שימוש בטוח בקוד פתוח

מרכזיותו של הקוד הפתוח אינה מוטלת בספק. מחקרים מראים כי עד סוף השנה הבאה, 80% מהתוכנות המסחריות ישלבו אלמנטים של קוד פתוח. במקביל לעליית קרנו של הקוד הפתוח, אנו עדים לעלייה מתמדת בפעולות האכיפה הקשורות לקוד פתוח. למרות זאת, במחקר אחר נמצא כי כ-70% (!) מהחברות שנסקרו לא מנהלות מדיניות קוד פתוח. אותן חברות נחשפות לסיכון רב, העולה על עלויות מילוי דרישות רישיונות הקוד הפתוח. הנתונים הללו מראים כי ישנו צורך אמיתי בהבנת הסיכונים הכרוכים בשימוש בקוד פתוח וביישום מדיניות מושכלת של שימוש בקוד פתוח.

מזה תקופה ארוכה אנו עדים לעלייה מרשימה בקצב הפיתוח של טכנולוגיות חדשות. אחת הסיבות לכך היא כי בעוד שבעבר חברות טכנולוגיות אשר עמדו בפני משימות פיתוח תכנה נאלצו לפתח את כל התכנה באופן עצמאי או לחלופין לרכוש תוכנות ולשלבן בפיתוחיהן העצמאיים, כיום עומדת בפני החברות הללו אפשרות נוספת והיא שימוש בקוד פתוח. באפשרות זו נעשה שימוש נרחב¹. אך לעיתים מבלי הבנה מספקת ותוך נטילת סיכונים משמעותיים באופן לא מודע².

המונח קוד פתוח מתייחס לקוד, אשר בעלי זכויות היוצרים בו מתירים לכולי עלמא לעשות בו שימוש, בדרך כלל אף ללא תשלום (אם כי קוד פתוח, הנקרא לעיתים   "Free Software" אינו בהכרח ""Free במובן של עלויות כספיות). עבור רבים זוהי ההגדרה הממצה, אך תפישה זו היא טעות רווחת. השימוש בקוד בדרך כלל אינו כרוך בתשלום לבעל הזכויות בקוד הפתוח, אך במקרים רבים נשכח כי השימוש בו בהחלט כפוף לתנאים מסוימים.

בעלי זכויות היוצרים בקוד הפתוח מלווים את הקוד ברישיון המגדיר הן את הזכויות המוענקות למשתמשים והן את החובות המוטלות עליהם. שימוש לא מורשה ו/או אי עמידה בחובות עלול להוות הפרה של זכויות היוצרים בקוד הפתוח, על כל המשתמע מכך.

קיימים בשוק למעלה מ-2000 סוגים של רישיונות קוד פתוח שונים

ההערכות כיום גורסות כי קיימים מעל 2,000 סוגי רישיונות קוד פתוח שונים. כל רישיון מעניק זכויות שונות ומטיל חובות שונות על המשתמשים בקוד. חלק מהרישיונות מטילים חובות אשר ניתן לעמוד בהם בקלות יחסית וללא השלכות משמעותיות, אולם חלק אחר מהרישיונות מטיל חובות אשר לעמידה בהם ישנן משמעויות מרחיקות לכת על הטכנולוגיות המפותחות.

בין היתר, ניתן לציין כי חלק מרישיונות הקוד הפתוח עשויים להגדיר  שחלק מהחובות עלולות להתפשט גם אל קוד אשר פותח באופן עצמאי על ידי משתמשי הקוד הפתוח (במה שמכונה אפקט ויראלי). לאפקט זה חשיבות מיוחדת, בייחוד לגבי רישיונות המחייבים את המשתמשים בקוד הפתוח לחשוף את קוד המקור של התוכנה, לרבות חלקי קוד שפותחו על ידם באופן עצמאי.

חלק מן הרישיונות מנסים להגביל את אפשרות היצרן המשתמש בקוד הפתוח לאכוף זכויות פטנטיות. בחלק מהרישיונות נקבע כי אם ותועלה טענה שהשימוש בקוד הפתוח מהווה הפרה של פטנט, יבוטל רישיון השימוש בקוד הפתוח שניתן לבעל הפטנט שהעלה את הטענה. דוגמאות אלה, הינן רק קצה קצהו של עולם שלם של זכויות וחובות הקמות מכוח רישיונות הקוד הפתוח.

