Czy ryzyko licencyjne może być największym problemem przyszłości open source? Eksperci nie mają wątpliwości
Czy ryzyko licencyjne może być największym problemem przyszłości open source? Eksperci nie mają wątpliwości
Istotą open source jest możliwość nieodpłatnego wykorzystania i modyfikowania kodu na zasadach określonych w licencji. Licencje permisywne nakładają na deweloperów i organizacje minimalne ograniczenia, z kolei licencje typu copyleft mogą obejmować wiele restrykcji, np. obowiązek udostępnienia rozwiązania wytworzonego przy użyciu otwartego kodu. W obu tych przypadkach twórcy mogą zmienić warunki korzystania z oprogramowania i jego komponentów, co dla obecnych użytkowników rodzi sporo problemów. Jakie konsekwencje niesie ze sobą ograniczenie dostępu do kodu? Czy można się przed nimi bronić?
Gdy główna korzyść staje się ryzykiem
Korzystanie z otwartego kodu daje organizacjom wiele korzyści – od szerokiego zakresu funkcjonalności, przez wsparcie społeczności, aż po możliwość tworzenia innowacyjnych rozwiązań. Jednak spośród wszystkich opcji najczęściej wskazywaną jest redukcja kosztów. Według badań aż 36,6 proc. specjalistów uznało brak opłat licencyjnych za główną motywację do stosowania rozwiązań opartych na otwartym kodzie[1]. Jednocześnie niemal co druga osoba wskazuje, że kwestie związane z licencjami ograniczają wykorzystanie open source w ich firmie[2]. W jaki sposób?
– Choć w powszechnym rozumieniu otwarte oprogramowanie kojarzy się z zupełnym brakiem ograniczeń, rzeczywistość wygląda nieco inaczej. Licencje open source często zawierają całą listę ograniczeń dla użytkowników. Czasami jest to brak możliwości wprowadzenia modyfikacji lub wykorzystania kodu do własnych, komercyjnych projektów. Innym razem ograniczany jest eksport powstałego rozwiązania do innego kraju lub nakładane są jednostronne sankcje, które uniemożliwiają pobieranie aktualizacji projektu – wyjaśnia Tomasz Dziedzic, CTO Linux Polska.
Złamanie warunków, na których udostępniane jest otwarte oprogramowanie może mieć poważne konsekwencje prawne i finansowe. Licencje open source wymagają zatem od organizacji bardzo szczegółowej analizy. Jednak czy poznanie i przestrzeganie warunków korzystania z udostępnionego projektu jest wystarczającym zabezpieczeniem dla użytkowników? Jak wskazuje Tomasz Dziedzic, należy dodatkowo pamiętać o tym, że zakres licencji może się w każdej chwili zmienić.
– Od czasu do czasu zdarzają się sytuacje, gdy firmy wytwarzające rozwiązania open source decydują się w pewnym momencie na ograniczenie dostępu kodu. Nie zawsze ogłaszają ten fakt odpowiednio wcześniej, przez co użytkownicy nie mają czasu na przygotowanie się do nowej sytuacji, choćby pod kątem organizacyjnym czy finansowym. Często oznacza to konieczność całkowitej zmiany strategii i ekosystemu firmy. Użytkownicy mogą bowiem stracić dostęp do najważniejszych funkcji lub zderzyć się z murem w postaci zakazu łączenia danego oprogramowania z tym o odmiennej licencji. Kwestie te od lat wzbudzają żywe dyskusje w środowisku open source’owym. Jednak mimo kontrowersji należy pamiętać, że ograniczenie dostępu do kodu jest prawem jego twórcy. I choćby z tego względu organizacje powinny brać pod uwagę ewentualne problemy z dostępnością projektu jako jeden z czynników ryzyka – dodaje Tomasz Dziedzic.
Problemy z licencjami ograniczają rozwój open source
Aspekty prawne i licencyjne nie tylko ograniczają zakres wykorzystania projektu, lecz także wpływają na wkład organizacji w rozwój open source. W międzynarodowym raporcie Global Spotlight 2023 przyznało to 43 proc. specjalistów[3]. Jednocześnie aż 55 proc. ankietowanych uważa, że rozwiązanie problemów związanych z licencjami zwiększyłoby zaangażowanie ich organizacji w tworzenie nowych rozwiązań.
– Skorzystanie z każdego komponentu otwartych projektów wymaga dokładnej analizy warunków, a następnie monitorowania ich przestrzegania. Mamy ponad 200 rodzajów licencji open source, a każda z nich nakłada na użytkowników konkretne prawa i obowiązki. To naturalne, że kwestie formalne są dla deweloperów i organizacji sporym wyzwaniem, również finansowym – często wymagają bowiem współpracy z odpowiednio wykwalifikowanymi prawnikami – tłumaczy Tomasz Dziedzic.
Czy istnieją sposoby na pokonanie licencyjnej machiny?
Licencje były, są i będą nieodłącznym elementem świata open source. Głównym wyzwaniem jest zatem zwiększenie świadomości deweloperów i organizacji na temat kwestii prawnych związanych z wykorzystaniem otwartego kodu. Użycie każdego komponentu powinno być poprzedzone szczegółową analizą warunków określonych w licencji. W międzynarodowym badaniu State of Open Source 2024 zaledwie co piąty ankietowany zadeklarował, że w jego firmie istnieje zespół prawny wyspecjalizowany w tym obszarze[4].
Kwestie licencji powinny być również uwzględnione w ogólnej analizie ryzyka związanego z wykorzystaniem open source. Dzięki temu użytkownicy mogą oszacować, jak zmiany w dostępie do konkretnego rozwiązania mogą wpłynąć na realizowane przez nich projekty. Tomasz Dziedzic wskazuje jednak, że większość dostępnych na rynku narzędzi do analizy zagrożeń opiera się na podstawowej analizie podatności, która informuje o aktualnych błędach lub lukach w kodzie.
– Dziś to zdecydowanie za mało. Konieczne jest wzięcie pod uwagę wszystkich elementów projektu i zależności występujących między nimi. W zarządzaniu ryzykiem nie możemy zapominać o działaniach związanych z wytwarzaniem i dostarczaniem otwartych rozwiązań, a także czynnikach długoterminowych, takich jak ewentualne zmiany w licencji. Wszystkie te kwestie wzięliśmy pod uwagę, tworząc Source Mation, autorski system analizy ryzyka występującego w pakietach oprogramowania open source. Chcemy dać organizacjom szansę na długofalową ocenę bezpieczeństwa i stabilności, co w niepewnych czasach jest szczególnie ważne – dodaje Tomasz Dziedzic, Linux Polska.
Podsumowując, złożoność licencji open source to jeden z głównych czynników ograniczających wykorzystanie i rozwój rozwiązań opartych na otwartym kodzie. Dodatkowym problemem są ewentualne zmiany w dostępności oprogramowania. W związku z tym kwestie związane z licencją powinny być brane pod uwagę podczas analizy ryzyka open source.
[1] 2024 State of Open Source Report, OpenLogic, The Open Source Initiative, The Eclipse Foundation.
[2] World of Open Source, Global Spotlight 2023, The Linux Foundation.
[3] World of Open Source, Global Spotlight 2023, The Linux Foundation.
[4] 2024 State of Open Source Report, OpenLogic, The Open Source Initiative, The Eclipse Foundation.