Har ni kontroll över er användning av open source-mjukvara?

Förstå vad som används

Det mest grundläggande när det kommer till efterlevnad av open source-licensvillkor är att veta vilka open source-komponenter som används och vilka licensvillkor som är tillämpliga. En och samma kodbas innehåller ofta flera hundra open source-komponenter. Kod är därutöver något som förändras över tid. Det kan därför vara svårt att föra ett korrekt register manuellt. Förs inte ett uppdaterat register över vilken open source-mjukvara som används kan det vara nödvändigt att genomföra en s.k. avläsning av bolagets källkod (s.k. ”software scan”).

Förstå vad licensvillkoren innebär

Generellt sett kännetecknas en open source-licens av att licenstagaren får en bred licens att använda, kopiera, ändra och distribuera mjukvaran i utbyte mot att licenstagaren uppfyller vissa åtaganden. Vilka åtaganden licenstagaren behöver uppfylla beror på vilken open source-licens som är tillämplig.

Var uppmärksam på ”copyleft”

Om man vill ha möjlighet att kommersialisera den egenutvecklade mjukvaran är det bra att undvika att använda open source-mjukvara som lyder under s.k. ”stark” eller ”ultra-stark” copyleft – såsom GNU GPL v.2, GNU GPL v.3 och Affero GPL.

Om den egenutvecklade mjukvaran kombineras med eller skapas utifrån open source-komponenter som licensieras under s.k. ”stark” eller ”ultra-stark” copyleft-villkor måste den egenutvecklade mjukvaran när den distribueras (eller i vissa fall tillgängliggörs över ett nätverk) i nästa led licensieras vidare på samma open source-villkor. Detta kan bl.a. innebära en skyldighet för licenstagaren att lämna ut inte bara källkoden för open source-mjukvaran, utan även källkoden för sin egenutvecklade kod för att inte bryta mot villkoren för open source-mjukvara som licensieras under sådan copyleft. Det är detta som man ibland talar om utgör vissa open source-licensers ”smittorisk”.

Glöm inte de mer formalistiska åtagandena

En vanlig missuppfattning när det gäller open source-mjukvara är att så länge som man undviker open source-licenser som lyder under s.k. ”stark” eller ”ultra-stark” copyleft, så är riskerna med att använda open source-mjukvara begränsade. Det är dock inte riktigt så enkelt.

De flesta open source-licensvillkor ställer nämligen upp krav på att licenstagaren vid distribution av open source-mjukvara uppfyller åtaganden av mer formalistisk natur (såsom att vid distribution omnämna upphovsmannen, inkludera en upphovsrättsklausul, inkludera en kopia av open source-villkoren och/eller inkludera friskrivning av garantier för open source-mjukvara). Även om dessa åtaganden i praktiken ofta är möjliga att uppfylla kan det vara administrativt betungande att i efterhand göra detta om ett stort antal komponenter har använts.

Förstå hur mjukvaran tillhandahålls

En nyckelfråga när det gäller efterlevnad av open source-villkor är att förstå hur den mjukvara som innefattar open source-komponenter tillhandahålls. Att enbart använda open source-mjukvara internt och inte distribuera mjukvaran till en tredje man utgör normalt sett inte något problem. Detta beror på att åtagandena i de flesta open source-licenserna aktualiseras först när mjukvaran distribueras.

Med det sagt kan det vara svårt att avgöra om en viss användning utgör distribution i den mening som avses med de relevanta open source-licensvillkoren. När open source-mjukvara används i mjukvara som på något vis tillhandahålls till tredje man är det därför viktigt att fundera igenom frågan om distribution.

Underhåll mjukvaran för att minska risken för intrång

För att skydda sin kod mot obehöriga intrång, etc. är det viktigt att koden underhålls och att uppdateringar och patchar installeras för att täppa igen kända sårbarheter, m.m. Till skillnad från kommersiell mjukvara där licensgivaren gentemot licenstagaren ofta åtar sig ett uppdaterings- och underhållsansvar måste licenstagaren själv ansvara för uppdatering och underhåll av open source-mjukvara. Detta ställer höga krav på att licenstagaren har processer på plats för att hantera säkerhets- och underhållsfrågor.

För att hantera utmaningarna när det gäller användning av open source-mjukvara är det bra att ha rutiner på plats. Sådana rutiner kan inkludera att ni:

• Upprättar en open source-policy lämplig för er verksamhet. Open source-policys omfattar vanligen följande:
  • Vilka open source-licenser är alltid/ibland/aldrig tillåtna?
  • Vem ska godkänna att open source-mjukvara används i verksamheten?
  • Hur och var får open source-mjukvara användas?
  • Hur sker uppföljning att open source-mjukvara används i enlighet med licensvillkoren?
    
    
• Genomför regelbundna avläsningar av er källkod. Det finns flera företag som utför s.k. avläsningar av källkod för att identifiera licensrisker, säkerhetsrisker och sårbarhetsrisker. I samband med investeringar eller företagsförvärv är det allt vanligare att investerare eller köpare begär att en sådan avläsning av bolagets källkod görs för att identifiera vilken mjukvara som används. Genom att själva regelbundet genomföra avläsningar ökar era möjligheter att upptäcka och hantera eventuella risker i tid.
• För register (manuellt eller med hjälp av automatiserade verktyg) över de open source-komponenter som används i verksamheten inklusive vilka licensvillkor som är tillämpliga. Automatiserade verktyg kan även hjälpa till att skapa s.k. license notices.
• Håll koll på er affärsmodell! Distribuerar ni er mjukvara eller förlitar ni er på att programvaran enbart tillgängliggörs över ett nätverk (SaaS)? Vilken affärsmodell ni har påverkar vilka övriga open source-rutiner ni behöver ha på plats.

Välkommen att kontakta oss med era open source-relaterade frågor.