פעמים רבות רישיונות הקוד הפתוח מערבים סוגיות משפטיות עם סוגיות טכנולוגיות, ומנוסחים בצורה מעורפלת ולא פשוטה להבנה. הקושי מוחרף, כיוון שהפסיקה העוסקת בסוגיות הליבה המהותיות העולות מרישיונות הקוד הפתוח מועטה ביותר. בהקשר זה חשוב להדגיש כי אין להסיק מהיעדר הפסיקה שלא מתבצעת פעילות אכיפה בתחום.

ההיפך הוא הנכון – מתבצעת פעילות אכיפה ענפה בתחום על ידי בעלי הזכויות, בין אם באופן ישיר ובין אם על ידי גופים המעוניינים באכיפת הזכויות³. לעתים קרובות המחלוקות מסתיימות בפשרה מחוץ לכותלי בתי המשפט, כיוון שבעלי זכויות היוצרים מעוניינים בשמירה על עמימות של תנאי הרישיונות ואילו המשתמשים שנטען כי הפרו את תנאי הרישיון מעוניינים להימנע מיחסי ציבור שליליים ומהסיכונים הנוספים הגלומים בהתדיינות בבתי משפט.

חוסר הוודאות בתחום, מוביל לכך שעל אף היתרונות הרבים הגלומים בשימוש בקוד הפתוח, ישנן חברות הנרתעות מהשימוש בו ומעדיפות להימנע מכך במידת האפשר. אך להימנעות זו יש מחיר, בין היתר במונחים של זמן הגעה לשוק (Time to Market) ושל עלויות פיתוח. בקצה השני מצויות החברות המעדיפות לטמון את הראש בחול, לא לדעת ולא לנהל את פעילות המפתחים העושים שימוש בקוד הפתוח.

תקינות הניהול של שימוש בקוד פתוח מתבררת פעמים רבות בשלב האקזיט, במסגרת בדיקות הנאותות

סוגיית השימוש בקוד פתוח עולה פעמים רבות גם במהלך בדיקות נאותות לקראת רכישה, כאשר החברה הרוכשת בודקת לעיתים קרובות את הקוד אשר פותח על ידי החברה המועמדת לרכישה לצורך איתור שימוש בקטעי קוד המוגנים בזכויות יוצרים וכפופים לרישיון כלשהו. פעמים רבות במהלך ביצוע בדיקות הנאותות עולות תוצאות המפתיעות גם את מנהלי החברות הנרכשות, אשר מגלים לעיתים כי פיתוחי החברה מכילים קוד פתוח ולעיתים אף נשענים על קוד פתוח כאבן יסוד בבסיס הפיתוח העצמאי של החברה. מצבים כאלה עשויים להוביל לעיתים (ואף הובילו בעבר) לביטול עסקאות.

דרכי ההתמודדות: מודעות, בניית מדיניות, ואכיפה פנימית

אם כך, כיצד על חברות טכנולוגיה להתמודד עם סוגיית הקוד הפתוח?
כנהוג לומר, הצעד הראשון לפתרון הבעיה הוא ההכרה בקיומה. ישנה חשיבות רבה מאוד למודעות לנושא ולהבנת המשמעויות הנובעות משימוש בקוד פתוח. משמכירים בבעיה, ומבינים את המשמעויות הנובעות משימוש בקוד פתוח, יש לבנות מדיניות קוד פתוח מסודרת התפורה למידות החברה ולצרכיה.

כחלק מהמדיניות יש להגדיר נהלים מתאימים של אכיפה פנימית. לאחר הגדרת המדיניות ונהלי האכיפה יש לבצע הדרכות מסודרות למפתחי התכנה בחברה. במהלך הפיתוח יש לבחון כל מקרה שימוש בקוד פתוח לגופו, בהתאם לתנאי הרישיון הרלוונטי ובהתאם לאופן השימוש הנדרש (שכן לעיתים רישיונות מסוימים יטילו חובות מסוימים בכפוף לסוגי שימוש מסוימים⁴). כמו כן, יש לתעד את השימוש בקוד הפתוח ואת הרישיונות המתירים את השימוש בקוד הפתוח. 

¹ מחקר של גרטנר מראה שכ-80% מהתוכנות מסחריות לבו אלמנטים של קוד פתוח עד שנת 2012

https://www.gartner.com/it/page.jsp?id=593207

² מחקר של גרטנר משנת 2008 מראה שכ-70% מהחברות שנסקרו לא מנהלות מדיניות קוד פתוח

https://www.gartner.com/it/page.jsp?id=801412

³ ר' לדוגמא: https://gpl-violations.org/about.html , https://sfconservancy.org/%20overview%20 ואחרים.

⁴ לדוגמה, רישיון LGPL מתייחס לעיתים באופן שונה לשימוש בספריה כלשהי ב- Dynamic Linking  לעומת  .Static Linking