Open source - špinavý kód, licence a otevřený zdroj

Programátoři, kteří jsou postaveni před seškrtané rozpočty a šibeniční termíny, navíc s obavami, že jejich práci dostanou ti, kteří nabídnou, že ji budou dělat za nejmenší peníze, jsou konfrontováni s rostoucími požadavky na stále složitější software. Díky těmto vlivům jsou často v pokušení používat kousky, kusy a dokonce velké "fláky" kódů z různých zdrojů či od "třetích stran", aby urychlili pracovní postup.

Důsledky tohoto (laskavě řečeno) půjčování mohou být naprosto neškodné: nikdo si toho nevšimne, produkt je odevzdán, ať již externě nebo interně, a život jde dál. Anebo mohou být katastrofální. Špinavý kód podle amerických právníků zabývajících se otázkami duševního vlastnictví již způsobil řadu nákladných prodlev při fúzích a akvizicích. A díky úsilí jediného programátora - Haralda Welteho z Linuxu - nejméně 100 firem muselo buď odstranit nebo uvolnit jako open source různé součásti GPL kódu, které si vypůjčily, aniž by řádně dodržely licenci.

A nemusí to přitom tak být. Firmy se problémům, které vyplývají z používání kódu s otevřeným zdrojem, mohou vyhnout. Právní experti, které jsme oslovili, nám poskytli řadu tipů a taktik, jak si udržet flexibilitu potřebnou k tomu, aby bylo možno využívat tento důležitý nástroj v arzenálu softwarového vývojáře a zároveň se nezvyšovalo riziko.

PŘEDPOKLÁDEJTE, ŽE VÁS CHYTÍ

Zkopírujte nějaký ten kód, změňte proměnné a mezery... Kdo to pozná? Jeden čas možná nebyla příliš velká pravděpodobnost, že by někdo identifikoval kód, který byl nezákonně odcizen z díla někoho jiného. Ale časy se mění. Nástroje od firem jako Black Duck nebo Palamida, které dokáží skenovat miliony řádků kódu a porovnat je s obrovskými databázemi známého softwaru, umožňují firmám, aby lokalizovaly (a docela rychle) kód, který byl již dříve vytvořen - i když si "vypůjčitel" dal práci a změnil názvy proměnných a mezer.

Seznam klientů společnosti Black Duck loni zaznamenal nárůst o 300 procent a nyní na něm figuruje 11 společností ze seznamu Fortune 500/Global 500. Jeho službu pro vyhodnocování kódů ProtexIP/OnDemand si stáhly stovky firem a byla použita ve více než 140 transakcích "due diligence" při fúzích a akvizicích v celkové hodnotě odhadované na 9 miliard dolarů, alespoň podle této společnosti. Hledání podezřelých kódů se stává při procesech due diligence provázejících fúze a akvizice pravidlem. Kultura obklopující open source software a free software měla také jistý dopad. Někteří lidé začali upozorňovat, že jejich zaměstnavatelé se dopouštějí zneužívání open source kódů. Díky pozorným uživatelům, kteří si povšimli podezřele známého chování u komerčních produktů, se všeobecné pozornosti nevyhnuly ani některé případy porušování GPL. (Například je známo, že výrobce síťového hardwaru Linksys, brzy poté, co jej v roce 2003 koupilo Cisco, byl "inspirován" k uvolnění firmwaru svého routeru WRT54G, když uživatelé odhalili, že kusy tohoto firmwaru vycházely z Linuxu.)

Odhodlaný obránce GPL Welte, který má autorská práva na kód k firewallu Linuxu, je použil k tomu, aby podnítil (nebo prostřednictvím žalob podaných u německých soudů donutil) více než stovku firem, aby buď odstranily kódy, které byly porušením pravidel, nebo svůj firemní zdrojový kód uvolnili pro veřejnost. Týkalo se to řady firem, od menších až po giganty jako Asus, Belkin, Fujitsu Siemens a další. Welteho plány na vytvoření neziskové organizace v Německu, která by agresivně sledovala takovéto porušování práv, by mohly jeho snahám napomoci.
"Podle našeho názoru je zapotřebí zvýšit povědomí veřejnosti o těchto věcech a veřejně o jednotlivých případech hovořit," říká Welte. Rozhodně ale popírá, že by se jednalo o nějaký hon na čarodějnice nebo něco jako svatou válku. Jde prý jen o to, přimět firemní uživatele, aby dodržovali pravidla, která z toho či onoho důvodu přehlíželi.

I tak je možné, že pravděpodobnost, že budete přistiženi, je pořád ještě malá. S tím, jak si open source software čím dál víc nachází cestu do stále důležitějších systémů ve vaší firmě, riziko pro vaši firmu v případě, že vás chytí, dramaticky vzrostlo.

CO NA TO PRÁVNÍCI?

Jaká neobvyklá patentová ustanovení existují v Mozilla Public Licence? Nakolik GPL chrání odvozená díla? A co je to krucinál odvozené dílo?

