를 상대로 법적 절차를 시작할 수도 있습니다. 그러나 소스 코드는 명시적인 패키지 관리자 의존성(package manager dependencies) 없이 복제하는 방식 등 미묘한 방식으로 재사용될 수 있으며, 이는 잠재적인 라이선스 미준수(license noncompliance)를 판단하기 어렵게 만듭니다. 본 논문에서는 오픈 소스 소프트웨어 전체를 근사하는 World of Code 인프라를 사용하여, 프로젝트 간의 직접적인 복제를 매핑하는 복제 기반 코드 재사용 네트워크(copy-based code reuse network)를 구축하고, 이를 통해 전체 오픈 소스 생태계 전반에 걸친 잠재적 라이선스 미준수의 범위를 정량화합니다. 또한, 코드 복제가 원본 프로젝트의 라이선스에 영향을 받는지, 만약 그렇다면 다른 프로젝트 특성에 따라 어떻게 달라지는지 이해하기 위해 회귀 모델(regression models)을 추정합니다. 연구 결과, MIT 및 Apache와 같은 허용적 라이선스(permissive licenses)를 가진 저장소의 코드는 프로그래밍 언어 전반에 걸쳐 재사용될 가능성이 더 높게 나타났습니다. 반면, GPL과 같은 카피레프트(copyleft) 라이선스는 혼합된 효과를 보였습니다. 퍼블릭 도메인(Public domain) 라이선스는 제한 없는 사용을 허용하는 것이 목적임에도 불구하고, 복제 기반 재사용 가능성이 더 낮은 것과 연관되어 있었습니다. 광범위한 잠재적 라이선스 미준수가 복제 기반 재사용과 동반되는 것으로 나타났으며, 특히 라이선스가 불분명하거나 없는 경우 프로젝트 조합의 39.4%가 잠재적 미준수 위험에 처해 있었습니다. 우리의 연구 결과는 복제 기반 네트워크를 통해 탐지된 재사용 중 단 2.43%만이 의존성 분석(dependency analysis)을 통해 발견 가능하다는 것을 보여주며, 이는 복제 기반 재사용을 포착하는 데 있어 기존 의존성 추적 도구(dependency-tracking tools)의 한계를 강조합니다.