Ať už se vám to líbí nebo ne, jsou to právníci a ne vývojáři, kdo je lépe kvalifikován, aby zodpověděl podobné otázky, zvláště když se týkají vašeho byznysu nebo vašeho přístupu k používání open source softwaru. Takže zapojit do hry právnické oddělení ještě v jejím raném stádiu je nejlepší způsob, jak si zajistit, abyste se v budoucnu nedostali do problémů. Klíčové je vyjasnit od samého začátku, že open source je důležitou součástí vašich vývojových plánů, aby to hoši z právního mohli vzít v úvahu.

Zdálo by se jednodušší prostě se těm nepříjemným otázkám vyhnout, ale to jen zvyšuje vaše riziko. "Skutečně je na čase, aby CIO a další IT manažeři pochopili, že je to opravdu problém," varuje Mark Radcliffe, partner DLA Piper Rudnick Gray Cary a předseda výboru, který pracuje na vývoji GPL 3.

Ani to, že si přizvete právníky, neznamená, že dostanete směrodatné odpovědi na všechny své otázky kolem licencí. Precedenční právo v oblasti otevřených zdrojů nemá příliš prošlapané cestičky. "Radit klientům by bylo snadnější, kdyby v této oblasti existovala rozsáhlejší judikatura," připouští Ira Heffan, společník u Goodwina a Proctera. Heffan v roce 1997 napsal právnický článek, v němž argumentoval, že GNU General Public Licence je vymahatelná. Konstatuje ovšem, že existují snahy o dosažení určitého konsenzu ve věci otevřeného zdroje, včetně tzv. akademického soudu, uspořádaného počátkem roku 2006 na University of Washington, jehož výsledkem byly určité právní závěry a který pomohl navázat dialog s některými soudci v nejrůznějších otázkách spojených s open source.

VYTVOŘIT ZÁKLADNÍ PRAVIDLA

Když už budete hovořit se svými právními zástupci, vyplatí se také nastolit určitá základní pravidla pro využívání open source. "Někteří lidé se spoléhali na prostý zákaz," říká Radcliffe. "To není realistické." Místo toho, říká, musejí firmy nastavit pravidla. Podle jeho zkušenosti se tato pravidla mohou výrazně lišit. Například ví o jedné "velké firmě ze Silicon Valley", která má vývojářskou dohodu, jež open source označuje jako "infekční software". Jiní podle jeho slov vypracovali naprosto specifické vlastní procesy due diligence pro nakládání s open source při akvizicích. A ví také o jedné společnosti, která používá open source interně, ale zakazuje jeho použití v produktech, které jsou určeny pro zákazníky.

Klíčové je poskytnout vývojářům pravidla, jak a kdy integrovat externí kód jakéhokoliv typu do vlastních projektů. "Velice jasné je jedno," říká Radcliffe, "a sice, že pokud lidé, kteří vytvářejí kódy, nebudou mít jasné směrnice a nějaký druh 'donucovacího' mechanismu, budou se snažit stáhnout si z internetu, co budou moct, když to jen trochu půjde."

PROZKOUMEJTE SVŮJ KÓD

Zatímco ještě před pár lety by tvrzení, že "o tomhle materiálu z otevřeného zdroje jsme nevěděli", mohlo u soudu nebo s potenciálním (a nyní nepříjemně překvapeným) partnerem při fúzi zabrat, teď už tomu tak není. Open source produkty už patří k mainstreamu, přestala to být esoterika a zodpovědné využívání kódu se stalo standardem.

Tyto procesy by měly zahrnovat i pravidelné schůzky s vývojáři, u kterých se zjistí, že používají free nebo open source kód a řádně nedodržují licence. Vývojáře je třeba přimět k tomu, aby si uvědomili důsledky nedodržování pravidel - nejen pro společnost, ale i pro ně samotné. "Každý, komu se někdy stalo, že něco dodělal a vzápětí to musel celé roztrhat a předělat, si tento zážitek nebude chtít zopakovat," říká Copenhaverová.

A aby management dokázal odradit vývojáře od pokušení přivlastňovat si cizí kódy potají, musí jim pomoci. "Problém s tím chlapíkem, který říká, že hoši nestíhají a mají z toho těžkou hlavu, je, že nevybudoval strukturu, která by poskytovala těmto vývojářům potřebnou podporu, aby mohli rychle dostávat odpovědi na své otázky," upozorňuje Copenhaverová.

Získávání těchto odpovědí, tvrdí, bude otázkou budování důvěry mezi pracovníky vývoje a právníky. "Jde nám o to, aby si dokázali otevřeně promluvit. Když budete tvrdit, že nepoužíváte žádné věci z otevřených zdrojů, znamená to: na nic se neptejte, nic nevykládejte. Místo toho byste ale měli říkat: Můžeme dosáhnout velkého efektu a konkurenční výhody, když budeme tyto dostupné zdroje využívat nejlepším možným způsobem. Ale musíme to dělat s plným vědomím toho, jaké jsou při tom naše povinnosti a co musíme dodržovat."